Думаю, все знают продолжение известной фразы, вынесенной в заголовок (ну, или Гугл в помощь). Эта пословица, к сожалению, очень хорошо подходит к сфере информационной безопасности, в которой буквально на каждом шагу мы с вами можем встретить самые разнообразные перекосы.
За примерами далеко ходить не нужно. Буквально на днях появилась очень интересная новость об одном из американских производителей ПО для поиска украденных ноутбуков:
Судья может осудить производителя ПО Lojack For Laptops за незаконный перехват сообщений с украденного компьютера и предоставление этих данных полиции. Дело было заведено вскоре после того, как преподаватель Сьюзан Клементс-Джеффри влипла в историю, оказавшись владельцем лэптопа с системой LoJack For Laptops, которая является программой для дистанционного восстановления данных, разработанной компанией Absolute Software.
После того, как владелец сообщил о краже лэптопа, в Absolute начали запись IP-адресов устройства. Помимо этого они перехватили переписку сексуального характера, сопровождавшуюся также и фотографиями с веб-камеры, между Клементс-Джеффри, 52-летней вдовой, и Карлтоном Смитом, ее возлюбленным из средней школы, с кем она только что завязала отношения в интернете. Затем Absolute поделились добытыми данными с полицией. Полиция приехала к Клементс-Джеффри без предупреждения, но с распечатками фотографий сексуального характера, которые они ей и продемонстрировали. В итоге она впустила их в дом, где они нашли лэптоп и арестовали ее за владение краденым имуществом. Неделю спустя с нее сняли обвинение.
После того, как владелец сообщил о краже лэптопа, в Absolute начали запись IP-адресов устройства. Помимо этого они перехватили переписку сексуального характера, сопровождавшуюся также и фотографиями с веб-камеры, между Клементс-Джеффри, 52-летней вдовой, и Карлтоном Смитом, ее возлюбленным из средней школы, с кем она только что завязала отношения в интернете. Затем Absolute поделились добытыми данными с полицией. Полиция приехала к Клементс-Джеффри без предупреждения, но с распечатками фотографий сексуального характера, которые они ей и продемонстрировали. В итоге она впустила их в дом, где они нашли лэптоп и арестовали ее за владение краденым имуществом. Неделю спустя с нее сняли обвинение.
Как несложно догадаться, суть судебного иска состоит в том, что помимо IP-адресов и геолокационных данных софт от Absolute Software перехватывал много другой информации, не относящейся напрямую к поиску украденных ноутбуков. И здесь сложно не согласиться с истцом, хотя, конечно, избыток информации, который явно имел место, очень даже мог ускорить процесс поиска украденного лэптопа. Но здесь мы видим в явном виде ситуацию с расшибленным лбом излишне старательного дурака.
Когда в некоторых компаниях безопасники, имеющие достаточно наглости и настойчивости, вводят драконовские запреты на общение по Skype, использование "флэшек" и прочие легко контролируемые действия сотрудников, это выглядит не менее анекдотично и так же сильно вредит компании, как незаконный сбор данных, хотя у нас к этому привыкли. Так давайте же постараемся, чтобы безопасность была разумной.
Р. Идов,
аналитик компании SearchInform
