SATtva Персональная страница
темы архив все rss xml 2.0
 
 
блог
досье
связь
english
 

Последнее звено безопасности

06.03.2006
security

Мы можем изобретать любые алгоритмы, создавать любые протоколы, строить любые системы, но, сколь бы они ни были надежны и безопасны, человек, принимающий заключительное решение, всегда останется последним звеном безопасности. И, учитывая особенности его природы, самым ненадежным звеном, ограничивающим защищенность всей системы. Все сказанное -- давно аксиома, но мне хочется привести курьезный случай, являющий собой очередное подтверждение этому факту.

Все мы бываем в банках. Банк -- помимо того, что кридитно-финансовая организация, привлекающая и инвестирующая средства клиентов, еще и сложная система информационной, физической и экономической защиты хранящихся наличных и перечисляемых безналичных денег. Экономическая безопасность строится на процедурах подтверждения и контроля транзакций, информационная -- на средствах и методах защиты сведений о транзакциях, персональных, финансовых и прочих данных, а физическая -- на построении и поддержании безопасного физического периметра вокруг охраняемых объектов: зданий, помещений и денежных средств.

Но, несмотря на слаженность всего процесса, заключительные решения всегда принимают люди: охранник решает, пустить ли через КПП сотрудника, забывшего пропуск; операционист решает, действительно ли перед ним владелец этого паспорта и счета; кассир решает, нет ли в полученном ордере ничего подозрительного. Сбой может произойти в любом месте, причем не только из-за активных действий злоумышленника, но и по невнимательности или халатности сотрудника банка -- звена системы безопасности.

Недавно я был в банке, потому что должен был зачислить на свой счет некоторую сумму наличных. Операционист проверил мой паспорт, сравнил фотографию с моей внешностью, взял мою книжку и выписал приходный ордер на нужную сумму. Те же данные были продублированы в информационной системе банка, а подписанный мною ордер вместе с книжкой передан в кассу. Я же получил жетон с номером, под которым моя транзакция значилась в системе, и должен был предъявить его кассиру, чтобы тот обработал нужный ордер. Всем эта процедура хорошо знакома; она может немного различаться между банками, но общий принцип таков.

Пройдя в кассу, я выполнил свою часть протокола и передал жетон кассиру (не выкладывая деньги в кювету, пока меня не попросят). Та просмотрела мой ордер, расписалась в нем и в книжке и... достала из сейфа несколько пачек купюр и начала поочередно скармливать их счетной машинке. Мне стало интересно, в какой момент девушка поймет ошибочность своих действий, и не прервал ее благородный порыв. И только когда она развернулась, чтобы переложить пересчитанные деньги в кювету, деликатно заметил, что не рассчитывал на такой подарок к 8 марта, а пришел положить деньги на счет, не обналичивать их. Пару секунд девушка в замешательстве смотрела на меня, потом загляну в ордер и, перекрестившись, поблагодарила, что спас ее от увольнения.

Банковская система в большой мере полагается на государственные механизмы предупреждения, контроля и реагирования. Даже если бы я, выражаясь компьютерными терминами, не прервал выполнение сбившегося протокола, а довел его до конца и покинул банк с удвоенной суммой, это, в реальности, не привело бы в дальнейшем ни к чему, кроме конфискации суммы моего "необоснованного обогащения". Последнее звено безопасности ненадежно: оно дает случайные сбои и сильно подверженно различным воздействиям и влияниям. Вот почему контроль и реагирование не менее важны, чем предупреждение нападений и сбоев.
Комментарии
Комментариев нет.
Оставить комментарий
Заголовок:

Текст:

Ваше имя:

Ваш e-mail:


Код подтверждения: