Мы можем изобретать любые алгоритмы, создавать любые протоколы, строить любые системы, но, сколь бы они ни были надежны и безопасны, человек, принимающий заключительное решение, всегда останется последним звеном безопасности. И, учитывая особенности его природы, самым ненадежным звеном, ограничивающим защищенность всей системы. Все сказанное -- давно аксиома, но мне хочется привести курьезный случай, являющий собой очередное подтверждение этому факту.
Все мы бываем в банках. Банк -- помимо того, что кридитно-финансовая организация, привлекающая и инвестирующая средства клиентов, еще и сложная система информационной, физической и экономической защиты хранящихся наличных и перечисляемых безналичных денег. Экономическая безопасность строится на процедурах подтверждения и контроля транзакций, информационная -- на средствах и методах защиты сведений о транзакциях, персональных, финансовых и прочих данных, а физическая -- на построении и поддержании безопасного физического периметра вокруг охраняемых объектов: зданий, помещений и денежных средств.
Но, несмотря на слаженность всего процесса, заключительные решения всегда принимают люди: охранник решает, пустить ли через КПП сотрудника, забывшего пропуск; операционист решает, действительно ли перед ним владелец этого паспорта и счета; кассир решает, нет ли в полученном ордере ничего подозрительного. Сбой может произойти в любом месте, причем не только из-за активных действий злоумышленника, но и по невнимательности или халатности сотрудника банка -- звена системы безопасности.
Недавно я был в банке, потому что должен был зачислить на свой счет некоторую сумму наличных. Операционист проверил мой паспорт, сравнил фотографию с моей внешностью, взял мою книжку и выписал приходный ордер на нужную сумму. Те же данные были продублированы в информационной системе банка, а подписанный мною ордер вместе с книжкой передан в кассу. Я же получил жетон с номером, под которым моя транзакция значилась в системе, и должен был предъявить его кассиру, чтобы тот обработал нужный ордер. Всем эта процедура хорошо знакома; она может немного различаться между банками, но общий принцип таков.
Пройдя в кассу, я выполнил свою часть протокола и передал жетон кассиру (не выкладывая деньги в кювету, пока меня не попросят). Та просмотрела мой ордер, расписалась в нем и в книжке и... достала из сейфа несколько пачек купюр и начала поочередно скармливать их счетной машинке. Мне стало интересно, в какой момент девушка поймет ошибочность своих действий, и не прервал ее благородный порыв. И только когда она развернулась, чтобы переложить пересчитанные деньги в кювету, деликатно заметил, что не рассчитывал на такой подарок к 8 марта, а пришел положить деньги на счет, не обналичивать их. Пару секунд девушка в замешательстве смотрела на меня, потом загляну в ордер и, перекрестившись, поблагодарила, что спас ее от увольнения.
Банковская система в большой мере полагается на государственные механизмы предупреждения, контроля и реагирования. Даже если бы я, выражаясь компьютерными терминами, не прервал выполнение сбившегося протокола, а довел его до конца и покинул банк с удвоенной суммой, это, в реальности, не привело бы в дальнейшем ни к чему, кроме конфискации суммы моего "необоснованного обогащения". Последнее звено безопасности ненадежно: оно дает случайные сбои и сильно подверженно различным воздействиям и влияниям. Вот почему контроль и реагирование не менее важны, чем предупреждение нападений и сбоев.
|
