Недекларированные подарки. Размышления о полезных функциях, неизвестных даже разработчикам средств обеспечения ИБ

BIS Journal №1(52)2024

23 апреля, 2024

Недекларированные подарки. Размышления о полезных функциях, неизвестных даже разработчикам средств обеспечения ИБ

Оговорюсь сразу: во-первых, отнеситесь к этому опусу немного с юмором, но серьёзно. Во-вторых, недокументированные (недекларированные) возможности здесь я рассматриваю в частном случае, когда возможности системы, скрытые от (или неочевидные для) конечного потребителя, являются недекларированными функциями.

Если классическая дефиниция ГОСТа предполагает две части: описание сущности и вызванные ею последствия (нарушения свойств информации), что и придаёт этому понятию отрицательную коннотацию, то здесь мы ограничимся исключительно описательной частью (недокументированные возможности – это возможности технических устройств и/или программного обеспечения, не отражённые в документации) и тем самым устраним эту отрицательную коннотацию. 

Дело в том, что разработчик (изобретатель) в силу своей зашоренности на решении основной задачи не задумывается над побочными функциями, которые может выполнять его детище. А иногда эти побочные функции оказываются весьма полезными и нужными. Попробую объяснить это «на яблоках». Все знают, что пресс-папье – это один из предметов письменного набора, представляющий собою полукруглый брусок с рукояткой сверху и с прикрепляемым снизу листком промокательной бумаги, который служит для промокания написанного. Здесь основная функция – это промокание написанного. Но, так как сейчас мало кто пользуется перьевыми ручками, потребность в промокании ушла в прошлое и пресс-папье пылится без дела на столе. Но вот если посмотреть на это устройство немного шире, то окажется, что его можно довольно ловко использовать для колки орехов или подпорки для створки окна, чтобы оно не закрылось. Да, эти функции не описаны при продаже пресс-папье, но они существуют! И открывают эти побочные, но полезные функции не сам разработчик, а, как правило, пользователь в процессе эксплуатации. А потому они не всегда известны другим пользователям, но знание их бывает весьма полезным. 

Конечно, проанализировать все продукты, которые используются для обеспечения безопасности информации, у меня не получится, к сожалению, у меня нет таких возможностей, но показать на примере наиболее знакомого мне продукта я попробую. Думаю, что это исследование подвигнет и других посмотреть на продукты немного под другим углом и обнаружить те самые полезные недокументированные функции. Буду благодарен всем, кто проведёт и обнародует такую работу, ведь это позволит ещё эффективнее использовать средства защиты информации, и не только для её защиты. 

Итак, речь пойдёт об известном многим продукте «САКУРА». Поскольку это средство мониторинга, то основное назначение этого комплекса, заявленное разработчиком, – мониторинг рабочих мест информационной системы, регистрация событий безопасности и управление безопасностью информации. Эти функции оказались полезными для ИБшников и нашли у них свой положительный отклик. 

Но давайте посмотрим, кому ещё могут быть полезны результаты мониторинга, проводимого продуктом «САКУРА». Продукт одновременно контролирует множество параметров информационной системы, в том числе фиксирует, на какие сайты «ходит» пользователь и сколько времени он там проводит. При правильном анализе такая информация может быть очень полезна для HR-службы. Можно, например, определить, какие кафе предпочитают посещать сотрудники, и организовать там корпоративный праздник. Или помочь составить топ игр, в которые играют сотрудники, и организовать своеобразные и популярные сейчас фиджитал-игры для командообразования. А может быть, выявить список наиболее популярных стран для отдыха и устроить (если, конечно, позволяют средства) там выездной семинар для партнёров и заказчиков. 

Полезна и другая незаявленная функция комплекса. «САКУРА» позволяет определить и зафиксировать, сколько времени проводит пользователь в той или иной прикладной программе или сколько времени он использует принтер. Кроме того, что это помогает администратору безопасности следить за правильностью действий пользователя, это может быть очень полезно сисадмину или офис-менеджеру. Например, компания закупила 100 лицензий для достаточно дорогого ПО по заявкам руководителей подразделений. При этом заявки подавались из расчёта всех пользователей, включая начальника, его секретаршу (на всякий случай!), помощника начальника и ещё кого-то. А по прошествии времени оказалось, что активно используют это ПО всего 5 человек. Представляете, какая экономия, если продлевать не 100, а только 5 лицензий! Также и с принтером – можно оптимизировать закупку бумаги исходя из реальной потребности. Да и отличить, с какого компьютера выходит в сеть удалёнщик: «правильный» рабочий или «худой» домашний – тоже не проблема.

В общем, «недекларированных функций» может оказаться не меньше заявленных. Поэтому я и обращаюсь к другим пользователям (да и производителям!): может быть, пора провести ревизию таких «недекларированных» функций других продуктов и поделиться своими наблюдениями с обществом? Может получиться неплохой реестр! И в заключение оговорюсь ещё раз: в этой статье речь не идёт о НДВ в классическом, ГОСТовом понимании, которые могут привести к нарушению защищаемых свойств информации. Наоборот, надеюсь, что продукты, которые могут быть помещены в этот реестр, будут свободны от таких классических НДВ.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
13.02.2025
Минцифры начинает строить свой маленький валидатор навыков
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
12.02.2025
АПКИТ: Единственный аккредитованный чип в разы уступает бытовым Intel Core i7
12.02.2025
Ideco: При обеспечении ИБ треть компаний выбирают комплексный подход
12.02.2025
Предоставление силовикам доступа к коммерческим БД конфликтует с законом «О персональных данных»?
12.02.2025
Компания «ДиалогНаука» выполнила сертификационный аудит на соответствие стандарту PCI DSS для АКБ «Авангард»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных