Законы Мерфи для Интернета
Интернет — это система, не поддающаяся систематизации.
Закон обновления
Конкретная информация, не обновляющаяся на некотором сайте годами, будет заменена за час до того, как она вам потребуется.
Первое правило больших файлов
Чем ближе к концу загрузка большого файла, тем выше вероятность сбоя.
Второе правило больших файлов
Ценность информации, содержащейся в файле, передаваемом по FTP, обратно пропорциональна объему этого файла.
Правило неустойчивой почты Hасти
Даже при нестабильно работающей электронной почте вы обязательно получите письмо, которое менее всего хотели бы прочитать.
Правило простых средств
Отказ от передачи данных надежнее любого шифрования.
Самый надежный способ сохранения информации — вообще ее не хранить.
Постулат КОИ-8
Способность создавать для себя трудности является неотъемлемой чертой русскоязычной части Интернета.
Философская поправка ANSI
Бытие — это виртуальная реальность, данная нам для ощущений.
Результат статистических исследований ANSI
Порнография — движущая сила Интернета.
Аксиома дислексии
Для людей, не умеющих читать, гипертекст не является альтернативой обычному тексту.
Первый симптом сетевой абстиненции
При отключении от Интернета заядлые веб-серферы склонны к приступам клаустрофобии.
Второй симптом сетевой абстиненции
Интернет-зависимые пользователи ради восстановления соединения готовы пойти на любое преступление.
Законы Мерфи в области безопасности
Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи).
Если четыре дыры устранены, то всегда найдется пятая.
Не заявляйте о своей неуязвимости и невзламываемости — всегда найдется кто-то, кто докажет обратное.
Любая программа содержит дыры. Следствие: даже системы защиты содержат дыры.
Обнаружить все дыры невозможно.
Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так.
Наблюдения за пользователями
Экспертом по безопасности, как и знатоком футбола, считает себя каждый второй пользователь (не считая каждого первого).
Не усматривайте злого умысла в том, что вполне объяснимо обычной пользовательской ошибкой (следствие из бритвы Хеллона).
Законы построения системы обеспечения информационной безопасности
Система информационной безопасности никогда не строится в срок и в пределах сметы (следствие из закона Хеопса).
Как бы хорошо ни была продумана политика безопасности, всегда найдется используемая у вас технология, не нашедшая в ней отражения.
Как только политика безопасности окончательно утверждена, она уже безнадежно устарела.
Любые издержки на построение системы информационной безопасности больше, чем вы ожидаете (следствие пятого закона Фостера).
Наблюдения о руководстве
Руководство всегда озадачивается безопасностью своей компании только после того, как взлом уже произошел.
Руководителем отдела защиты информации назначают либо отставного военного, либо бывшего милиционера, либо бывшего сотрудника Первого отдела.
Человек, знающий, как правильно потратить деньги на информационную безопасность, и человек, их выделяющий, — это всегда разные люди. Исключение: исключений не бывает.
Наблюдения об атаках
Из всех атак произойдет именно та, ущерб от которой самый большой.
Если вас атаковали один раз, не ждите, что на этом все и закончится.
Атаки происходят тогда, когда администратор по безопасности отсутствует на работе. Следствие: стоит вам отлучиться на пять минут, как именно в этот момент ваш босс не сможет закачать себе новую MP3-композицию из-за настроек МСЭ.
Целью атаки будет именно тот сервер, падение которого нанесет наибольший ущерб (следствие закона избирательного тяготения).
Если атака все-таки нанесла вам ущерб, всегда найдется администратор, который скажет: «Я так и знал» (следствие закона Эванса и Бьерна).
Если в вашей сети всего один «непропатченный» сервер, именно через него и начнется эпидемия очередного червя.
Эпидемия червя начинается именно тогда, когда вы забыли продлить подписку на антивирусные базы или базы сигнатур атак.
Если атака проходит незамеченной для администратора по безопасности, значит, вас ждет ловушка (основной закон для хакеров).
Об атаках всегда сообщается в прошедшем времени (следствие уотергейтского принципа).
Из всех атак произойдет именно та, от который вы забыли защититься.
Наблюдения о хакерах
Сотрудники отдела защиты информации приходят и уходят, а хакеры остаются (следствие девиза Джоунза).
Вопрос о том, что делать с добытой информацией, требует от хакера гораздо больше умственных усилий, чем сам процесс ее добывания.
Действия профессиональных хакеров можно предсказать, но Интернет полон любителей.
Наблюдения о консультантах по безопасности
Приглашенные эксперты по безопасности всегда кажутся лучше своих собственных.
Если эксперт по безопасности знает, как называется атака, которой вы подверглись, это еще не значит, что он знает, как от нее защититься.
Каждый способен сказать, что в вашей сети есть дыра, но не каждый способен найти ее.
Виновным в неудачном внедрении системы защиты всегда оказывается внешний эксперт, приглашенный для консультаций.
Приглашенный эксперт, обвиненный в неудачном внедрении системы защиты, обвинит вас в непредоставлении всей необходимой информации (закон противоположного обвинения).
Замечания по аутсорсингу
Передать свою безопасность на аутсорсинг — значит потерять контроль над сетью. Не передать — потерять контроль еще быстрее.
Доступность аутсорсинга еще не означает, что им непременно надо воспользоваться.
Наблюдения о средствах защиты
Ни одно средство защиты, введенное в эксплуатацию, не прошло тестирования.
Ни одно средство защиты, прошедшее тестирование, не готово к вводу в эксплуатацию (закон противоположности).
Чем больше функций в системе защиты, тем больше вероятность, что одна из них не работает так, как надо.
Если вы не уверены, работает ли ваша системы защиты, значит, она не работает.
Если ваша система защиты работает по расписанию, то вы обязательно забудете запустить ее в нужное время.
Система, защищающая от самых современных атак, будет неспособна защитить вас от давно устаревших.
Надежность системы защиты обратно пропорциональна числу и положению лиц, управляющих ею (следствие закона Уатсона).
Если вы хотите создать централизованную систему управления средствами защиты информации, окажется, что все ваши средства выпущены разными производителями и не интегрируются между собой.
Наличие сертификата соответствия на систему защиты еще не означает, что продукт соответствует классу защищенности, указанному в сертификате. Следствие: это также не значит, что продукт вообще работает. Вывод: это вообще ничего не значит.
Система защиты блокирует доступ вашего босса в Интернет именно в тот момент, когда он думает об увеличении вашей зарплаты.
Если вы приобрели большую партию электронных брелков или смарт-карт, то обязательно окажется, что более 50% ваших сотрудников — женщины, которым негде носить эти средства аутентификации (наблюдение Левашова).
Разные наблюдения
Когда администратор безопасности испытывает затруднения при обнаружении дыр, это значит, что он ищет не там, где следует.
Нет ничего более приятного, чем отбитая атака хакеров.
Если вы уверены, что в вашей сети нет бесконтрольно установленных и используемых модемов, то вы ошибаетесь.
В отделе защиты информации всегда не хватает людей.
Если после отпуска вы забыли свой пароль, отдых удался на славу.
Именно в тот момент, когда вам нужно собрать доказательства несанкционированной деятельности, окажется, что регистрация событий не включена.
Если вашу статью кто-то украл, то скорее всего это преподаватель какого-либо вуза (пессимистическое наблюдение Лукацкого).
Последний закон
Если несколько дел, которые могли пойти вкривь и вкось, не сделали этого, значит, с самого начала было бы лучше, чтобы это все же произошло.
По материалам из Интернета
Е. Т.
Продолжение. Начало см. в №3/07, с. 82.