Человеческий фактор не просто основная причина инцидентов в области безопасности ИТ — по сути он был и остается един-ственным их источником. Начиная с программистов, которым лень написать несколько лишних строк кода для предотвращения переполнения буфера, продолжая хакерами, из спортивного или корыстного интереса разыскивающими и использующими в своих целях всевозможные ошибки в коде и логике программ, и заканчивая пользователями, ведь они ничего не желают знать, кроме своей основной работы. Последних обычно и имеют в виду, говоря о человеческом факторе в ИТ.
Действия и значение каждой из трех перечисленных сторон со временем меняется. Как свидетель-ствует статистика, несмотря на все меры по распространению принципов «правильного программирования», ошибок не становится меньше. В этом нет ничего удивительного, поскольку объем кода растет в геометрической прогрессии. Впрочем, их распределение меняется. По данным SecurityLab.ru, на долю операционных систем приходится всего 8,5% от общего числа найденных уязвимостей в I кв. 2008 г., тогда как на приложения Web — 40,7%. Конечно, это говорит, скорее, о смещении интереса со стороны хакеров, чем о качестве программирования тех и других (не говоря уже о том, что прямое сопоставление некорректно вследствие большей многочисленности представителей второй группы).
Но даже если представить, что все программные ошибки удастся когда-либо исключить, оставшиеся два фактора не перестанут действовать (например, атаки по-прежнему будут возможны с помощью методов социальной инженерии). Тем временем, как констатируется в статье Р. Сергеева «Информационные угрозы и уязвимости: итоги, тенденции и прогнозы», эпоха романтических разбойников подошла к концу: «на сайте легендарной хакерской группы 29A появилось сообщение об официальном прекращении существования «старой школы» вирусописательства». Относиться к робин гудам от хакерства можно по-разному, но больше никакой флер не скрывает истинной — преступной — природы их деятельности. Впрочем, формирование организованной киберпреступности покажется цветочками по сравнению с угрозой кибервойн.
Простым пользователям, между тем, надоело стыдиться своего почетного звания «ламер», и они требуют признать за собой право таковыми и оставаться. В конце концов, никто не видит ничего зазорного в том, чтобы вызвать электрика и сантехника, хотя зачастую можно справиться и своими силами. Название книги Стива Кругса «Не заставляй меня думать!», посвященной удобству дизайна Web, можно в равной мере отнести ко многим сторонам ИТ. А Я. Ярецки и его соавторы в своей статье «Тестирование практичности для пользователя», отмечают: «...чтобы выполнить свое предназначение, технологии обеспечения безопасности должны быть просты в использовании».
И здесь появляется четвертая сторона — разработчики средств безопасности, которых нередко упрекают в том, что они кричат «Волк!» по поводу и без. Но, как гласит русская пословица, «гром не грянет — мужик не перекрестится».