Человек так устроен, что собственные субъективные ощущения склонен воспринимать порой как объективную данность. В области информационной безопасности такие ситуации возникают вряд ли реже, чем в любой другой.
Скажем, придумал человек длинный пароль и использует его на протяжении нескольких лет подряд на всех сервисах, где только ни регистрируется. Каждый из его аккаунтов на сайтах сам по себе находится в достаточной степени безопасности, а вот в целом ситуация далеко не безопасная. Достаточно компрометации всего одного сайта (а кто знает, как в конкретном сетевом сервисе реализована работа с паролями пользователей — быть может, они все лежат в открытом виде?) — и под угрозой оказывается абсолютно все, что защищено этим паролем.
Другой пример: системный администратор поставил межсетевой экран, долго возился с его настройками (предположим, ему досталось не современное UTM-устройство, настраиваемое через web-интерфейс «двумя кликами», а самый обычный широко распространенный межсетевой экран), редактировал конфигурацию, подбирал нужные параметры и выставлял правила, а сменить пароль администратора по умолчанию забыл. Казалось бы, система под надежной защитой, а на практике это не так, ведь этот пароль любой злоумышленник проверит первым или вторым после «qwerty».
Можно привести множество таких примеров из самых разных областей информационной безопасности, поэтому проблема, очевидно, актуальна и, что называется, «стоит остро».
Действительно надежная защита должна быть комплексной, многокомпонентной и учитывать все нюансы как реальной сетевой инфраструктуры, так и особенностей процессов внутри конкретной организации. При всей очевидности этого утверждения поражает, как часто на практике про данное правило забывают, ограничиваясь поверхностным рассмотрением проблем и моделированием угроз лишь на самом общем приближенном уровне.
…
Добавлено 22.09.2020
За давностью лет полный текст мной, к сожалению, утрачен.
Статью можно заказать здесь: https://elibrary.ru/item.asp?id=23099121