Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь программное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация «спама» у вас еще не используется, то руководству необходимо включить в бюджет на безопасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».
«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы являются разрушительными и означают причинение ущерба. Убытки от эпидемий вредоносных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходимо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это означает защиту в каждой точке входа. Серверы, персональные компьютеры и другие устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, детектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ становятся более изощренными и будут причинять больший ущерб. Защита от них является одной из приоритетных задач каждой компании.
Заключительные слова
Ежедневно миллионы предпринимателей вкладывают свои надежды и мечты в почтовые послания, которые затем отправляют в плавание по Интернету. Если они делают это, не применяя шифрования, то, следовательно, забывают о всякой осторожности.
Применение технологий шифрования для ваших деловых сообщений по электронной почте является одной из самых легких и самых важных мер предосторожности для сохранения в тайне ваших секретных планов.
Наконец, не дайте себя застать врасплох, не обеспечив несколько уровней защиты от угроз. Электронная почта предоставляет противнику легкий способ засылки вирусов, «червей», «троянских коней» в вашу компанию. Для вредоносных программ существует много различных способов входа в вашу корпоративную сеть, и вам нужно оценивать вашу способность по предотвращению и защите как от известных угроз, так и от неизвестных.
Глава 11
Оглядываясь назад: что будет дальше?
Хотя в их стране главное внимание сосредоточено на безопасности, в действительности американские предприниматели не вкладывают средства в устранение «дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоционального значения» — например, утраты информации кредитных карточек клиентов для получения повода к вложению таких средств. Проблема состоит в том, что они могут получить этот повод слишком поздно.
Джон Кирби, директор по стратегиям защиты предприятий, безопасности и обеспечению тайны, информационным технологиям предприятий, Electronic Data Systems (EDS)Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые места в них имеются.
Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руководство никогда не выполняло рекомендаций аудита по устранению этих нарушений.
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального директора или финансового директора лучше понимать вопросы безопасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличиваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программные инструменты, расширение штата, обучение, политики[56] и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.
Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.
Риск для всей корпорации
Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на некоторые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполнения своих политик; 2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.
В компании Costa Corp выработалась практика исключений, которая позволяла руководству игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что руководитель, подписавшийся под подобным исключением, действительно понимал требования безопасности. Предоставление руководителям, не понимающим таких требований, права игнорировать меры безопасности уже само по себе представляет риск. При таких обстоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой ущерб они могут причинить.
В Costa Corp была также разработана политика подключения к Интернету, определяющая, что подключение любой системы к Интернету должно разрешаться руководством и должно соответствовать правилам установки подключения, разработанным группой обеспечения безопасности. Эта политика была хорошо написана, такими же хорошими были и правила, определяющие обеспечение защиты системы и ее тестирование перед подключением к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопасности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компании полностью проигнорировали эту политику. Они установили веб-серверы в Интернете, не получив разрешения высшего руководства и не установив средств защиты.
Руководство компании обнаружило эту проблему тогда, когда один из ее международных веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал общественную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей, чем просто неправильное подключение веб-сервера к Интернету. Расследование, проведенное группой обеспечения безопасности Costa Corp, показало, что через серверы компании к Интернету было подключено более 400 систем. Группа безопасности не знала, кто подключил эти системы или кто ими владел. У многих систем не было настроек безопасности, поэтому их легко было взломать из Интернета.
