Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

В начале 1990-х годов мы подошли к выбору дорог в компьютерной безопасности. Несколько лет назад многие компании выбрали кривую тропинку (с меньшей защитой или без нее) из-за того, что риски были небольшими и последствия менее опустошающими. Теперь другая ситуация. Сегодня угроза информации в интранет высока как никогда. Если ваша интранет все еще подвергается риску вследствие стандартной настройки, недостаточного финансирования безопасности и плохой культуры общения внутри компании, то вам нужно немедленно включиться в работу.

Как ясно показывает рассмотренный случай, плохая культура общения представляет собой один из главных рисков для безопасности. Большинство из нарушений, реально обнаруженных в данном исследовании, довольно обычны — простые пароли, стандартные настройки и т. д. На нынешнем этапе компьютерной революции, ни одна уважающая себя компания не должна страдать от таких простых симптомов, так как большинство из них устраняется довольно легко в условиях хороших взаимосвязей в компании.

В отличие от вооруженных ограблений, компьютерным преступлениям не придается большого значения. Часто скрываемые жертвами с целью предотвратить дальнейший ущерб (ценам акций, репутации и т. д.), компьютерные преступления увеличиваются в количестве с феноменальной скоростью. По данным Центра защиты национальной инфраструктуры (National Infrastructure Protection Center), подразделения ФБР, работающего с правительственными органами и частными компаниями, начиная с 1998 года, количество компьютерных преступлений ежегодно удваивается. Нарастающий итог ущерба от таких преступлений увеличивается соответственно. В обзоре, представленном Information Week [16] Еженедельный журнал для профессионалов в области ИТ- бизнеса. — Примеч. пер. и Price Waterhouse Coopers [17] Аудиторская группа. — Примеч. пер. в середине 2000 года, стоимость ущерба за этот год только от компьютерных вирусов оценивается в 1,6 триллиона долларов. Как отметил представитель ФБР Лесли Уайзер (Lesly Wiser) в своем докладе Конгрессу по вопросам кибербезопасности в августе 2001 года: «Эти цифры превосходят валовой национальный продукт сразу нескольких государств».

Директор по информационным технологиям любой компании должен быть в курсе любого из рисков для своей корпоративной сети, включая и факты ее успешных взломов. Я уверена, что ваш директор по информационным технологиям хочет узнавать о взломах от линейных менеджеров, а не из выпуска новостей CNN Headline. И если у вас нет прямого канала связи наверх, то создайте его.

Вы являетесь генеральным директором очень молодой фармацевтической компании. Вы стоите у окна в вашем просторном кабинете и наслаждаетесь ростом цен на ваши акции. Сегодня за ваши акции давали около 100 000 долларов. Но в следующем году, когда ваше лекарство со сверхсекретной формулой завоюет рынок, вы ожидаете, что стоимость вашей компании поднимется до 5 миллионов долларов. Разве жизнь не прекрасна?

Но рано радуетесь. Как только вы переносите свой взгляд на вашу электронную почту, то замечаете, что менеджер группы безопасности прислал сигнал тревоги:

«УВЕДОМЛЕНИЕ О ВТОРЖЕНИИ. ВТОРЖЕНИЕ ХАКЕРА В СЕТЬ НОВЕЙШИХ ИССЛЕДОВАНИЙ».

По телефону вы быстро узнаете, что хакер проник почти незамеченным в сеть. Ваши специалисты выяснили, что он вошел через внешнее соединение, но никто не может определить, какую точку входа в сеть он использовал. Ваша сеть растет так же быстро, как и ваша компания, и никто не знает, сколько внешних входов в нее имеется. Ваш системный администратор может знать, сколько подключений к Интернету у вас есть. (В прошлом году у вас было одно подключение. В этом году их три.) Но никто не знает, сколько модемов установлено.

Печально, но такое незнание широко распространено. Лишь несколько лет назад «удаленный доступ» для обычной компании представлял собой несколько модемов и, может быть, одно подключение к Интернету. Сегодня та же самая компания может иметь десятки подключений к Интернету и сотни модемных подключений к внешнему миру.

Каждый день в офисах и лабораториях создаются новые подключения, и сотрудники компаний подключаются из своего дома. Клиентам нужен доступ в реальном времени, и они также подключены к вашей сети. В стремлении подключиться, иногда компании теряют способность контролировать внешние соединения. Результатом становится размытость границ между Интернетом, интранет и экстранет. При этом трудно или почти невозможно сказать, где начинается и где кончается ваша сеть.

Подключение к внешнему миру похоже на снежный буран. Он может начаться с отдельных порывов ветра, а затем быстро превращается в плотную снежную завесу, через которую вы не можете увидеть своих ног. Если вы не сможете контролировать внешние подключения, то вы споткнетесь или упадете лицом в снег — запросто. Теперь посмотрим…

Компания JFC Farmaceutical захотела предоставить доступ к своей информации одному из своих клиентов для ускорения совместного исследовательского проекта. Клиенту, компании McConnell Drugs, был нужен доступ к информации, хранящейся на сервере базы данных (Drug10). Технической стороной подключения клиента занимался системный администратор Дэйв Ферлонг.

Так как Дэйв раньше никогда не работал над проектом такого масштаба, то он начал смотреть документацию. Он обнаружил, что у JFC нет утвержденной архитектуры или политики по подключению клиентов к ее интранет. Поэтому Дэйв попросил совета у эксперта компании по брандмауэрам Фреда Джонсона. Вместе Фред и Дэйв выработали свой план. Они подключили сервер базы данных к Интернету для того, чтобы сотрудники McConnell Drugs имели доступ к информации. К сожалению, они подключили сервер базы данных напрямую к Интернету, не поставив впереди него брандмауэр для его защиты и не проведя настроек безопасности на сервере базы данных. Такая конфигурация оставила дверь к сети JFC широко открытой. Было только вопросом времени, чтобы в нее «зашел» хакер. Это как раз и случилось — хакер зашел прямо в дверь.