Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Действия организации против таких угроз могут потребовать свежего взгляда на имеющиеся у нее политики, процедуры и средства защиты с целью определить их соответствие правилам, установленным для ее отрасли.

Например, соответствуют ли они следующим документам:

1. Стандарт ISO 17799.Впервые опубликованный в 1995 году стандарт BS7799 стал так широко использоваться во многих странах в законодательной практике по информационной безопасности, что был переработан в международный стандарт ISO 17799.

2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act).GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями) [69] Office of Controller of the Currency (OCC), Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation (FD1C) и Office of Thrift Supervision. — Примеч. пер. создания правовых стандартов для защиты этой финансовой информации.

3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act). [70] Автор приводит расшифровку сокращения: Health Insurance Portability and Accountability, для которого подходит сокращение HIPAA и которое я перевел как Акт о пересылке и учете информации о страховании здоровья. Об этом документе говорится выше. — Примеч. пер. HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.

Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».

Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.

Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.

Представьте себе, что вы в составе совета директоров замечательной компании, входящей в список Fortune 500. (Неплохая мечта, не так ли?) Утром в понедельник вы зашли в любимое кафе и приступили к просмотру утренних газет, наслаждаясь первой на этой неделе чашкой ароматного кофе. Но подождите. Читая приятную заметку, предлагающую провести отпуск на французской Ривьере, вы видите броский заголовок: «Фирма из Fortune 500 разорена хакером!» Увы, это не какая-то другая фирма из Fortune 500, а именно ваша!

Статья сообщает, что ваша компания была вынуждена отключить свою интранет от внешнего доступа в попытке прекратить вредительство хакера в отношении продуктов нового ряда. Еще пять минут назад вы неторопливо подсчитывали в уме, сколько вам нужно продать ваших акций, чтобы обеспечить себе веселый отпуск. Теперь вам приходится думать о том, на сколько ваши акции упадут в цене (не сомневаясь в этом!) после того, как лидеры рынка закончат просматривать заголовки газет. Более того, вы опасаетесь, не были ли украдены или уничтожены программы для продуктов нового ряда. Переживет ли это компания? А может быть, вам придется провести этот отпуск, обновляя свое резюме?

Звучит немного неправдоподобно? Вовсе нет. Информационные системы непрерывно кто-то атакует. Вторгаются внутренние пользователи и внешние пользователи, вторгаются конкуренты, террористы — можно встретить кого угодно. Подобное же разнообразие наблюдается и в механизмах атак. В исследовании CSI в 2002 году было обнаружено, что целями атак могут быть «отказ от обслуживания», имитация законных пользователей (spoofing), информационное вредительство и кража информации. Компании подвергаются нападению со всех сторон: внешние нарушители, внутренние нарушители и несколько промежуточных типов нарушителей: бывшие консультанты, обиженные служащие и т. д.

Для вас занятно знакомиться со статистическими данными, потому что они всегда касаются проблем, возникающих в чужих сетях. Однако и ваша сеть уязвима ничуть не меньше. Если в вашей сети нет надлежащих механизмов предотвращения и обнаружения взлома и контроля систем, то вполне вероятно, что вы уже сейчас подвергаетесь атаке и не знаете об этом.

Я добавила к книге эту главу для того, чтобы показать, какому риску подвергается информация после того, как хакер вошел только в одну систему сети компании. В главе не говорится о том, как производится сам взлом компьютерных систем. К сожалению, уже существует более чем достаточно источников, из которых можно эту информацию получить. В главе показано, как хакер проходит по сети в поиске информации после того, как он уже зашел в сеть. Также показано, как он находит доступ к другим системам и как собирает пароли.