Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

— Проверяете ли вы дважды, что все известные проблемы безопасности решены, перед тем, как подключить к сети новое оборудование или программы?

— Достаточно ли у вас финансируется безопасность?

— Первоочередными ли являются нужды оценки риска, обучения, проведения аудита и разработки политик и процедур?

— Настраиваете и просматриваете ли вы контрольные журналы?

— Принимаете ли вы меры предосторожности при экспорте файловых систем?

— Отключаете ли вы ненужные службы?

Во многих компаниях компьютерная безопасность сводится к наличию брандмауэра. Ну ладно, вам так понравилась эта интернетовская штучка, и вам не терпится подключиться к сети. Вы направляете всю свою энергию на выбор правильного брандмауэра и на защиту одного вашего соединения.

Проблема такого подхода состоит в том, что брандмауэр является лишь очень небольшой частью безопасности систем. Вы выбрали один из них и наняли кого-то для его установки. Такая стандартная установка на самом деле увеличивает количество проблем безопасности в интранет. Я это говорю, не просто познакомившись со статистикой. Я это все наблюдаю изнутри сетей — «из окопов».

Это вижу не я одна. По оценке координационного центра CERT, размещенного в CMU, 99 % всех зарегистрированных компьютерных атак явились результатом знания уязвимых мест, на которые уже можно было бы поставить патчи.

Проблемы безопасности интранет реальны — так реальны, что ваши сотрудники должны знать, как настраивать безопасность ваших систем. Иначе каждый бит вашей системы будет подвержен такому же риску, как и информация серверов Trans World.

Шесть месяцев назад вы добились успеха и стали директором по информационным технологиям крупной корпорации. Как хороший директор по информационным технологиям, вы неустанно напоминаете о важности вопросов безопасности руководителям высшего звена. Вы прямо даете знать о том, что ваша сеть должна быть безопасной. Точка. Все сказано. Вопросов никто не задает.

Представьте ваше удивление, когда однажды в понедельник утром вы открываете Mercury News и обнаруживаете название своей компании в заголовках — и не по причине поразительных успехов за квартал. В газете подробно рассказывается об атаке хакера на сеть вашей компании. Хакер украл конфиденциальную информацию и выставил ее в Интернете на обозрение всему миру. Это — новость первой полосы, и вы пытаетесь угадать, попадете ли вы в выпуск новостей CNN. Вы также пытаетесь догадаться, что будет с ценой ваших акций и что скажут акционеры.

Всю неделю ваш обслуживающий персонал пытается взять ситуацию под контроль. К несчастью, обнаруживается так много рисков для безопасности вашей сети, что задача кажется непреодолимой. Хакерское подполье ясно знает об этих рисках и, кажется, выбрало вашу сеть в качестве мишени для своих упражнений. Атаки не прекращаются — одна, две и все больше и больше.

Как же такое могло случиться? Вы говорили высшим руководителям компании, что безопасность является главной идеей, и ожидали, что ей будет отдан приоритет. Разве они вас не слушали? Как же они допустили, что электронные взломщики крадут секреты компании? Хуже того, продолжающиеся атаки понижают репутацию вашей компании, ради создания которой вы неустанно трудились. Вместе с репутацией компании не совсем хорошо выглядит и ваша. Это — ваша сеть, и в центре внимания оказываетесь вы.

Кажется невозможным? Невероятным? Может быть, ситуация и сфабрикована, но в ней может оказаться любой начинающий директор по информационным технологиям. Быстро продвигающиеся наверх руководители редко имеют полные знания о настройках сети и ее состоянии. Перед тем как занять этот пост, лишь немногие из кандидатов спрашивают о том, когда сеть подвергалась аудиту безопасности (и прошла ли его). Еще меньшее число из них знакомится с представленным им итоговым отчетом, отражающим уровень риска, или представляет себе, как выглядит на практике борьба за безопасность.