Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую цену проблемы. По данным офиса директора национальной контрразведки, [24] Office of the National Counterintelligence Executive (NCIX) — офис спецслужбы США, созданной вместо Национального центра контрразведки (NACIC). — Примеч. пер. только в 2002 году потери продаж в американской экономике от промышленного шпионажа оцениваются суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические и моральные убытки от потери рабочих мест.

Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, занимающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциальную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто, могли бы достигать 10 миллионов долларов.

Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопасности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC? Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.

Добейтесь, чтобы существовала безопасная архитектура для подключения внешних клиентов к вашей сети (экстранет). Архитектура должна охватывать все проблемы. В ней необходимо определить тип устанавливаемого брандмауэра, перечислить, какие службы разрешены, описать установленное программное обеспечение и четко определить все сетевые подключения.

Вам также нужно знать, какую архитектуру имеет клиент со своей стороны. Конечно, вы должны до некоторой степени доверять клиентам. Но вы не можете позволить себе этого без веских причин. В JFC было оказано неограниченное доверие без каких-либо технических деталей, которые бы это доверие гарантировали. Не ставьте себя в их положение. Несомненно, предлагайте свое доверие. Но вначале убедитесь, что ваши клиенты хотят его заслужить и обеспечат вас подробной информацией о конфигурации систем на своей стороне.

В мире бизнеса интернетовской эры доверие больше не сводится к рукопожатию. Оно обеспечивается согласованной и отраженной в документах архитектуре.

Необходимость внешних подключений может возникнуть быстро, особенно если вы работаете в растущей компании. В 1996 году Ernst & Young обнаружила, что целая треть обследованных ей компаний использует Интернет для обмена важной деловой информацией. Затем произошла революция, создавшая электронную торговлю и вызвавшая небывалый взлет количества внешних соединений. К 2002 году, уже 99 процентов респондентов имели корпоративные веб-сайты. Из них 52 процента действительно занимались электронной коммерцией на своих веб-сайтах. Сегодня реальные деньги и финансовая информация обычным образом отправляется в киберпространство. Внешние соединения не являются чем-то исключительным — они подразумеваются сами по себе.

Одна из главных проблем JFC заключалась в том, что они не могли даже сказать мне, сколько внешних подключений у них есть. Заявки на подключения хранились в ASCII-файлах, но из них не было ясно, какие заявки были утверждены и/или удовлетворены.

Поручите кому-нибудь (любому!) отслеживать внешние подключения. Дайте ему подробные инструкции, как вести записи. Если вы не сможете легко найти и получить отчет с информацией по внешним подключениям, то работа будет бесполезной. Будет лучше, если сотрудник, отвечающий за внешние подключения, станет регулярно отчитываться об их состоянии.

Если вы являетесь системным администратором, отвечающим за конкретные системы, то помните, что эти системы представляют собой вашу территорию. Хотя вы разделяете эту ответственность с администратором безопасности, вы все же отвечаете за каждую из систем, находящихся на вашей территории. В случае с JFC Фред «перевел стрелки» на Дэйва, так как к концу того дня Drug10 уже принадлежал Дэйву.

И если вы — системный администратор, отвечающий за конкретную территорию, и не знаете, как настроить безопасность находящихся на ней систем, то потребуйте немедленно помощи. Не будете о помощи просить — вы ее не получите. Попросите обучить вас или нанять кого-то еще, кто сумеет поддерживать безопасность на вашем участке. Если ваш начальник не добьется финансирования обучения или помощи, то, возможно, вам придется подумать о другом месте работы. Помните, что если хакер взломает вашу сеть, то шишки посыплются на вас, а не на вашего начальника.