Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслуживания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, — это следует помнить, когда вы станете решать, стоит ли модернизировать ваш брандмауэр.

Общее назначение брандмауэра — это не впускать хакера. Но брандмауэр — это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политиками и процедурами и технической поддержкой, он долго не продержится.

Поздравляю! Вы — директор знаменитого музея. Долгие месяцы вы деловито готовили важную выставку. Сегодня к вам поступила первая партия изящных и представляющих историческую ценность шедевров из государственных и частных коллекций, и их будет бесконечное число. Сотрудники музея суетятся вокруг этих скульптур. Уже составлен план, предусматривающий прием и электронный учет сотен фарфоровых статуэток, которые будут поступать волна за волной в течение следующих недель. Множество стран принимают участие в этой выставке и присылают наиболее достойные из своих коллекций!

Из-за широкого размаха этой экспозиции были заключены договоры с рядом компаний-перевозчиков, которые должны справиться с потоком поставок со всего мира. Координация такого проекта должна быть непрерывной и продуманной. И как директор, отцом этого проекта являетесь вы.

Разве не удача, что в наши дни есть компьютеры? Двадцать лет назад координация такого проекта оказалась бы кошмаром.

Но действительно ли это удача? В нашем компьютеризованном мире высоких технологий можно забыть о том, что сервер базы данных, хранящий критичную для выставки информацию, широко открыт. В результате этого любой может получить доступ к архиву, содержащему подробные сведения о приливах и течениях в море бесценных произведений. Ищете нового Ремингтона [46] Фредерик Ремингтон-американский художник и скульптор (1861–1909 гг.). -Примеч. пер. для пополнения вашей подпольной коллекции? Посмотрите, вот он прибывает в следующий вторник в 4.00 дня из аэропорта имени Кеннеди по наземному маршруту на грузовике компании Joe's Family Tracking. Это вовсе не та информация, которую бы вы хотели представить широкой публике.

Несомненно, директор известного музея должен проявлять исключительную заботу о безопасности. Но сомнительно, что он видит возможный риск для безопасности в компьютерной базе данных. Люди, не связанные непосредственно с информационной безопасностью, редко это видят.

Представим себе, что вы как раз перед проведением большой выставки узнаете о том, что ваша сеть не защищена. Этот факт заставит вас остерегаться ввода конфиденциальной информации в вашу собственную сеть.

Нелепо? Может быть. Но в точности с такой ситуацией столкнулся Джеральд Пушман в музее Chambersburg Museum of Art. [47] В г. Чамберсбург, штат Пенсильвания. — Примеч. пер. Давайте посмотрим…

Джеральд Пушман был нанят руководить совершенно секретным проектом в Chambersburg Museum of Art. В музее он был новым руководителем, но не новичком в секретных проектах. Он имел большой опыт в своем деле и знал, как хранятся секреты.

Джеральд заботился о физической безопасности и настройках средств защиты его компьютерных систем. Так как он придерживался стиля в руководстве «возьми в свои руки», а не стиля «отдай в другие руки» (ответственность за безопасность систем), то Джеральд прежде всего встретился с администратором сети Кирстен Смит.

Кирстен работала в музее уже несколько лет и знала каждый дюйм сети. Джеральд сказал ей, что вследствие конфиденциального характера информации проекта он озабочен состоянием сети, в которой должны будут устанавливаться новые системы.

Кирстен ответила прямо: «Если вы собираетесь подключать системы к сети, то меня тревожат установка и настройка этих систем, особенно из-за высокой секретности проекта». Беседуя с Кирстен, Джеральд узнал, что серверы базы данных музея широко открыты для доступа. На этих серверах хранилась крайне конфиденциальная информация. Из нее можно было узнать не только о ценности произведений искусства, но также о дате и времени их поступления и отправки и планах перевозок. Вор, специализирующийся на произведениях искусства и оснащенный по последнему слову техники, мог бы под видом сотрудника музея получить доступ к какой-либо одной системе сети и использовать эту информацию для налета с целью похищения экспоната на его пути в музей или из него.