Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Руководство компании обнаружило эту проблему тогда, когда один из ее международных веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал общественную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей, чем просто неправильное подключение веб-сервера к Интернету. Расследование, проведенное группой обеспечения безопасности Costa Corp, показало, что через серверы компании к Интернету было подключено более 400 систем. Группа безопасности не знала, кто подключил эти системы или кто ими владел. У многих систем не было настроек безопасности, поэтому их легко было взломать из Интернета.

Даже если сотрудники компании проигнорировали ее политики и подключили незащищенные веб-серверы к Интернету, компания все равно остается ответственной за эти системы, которые могут быть использованы для запуска атак против других компаний. Атаки из систем таких беспечных владельцев происходят каждый день. Хакеры используют сотни и тысячи скомпрометированных систем для запуска атак против других систем и сетей. Не так давно при помощи атак по типу «отказа от обслуживания» были обрушены несколько высокопрофессиональных сайтов, таких, как сайты Yahoo, Inc. и EBay, Inc. В этих атаках серверы или сети «наводняются» бесполезным трафиком, и законные пользователи больше не могут получать доступа к их ресурсам. Подобные атаки все еще представляют значительную угрозу безопасности. Такие атаки демонстрируют, как хакеры могут использовать ваши машины для нападения на другие системы и сети.

Два года назад тинейджером, проживающим в Модесто, штат Калифорния, была предпринята атака, которая не получила широкой огласки. Он получил доступ к системам регулирования слива воды одной из канадских плотин. Правоохранительные органы успели его поймать до того, как он успел что-либо наделать, но что было бы, если им не удалось его схватить?

Представьте себе, что этот тинейджер, взломавший незащищенный веб-сервер, принадлежавший компании Fortune 500, и получивший доступ к системе слива канадской плотины, открыл бы ее и затопил населенные пункты ниже плотины, вызвав ущерб в миллионы долларов и гибель 300 жителей. Позвольте теперь сказать, что хотя правоохранительные органы и не всегда могут определить след, ведущий к такому тинейджеру, они все же способны выйти на след компании Fortune 500, которой принадлежит этот веб-сервер, использовавшийся для запуска атаки. При этом можно было бы задать такие вопросы:

1. Почему системы компании Fortune 500 оставались незащищенными и бесконтрольными, вследствие чего их можно было бы использовать для атаки против канадской плотины?

2. Почему канадская плотина была подключена к Интернету так, что взломщик мог бы, в конце концов, получить неавторизованный доступ к ее системе управления сливом?

3. Кто должен был бы понести ответственность за возможные последствия?

4. Являетесь ли вы членом правления или руководителем высшего уровня компании Fortune 500?

5. Понимает ли ваша команда юристов, что такое безопасность?

Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей обязанностью как руководителя является не допустить, чтобы эти системы оказались вашими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны охранять информационные фонды корпораций. В случае, если нарушение безопасности сети причиняет вред, владеющая ей организация и ее руководители могут подвергнуться судебному преследованию. Сегодня уже имеются реальные судебные дела.

В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные правовые действия, связанные с ответственностью руководителей и нарушениями в обеспечении безопасности сетей.

Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной, возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред личности причинен неустановленными третьими лицами (или неподсудными, например, неплатежеспособными лицами), то суд распространяет ответственность на другого, более платежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего ответчику. Первыми подобными случаями в судебной практике являются дела в отношении владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступлений, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и менеджеров этих помещений за то, что они не обеспечили должную безопасность или не предупредили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих судебных процессах истцы преследуют представителей делового мира, чьи карманы значительно глубже и которых легче найти, чем преступника, совершившего преступление в отношении истцов. Общим аргументом на таких процессах для подтверждения судебной ответственности предпринимателей являлось то, что они были обязаны предотвратить причинение истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было предсказуемым.