IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Руководители часто перекладывают ответственность за безопасность систем на системных администраторов, не обеспечив соответствующего финансирования установки средств, обеспечивающих безопасность и техническую поддержку сети. Так как безопасность не предусматривается изначально, то некоторые руководители думают, что расходы на нее можно просто не включать в бюджет, и безопасность становится постоянно отодвигаемой задачей. Например, руководители могут отложить установку программ-детекторов вторжения на следующий квартал. Перед тем как вы об этом узнаете, закончится год, и директор по информационным технологиям, принявший такое решение, уйдет из компании. А новый директор по информационным технологиям отложит приобретение программ-детекторов еще на шесть месяцев.
Безопасность будет наиболее эффективной
Когда средства обеспечения безопасности поддерживают деловую инициативу, то высшие руководители их обычно финансируют. Если бы им было показано, что программное обеспечение по обнаружению вторжения можно наращивать, что оно имеет возможность быстрого обнаружения как известных, так и неизвестных угроз и поддерживает деловую инициативу электронной коммерции то его покупка могла бы быть профинансирована. Более того, можно было бы начать переговоры о корпоративной лицензии (site license) [68] для защиты всей инфраструктуры компании.
68
Лицензия на применение средств всеми сотрудниками компании. — Примеч. пер.
Во-вторых, вы сможете добиться финансирования безопасности, связав ее с корпоративной целью по обеспечению безопасности. Примером такой цели может быть обеспечение целостности информации. Компания, целью которой является обеспечение целостности своей информации, демонстрирует твердое стремление руководства к безопасности.
Сотруднику службы безопасности, системному администратору или менеджеру, не сумевшим найти способ связать свою инициативу по обеспечению безопасности с корпоративной целью, будет затем трудно оправдать бюджетные требования и выстоять в борьбе с другими инициативами в области информационных технологий. К сожалению, во многих компаниях не удается обозначить безопасность как корпоративную цель. В условиях возрастания количества и изощренности атак в недалеком будущем такие компании могут оказаться легкой добычей при открытии сезона охоты на них.
Угрозы требуют действий
Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа 2002 года, в котором говорится, что войска США в Афганистане в январе того же года захватили компьютеры Аль-Кайды. В одном из них содержались компьютерная модель плотины и программное обеспечение, позволяющие моделировать ее катастрофическое разрушение при подготовке террористического акта. В ходе расследований, проведенных американскими специалистами, появились свидетельства того, что члены Аль-Кайды проводят время на веб-сайтах, которые содержат программы и команды для переключателей с цифровым управлением, расположенных в сетях электроснабжения, водоснабжения, транспортных сетях и сетях связи, о чем сообщалось также в Post. Атаки на инфраструктуру США вполне возможны, и если они будут успешными, то вызовут общенациональную катастрофу. Об атаке такого вида сообщалось в июне 2001 года, когда хакер пришел из сети, управляемой компанией Chinese Telecom, и преодолел защиту учебной сети, принадлежавшей компании California Independent Systems Operator (Cal-ISO), которая контролирует всю сеть электроснабжения штата. Очевидно, что подобные угрозы реальны.
Действия организации против таких угроз могут потребовать свежего взгляда на имеющиеся
Например, соответствуют ли они следующим документам:
1. Стандарт ISO 17799. Впервые опубликованный в 1995 году стандарт BS7799 стал так широко использоваться во многих странах в законодательной практике по информационной безопасности, что был переработан в международный стандарт ISO 17799.
2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act). GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями) [69] создания правовых стандартов для защиты этой финансовой информации.
69
Office of Controller of the Currency (OCC), Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation (FD1C) и Office of Thrift Supervision. — Примеч. пер.
3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act). [70] HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.
70
Автор приводит расшифровку сокращения: Health Insurance Portability and Accountability, для которого подходит сокращение HIPAA и которое я перевел как Акт о пересылке и учете информации о страховании здоровья. Об этом документе говорится выше. — Примеч. пер.
Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».
Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.
Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.