IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Писать в периодические издания
Хороший материал ищут многие газеты, журналы и бюллетени, освещающие вопросы безопасности. Если у вас есть что рассказать о технической поддержке, о продуктах, инструментах и т. п., то поделитесь своей информацией с другими. Это прекрасный способ поразить публику.
Превращать инструменты в продукты
Если вы разрабатываете инструменты для поддержки безопасности в вашей среде, то подумайте о превращении их вашей компанией в выпускаемые продукты или выставьте их в Интернете для бесплатного пользования. Может быть, ваши инструменты смогут применять и другие люди.
Контрольный список
Используйте
— Все ли руководители (сверху донизу) выразили общее стремление к безопасности?
— Подкрепили ли они это стремление финансированием обучения безопасности?
— Имеется ли программа обязательного обучения системных администраторов?
— Включены ли в эту учебную программу темы по настройке и поддержке безопасности?
— Существуют ли политики обучения безопасности?
— Составлены ли они тщательно, отвечают ли современным требованиям и широко ли известны?
— Все ли сотрудники, включая и высшее руководство, обучаются их обязанностям в области безопасности в компании?
— Существует ли инфраструктура для повышения и продолжения образования в сфере безопасности?
Заключительные слова
В мире компьютеров время — это все! Время вычислений процессора, время доступа памяти, время появления на рынке и т. д. — все протекает невероятно быстро. За 30 миллисекунд сигнал, летящий со скоростью света, может пройти расстояние от одного побережья Соединенных Штатов до другого. Иногда мне кажется, что с такой же скоростью некоторые менеджеры меняют одну работу или компанию на другую.
Менеджеры ищут продвижений по службе, больших заработков, доли в акциях и т. д. Правду говоря, их особо не в чем упрекнуть. Я бы и сама не отказалась от места вице-президента или от кучи акций.
Сегодня на деловом рынке большинство людей не работают в одной компании всю свою жизнь. Это ведет к краткосрочному мышлению. Достигли своей цели, получили свою премию и двигайтесь дальше к следующей возможности. По этой причине любая компания, которая действительно заботится о безопасности информации, должна ставить перед сотрудниками цели по вопросам безопасности на год. Чтобы их не затоптали пробегающие через компанию руководители, цели безопасности нужно связывать с остальными служебными целями и получением премий. [35]
35
Stock options — акции, продаваемые компанией своим сотрудникам по фиксированной цене. — Примеч. пер.
Одной из таких целей является защита бюджета на обучение. При общем взлете бюджетов на развитие информационных технологий в 2002 году (с увеличением на 92 процента числа фирм, затрачивающих более 1 миллиона долларов на безопасность) основная часть этих расходов идет на старые проекты, отложенные из-за Y2K-кризиса. [36] Теперь посмотрим, задумаются ли над проблемой обучения компьютерной безопасности при осуществлении инициатив по национальной защите после событий 11 сентября 2001 года. Но мне кажется, что историческим выбором как правительственных органов, так и частных компаний будет вложение средств, скорее, в новое оборудование и развитие технологий, чем в обучение, необходимое для поддержки безопасности.
36
Кризис, вызвавший переделку программного обеспечения из-за некорректного восприятия двух последних нулей в дате 2000 года. — Примеч. пер.
Глава 6
Безопасность вне плана
Один из моих наставников сказал, что использование технологий безопасности в политических целях является наихудшим видом
Представьте себе, что сейчас 6.30 утра и вы пациент больницы, ожидающий операцию. Это обычная операция по удалению желчного пузыря (чего мы только не удаляем) — и всего-то. Но вы не знаете, что компьютерная сеть больницы была недавно переделана по новому проекту. Персонал технической поддержки перенес все критичные [37] приложения из одного большого компьютера в распределенную сетевую среду (для оптимизации работы больницы). Стремясь быстрее перейти с одной платформы на другую, руководство не стало разрабатывать политики и процедуры безопасности для новых систем. Поэтому персонал, обслуживающий компьютеры больницы, не провел настроек безопасности. На внешний взгляд, сеть после такой оптимизации работала гладко. Но если заглянуть внутрь, то каждый мог украсть, изменить или уничтожить информацию о пациентах, хранящуюся на серверах сети.
37
То есть жизненно важные для выполнения больницей своих задач. — Примеч. пер.
Вчера при поступлении в больницу вас проверили перед операцией на отсутствие у вас какого-либо сопутствующего заболевания. Вам сделали анализ крови и рентгенографию грудной клетки — стандартные предоперационные процедуры. На следующий день вы проснулись рано, в 4.00 утра, за несколько часов до операции. Вы немного нервничали из-за предстоящего удаления желчного пузыря. Наконец, вспомнив все проблемы, которые он вам создавал, вы решаете, что его лучше удалить. Вы успокоились, заснули и увидели несколько приятных снов.
В шесть утра все закрутилось. Из операционной позвонил доктор и предупредил медсестру, чтобы предоперационные анализы были вместе с вами присланы в операционную. Так как результатов анализов в отделение еще не поступало, то сестра использовала компьютер для их получения. Они были нормальными. Или стали такими.
Ваша медсестра не знала, что сервер был взломан хакером, который изменил результаты ваших анализов с плохих на хорошие. До этого изменения на вашей рентгенограмме легких было видно подозрительное затемнение — может быть, легкий застой, а может быть, пневмония. Это давало повод доктору отложить операцию, чтобы избежать возможных осложнений, которые могли бы вести к остановке дыхания.
Доктор этих результатов не получил и начал операцию. Желчный пузырь был удален так же, как и ваши миндалины много лет назад. Кажется, операция проведена успешно. Но анестезиолог говорит хирургу, что дыхание не восстанавливается. Он просит сделать рентгеноскопию грудной клетки и обнаруживает обширную пневмонию. Затем он просит показать предоперационную рентгенограмму и видит на ней в том же месте затемнение меньших размеров. Он хочет узнать у хирурга, почему тот делал операцию пациенту с пневмонией. Но хирургу некогда, он заполняет ваше свидетельство о смерти. Хотите узнать почему? У вас отказали легкие, и вы умерли.
Это один из случаев, когда информационная безопасность означает не просто защиту информации — она означает защиту жизни. Довольно мрачно, если подумать о том, в какой степени в реальных больницах полагаются на их компьютеры. Рассмотрим другой пример…
План перехода
Как и во многих подобных ей организациях, в больнице Rockland General решили усовершенствовать работу своих компьютерных систем путем оптимизации сети. План был прост. Выкатить за дверь старые системы, установленные на больших компьютерах (мейнфреймах), и вкатить системы с передовой архитектурой, которые перенесут Rockland в 21-й век. Для этого персонал Rockland спроектировал и установил высокопроизводительную распределенную сеть. Затем, как и планировалось, они выкатили старые компьютеры.