Омерт@. Учебник по информационной безопасности для больших боссов
Шрифт:
Не получай выписки по почте или по электронной почте. Запрашивай их регулярно с курьерской доставкой (хотя таможня регулярно вскрывает DHL Express) или (Аллилуйя!) получай их лично. Веб-интерфейс в данном случае лучше и конфиденциальнее E-mail (разумеется, при наличии защищенного соединения).
Что написано в Интернете – не вырубить топором
Нужно очень чётко понимать, что любая информация, появившаяся в Интернете, остается там фактически навсегда (если говорить о более или менее нам доступных периодах будущего). Масса пользователей со страшной силой "следят" в Интернете,
Вот пример. Есть у меня один знакомый - достаточно солидный бизнесмен. Бизнес у него хорошо налажен, и знакомый имеет возможность два-три часа в день посвящать Интернету, каковому занятию он и отдается с большим удовольствием. Больше всего он любит несколько тематических форумов, где является завсегдатаем, на которых весьма активно обсуждает всевозможные проблемы: от чисто личных до деловых. На вопрос, не боится ли он сообщать о себе в Сети всякие весьма личные сведения, знакомый наивно ответил, что никто в Сети не знает, кто он такой, поэтому все его откровения - чистая абстракция. После этого мне пришлось провести небольшую демонстрацию...
В течение примерно двух-трех часов я, во-первых, нашёл, на каких форумах он бывает и под какими псевдонимами, но главное - я не поленился и в течение ещё пары часов по его высказываниям с этих форумов составил на него подробное досье с четким указанием, из чего сделаны те или иные выводы. Понятно, что я о нём и так много чего знал, однако технология поиска и составления досье базировалась на вполне элементарных данных, которые при желании мог узнать каждый: его ФИО, дата рождения, имя жены, название фирмы, где он работает, место проживания и так далее. Когда знакомый увидел, сколько информации он выдал о себе, а главное - насколько цельная картина получается, если всю эту информацию собрать с разных форумов и сложить, как мозаику, то просто офонарел. Потому что он весь был - как на ладони.
Причем, что интересно, я ему также показал, как по всем этим данным можно произвести обратную экстраполяцию - в том же Интернете найти его реальные ФИО, название его фирмы, его домашний и рабочий адреса. Это оказалось настолько до отвращения просто, что знакомый потом неделю пытался убрать всевозможные свои данные из Интернета, но с этим, увы, уже большие проблемы. Если данные регистраций на форумах ещё как-то можно подкорректировать, то всякие свои «изливания души» убрать не получится (за редкими исключениями). Равно как ни одна оффлайновая фирма не будет держать список купленных клиентом книг по баллистике, токсикологии, мастерству куннилингуса и анальному массажу, а интернет-магазин - запросто и навсегда.
Ещё пример. Другой мой знакомый на свою частную веб-страничку, на которой вообще не бывала ни одна живая душа, выложил некий документ – только для того, чтобы его прочитал один его деловой партнер. Знакомый кинул партнеру ссылку на этот документ в Сети, тот текст прочитал. После этого текст с сайта был убран.
Через пару месяцев выяснилось, что текст был проиндексирован поисковой системой, и на сохранённый в поисковике кусок этой страницы попал их конкурент, которого очень заинтересовали определенные
Вывод. Конфиденциальные документы нельзя выкладывать в Сеть ни под каким видом! Даже совсем ненадолго. Даже на совсем не посещаемые странички. Потому что есть такая вещь как поиск. Она нам помогает, но она нас и губит. Эта зараза может зацепить какой-то текст и сохранить его у себя (или дать ссылку на этот текст, если он до сих пор валяется где-то в Сети), а потом посторонний по ключевым словам найдет то, что он совершенно не должен был найти.
Заключение
Разумеется, можно было ещё долго говорить о различных опасностях, уязвимостях и о том, как пытаться это всё предотвратить. Но, как известно, нельзя объять необъятное, поэтому пора уже остановиться и написать какое-то заключение.
Ещё раз подчеркиваю, главная цель этой книги – заставить тебя понять, что же, чёрт возьми, происходит вокруг. Потому что любые крайности – полная беспечность и глубокая паранойя – очень вредны. Нельзя, как дон Корлеоне, полностью отказываться от какого-то очень важного и нужного средства коммуникации – это не для двадцать первого века и не для твоего бизнеса. Тем более что у тебя есть фирма, есть офис, и если не проколешься ты, то с лёгкостью могут проколоться твои сотрудники.
Поэтому нужно не отрицать, а просто принимать разумные меры предосторожности. Знать о том, какие меры бывают и каким образом использовать те или иные методы. Предупреждён – значит, вооружен. А счастье, как говаривал сэр Пол Маккартни, - это тёплое ружьё.
Напоследок мне бы хотелось свести воедино большинство наиболее важных и ценных (как я надеюсь) советов и рекомендаций этой книги. Ну просто чтобы можно было при необходимости бросить на них взгляд и вспомнить о том, что говорилось на протяжении почти двухсот страниц…
Безопасностью информации в офисе должен заниматься специалист. Под этим термином понимается не студент, который за $200 в месяц не только не работает, но и еще немножечко вредит, а действительно специалист-профессионал, чьи услуги стоят немаленьких денег. Но оно того стоит!
Специалист по безопасности может одновременно быть главным IT-специалистом офиса и сетевым администратором, потому что эти профессии довольно близки. Однако такой универсал будет стоить хороших денег.
Очень серьёзные эксперты занимались попытками решения вопроса «Как защитить информацию от админа». Более или менее эффективного решения практически не нашлось. Это означает, что админ будет в курсе практически всех секретов фирмы. Так что подумай, стоит ли доверять эти вещи непонятно какому «специалисту»…
К сожалению, я не могу всеобъемлюще ответить на твой вопрос «Каким должен быть мой админ» в терминах, которые тебе будут понятны. Поэтому придется ограничиться достаточно невнятными фразами: «Желательно, чтобы его тебе порекомендовали знающие люди» и «Пригласи эксперта-консультанта, чтобы он оценил уровень знаний твоего админа». По-другому, к сожалению, не получается.
Краеугольный камень в вопросе безопасности информации в офисе – грамотное проектирование локальной сети.
Все данные в офисе должны храниться на сервере, а не на локальных компьютерах пользователей.