|
Главная / Промышленность / Враг inside
Помоги себе самДиректор ООО «Литек»Надежда Заостровных отмечает, что спрос на программные и аппаратныесредства защиты, а также на аудит информационной безопасности растетсо стороны как компаний, так и частных лиц: «Взять, к примеру,программное обеспечение. Если еще пару лет назад было достаточнопользоваться антивирусом Касперского и постоянно обновлять его,то сейчас для эффективной защиты необходимы еще и сетевые средства.Отрадно, что пользователи постепенно понимают это». Тем не менее общийуровень информационной безопасности большинства отечественных компанийкрайне низок.
За последние два годаколичество компьютерных преступлений в России выросло более чем вдвое.Такая динамика связана с повышением ценности конфиденциальнойинформации: она приобрела реальную стоимость, которая определяетсявеличиной прибыли от ее использования или размером вероятного ущербавладельцу. В результате мотивы к совершению преступлений в сферевысоких технологий множатся. Как и возможности: корпоративныекомпьютерные сети расширяются, конфигурация их меняется, объектоввторжений в информационные системы становится все больше, а инструментыатак постоянно обновляются. Это лишь краткий список причин, вызывающихрост информационной преступности.
Чтобы заполучить необходимую информацию и нанестикомпании финансовый ущерб, достаточно проникнуть в ее информационнуюсистему или вывести из строя какой-либо узел корпоративной сети. Подобные вторжения вызывают как прямой ущерб (зачастую измеряемый шести-семизначнымисуммами), так и косвенный: неисправность узла приводит к затратамна его восстановление (обновление или замену программного обеспечения,зарплату обслуживающего персонала). А атака на web-серверкомпании и замена его содержимого на любое другое может привестик снижению доверия к фирме и, как следствие, потере части клиентурыи доходов.
Недооценивая важность защиты информации, компанииделают основной упор на физическую безопасность (пропускной режим,охрану, систему видеонаблюдения и так далее). Но если десять лет назадэто было оправдано, то сейчас ситуация существенно изменилась. «Насталивремена, когда самая конфиденциальная информация лежит не в сейфеу директора, а на жестком диске компьютера. Можно даже точно сказатьгде — в папке „Мои документы“, — рассказывает директор ООО „Альтерна“ Эрнест Карапетян. —Знают это и те, кто хотел бы завладеть информацией. Остается тольковзять. Российский бизнес слишком беспечен. Насколько я знаю, всерьезэтой проблемой занимаются лишь крупные банки и сотовые компании.В основной массе бизнесмены редко обращают внимание на такие „мелочи“,как безопасность: надеются, что их минует чаша сия. Не минует».
Цена разгильдяйстваНаиболее распространенный миф из области защиты информации, бытующий в бизнес-среде:основная опасность исходит от внешних злоумышленников, проникающихв компьютерные системы. Бесспорно, ее нельзя недооценивать, но онаслишком преувеличена. Обратимся к статистике. До 80% всех компьютерныхпреступлений связано с вольными или невольными внутренними нарушениямисо стороны работающих или уволенных сотрудников.
В зависимости от вида деятельности и целей компанииможно выделить наиболее важные направления обеспечения информационнойбезопасности. Для одних приоритетом является предотвращение утечкиинформации (маркетинговых планов, перспективных разработок и такдалее). Другие могут пренебречь конфиденциальностью внутреннейинформации и сосредоточить внимание на ее целостности. Например, длябанка важно в первую очередь обеспечить подлинность обрабатываемыхплатежных поручений. Для интернет-провайдера, компании, обладающей web-сервером,или оператора связи на первое место выходит задача обеспечениядоступности и безотказной работы всех (или наиболее важных)информационных систем.
Однако больше всего убытков компании причиняет неграмотность и халатность персонала:
Почему они совершают преступления против собственнойкомпании? Причин множество. Самая распространенная —неудовлетворенность статусом или зарплатой. Другой нередкий случай:сотрудник при увольнении затаил обиду и хочет отомстить компании,ее руководству. Больших бед можно ждать, если злоумышленник облеченвнушительными полномочиями и имеет доступ к широкому спектруинформации. Громадный ущерб, например, способен нанести сотрудникотдела автоматизации, информатизации и телекоммуникаций, обладающийдостаточными квалификацией и опытом: ему могут быть известны паролико всем используемым системам. Таких «лазутчиков» трудно обнаружить:они способны обходить защитные механизмы.
— Именно сотрудники компании и являются главнойугрозой, — рассказывает Эрнест Карапетян. — Только неграмотноеиспользование электронной почты привело к распространению по всему мирутаких «червей», как Love San и I love you, убытки от которых составляютдесятки, а то и сотни миллионов долларов. Половина паролей, придуманныхрядовыми сотрудниками, состоят из цифр дат рождения и имени дочери илисына. Такие пароли подбираются элементарно. Но даже если системныйадминистратор назначает пароль из труднозапоминаемой комбинации букви цифр, работники, не долго думая, на виду у всех приклеивают егона монитор или ставят галочку «запомнить пароль», чтобы не набиратькаждый раз заново. В результате доступ к компьютеру и корпоративнойсети открыт любому желающему.
Во всем мире принято строить комплексную систему защитыпоэтапно. Первый этап — информационное обследование. Определяется,от чего в первую очередь необходимо защищаться компании. Строится«модель нарушителя», которая описывает его квалификацию, средства дляреализации атак, обычное время их проведения и прочее. В результатевырабатываются рекомендации для устранения выявленных угроз,правильного выбора и применения средств защиты. Следующий этап —приобретение, установка и настройка рекомендованных средстви механизмов, в совокупности обеспечивающих защиту системы обработкиданных от посторонних лиц, системы обработки данных от пользователей,пользователей друг от друга, каждого пользователя от себя самого,системы обработки от самой себя.
Велосипед уже изобретенБольшинство специалистов связывают беспечность менеджмента и персонала, во-первых, с небольшим числом получивших огласку хищений информации «в особо крупных размерах»; во-вторых,с низким уровнем внутрикорпоративной дисциплины и обучения персоналаправилам информационной безопасности. Между тем ряд отечественныхкомпаний, например крупные холдинги, накопили большой опыт созданиясистем информационной безопасности. Остается его перенять.
Важнейший элемент системы — корпоративная политикаинформационной безопасности. Рассказывает один из руководителей малогопредприятия: «Основные принципы политики безопасности таковы: никтоне имеет права подходить к компьютеру сотрудника кроме самогосотрудника и системного администратора; компьютер никогда не остаетсябез присмотра включенным; никто не может увидеть ни одного файлас моего компьютера по сети; применяются только те службы и протоколы,которые необходимы в данный момент».
С течением времени средства защиты устаревают, выходятновые версии систем обеспечения информационной безопасности, постояннорасширяется список обнаруженных атак и «брешей», меняются технологияобработки информации, программные и аппаратные средства, персоналкомпании. Создание системы информационной безопасности — бесконечныйэволюционный процесс, требующий немалых затрат. Безопасность стоит какминимум зарплаты высококлассных специалистов, качественногооборудования и лицензионного программного обеспечения.
Дополнительные материалы:
По мнению специалистов, даже выполнение элементарныхтребований безопасности (четкое разграничение прав доступапользователей к системе, соблюдение правил «интернет-гигиены»,использование лицензионного ПО и услуг квалифицированного системногоадминистратора) позволяет компании вдвое снизить риск компьютерногопреступления. Тем не менее бизнес осознал это еще далеко не повсеместно(см. «Опасная наивность»). Внимание к вопросам информационнойбезопасности повышается: это признают потребители и производителипродукта ИТ-индустрии.Однако растет оно заметно медленней, чем развивается отрасль. Какафористично отметил Эрнест Карапетян, «простыть может всякий. Но еслив тридцатиградусный мороз гулять по улице голышом, шансов куда больше».
Главнымфактором, снижающим эффективность системы информационной безопасности,респонденты назвали «недостаточную осведомленность персонала». При этомлишь 28% из них указали «повышение осведомленности о безопасностии проведение тренингов для персонала» в качестве первоочередной задачи.
Опасная наивность Исследование, проведенное в 2004 году Ernst & Young (Globalinformation security survey), охватившее 1233 организации в 51 стране,выявило: мировой бизнес относится к информационной безопасности крайнебеспечно. Только 20% опрошенных топ-менеджеров согласились, что для их компании информационная безопасность представляет приоритет.
Менееполовины респондентов проводят регулярные тренинги для сотрудниковна тему информационной безопасности и использования данных.
«Неправомерные действия сотрудников с использованиеминформационных систем» — этот вид угроз для информационной безопасностизанял второе место после «вирусов, троянских программ и интернет-червей», причем вне зависимости от географического расположения, индустрии и размера предприятия.
Профессионалов меньше, чем пальцев на руке Банковскийбизнес в вопросах информационной безопасности далеко впереди, считаетисполнительный директор ОАО «Банк24.ру» (Екатеринбург) Борис Дьяконов.
Только24% опрошенных поставили департамент (отдел) безопасности на самыйвысокий уровень в рейтинге подразделений, обеспечивающих нуждыорганизации.
Борис Дьяконов
Пожалуй, для банков самая большая проблема в областиинформационной безопасности — недостаток специалистов. В Екатеринбургепрофессионалов в банковской информационной безопасности меньше, чемпальцев на одной руке.
— В банках, в отличие от прочих организаций, существует не толькокоммерческая, но и банковская тайна, суть которой отдельно оговоренав законах РФ. Потеря информации для банка — это потеря существеннойчасти бизнеса. Именно поэтому к охране коммерческой и банковской тайны,тайны своих клиентов, банки подходят до занудливости тщательно.Основной принцип политики информационной безопасности банка: все, чтоне разрешено, — запрещено. Другими словами, в идеальной системе должныбыть описаны и задокументированы все допустимые информационные потокии жестко перекрыты прочие. И все-такиабсолютно безопасный компьютер — это компьютер выключенный. Поэтомуидеально безопасной системы не существует. Как только в ней появляетсяхоть один человек, она небезопасна. Люди были и есть самое слабое звеноинформационной безопасности. Когда речь идет об информационной безопасности, важнопонимать: суть проблемы не в аудите, не в программах и дажене в конкретных людях, а в эффективно работающих процедурах,направленных на предотвращение несанкционированного доступа,поддержание системы в закрытом состоянии, в механизмах «разбораполетов» — быстрого реагирования в случае нарушения интегральностиданных. Риск, порождаемый человеческим фактором, можно значительноснизить: методологически (политикой, инструкциями, положениямии регламентами), с помощью средств пропускного режима, техническимисредствами, наконец. Эти вопросы вполне решаемы.
Четыре «учиться» для топ-менеджера Лучший метод оборонки Старые цифры, новые образы Отдам дело в рабочие руки Семь кандидатов на место Проблемный актив Слова без букв Русский дом на «исламской улице» «Нет языка… Нет зада» Главная / Промышленность |
|