IT-безопасность: стоит ли рисковать корпорацией? - [12]
Вы так загружены работой, что отпуск кажется вам несбыточной мечтой. Вы довольны вашим провайдером Интернет-услуг (ISP — Internet Service Provider). Ведь провайдер открыл дверь вашему бизнесу в Интернет. Более того, провайдер помогает хранить и обслуживать всю информацию по вашему бизнесу, включая вашу домашнюю веб-страницу. Вам не нужно тратить время на обслуживание систем или на раздумья, как построить веб-страницу и подключиться к Интернету. Честно говоря, вы не очень задумываетесь о том, как работают компьютеры, да это и не нужно — ведь вы же платите за это провайдеру!
Забыв об отдыхе, вы налегаете на работу. Время поднимать цены. Теперь можно больше запросить за ваши консультационные услуги, так как на них возрос рыночный спрос. Уже почти полночь, но вы решаете войти в систему и до утра внести свои изменения. Вы пытаетесь зайти на вашу веб-страницу, но это не удается. Вы пытаетесь снова и снова. Безуспешно! Что же случилось? Может быть, трафик в Сети так плох, что не дает получить доступ к вашей веб-странице? Вы пытаетесь позвонить вашему провайдеру, но его номер занят. Вы не можете получить доступ к вашей веб-странице, и линия провайдера постоянно занята. Вы ворочаетесь и мечетесь всю ночь, гадая о том, что же происходит.
К несчастью, беды на этом не закончились. Следующим утром вы узнаете, что хакер взломал системы вашего провайдера. Он обрушил их и уничтожил всю информацию. Подождите! Так это же ваша информация! Хуже того, вы обнаруживаете, что жизненно важная для вашего бизнеса информация и домашняя страница не могут быть восстановлены, так как ваш провайдер никогда не делал резервных копий диска, на котором хранилась ваша информация.
Как теперь быть? Вся информация по вашим клиентам безвозвратно утеряна! Вы думаете, что такое невозможно? Подумайте получше.
Храните ли вы ваши драгоценные цифры в изолированной от внешнего мира корпоративной сети или же храбро выставили их в неопределенность Интернета, вы в любом случае должны иметь возможность доверять целостности вашей информации и способности провайдера защитить ваши ресурсы. Провайдер должен знать, как устанавливать системы и защищать вашу информацию. Ведь так же? Это часть его услуг, за которые вы платите. Но, к сожалению, быстрый рост информационных технологий и необходимость развития новых видов бизнеса, требующих новых технологий, не вызвали такого же повышения уровня квалификации в вопросах безопасности у профессионалов.
В современной информационной среде большинство людей знает, что подключение системы к Интернету без мер безопасности во многом похоже на «русскую рулетку» — только вопрос времени, когда на кого-то придется выстрел. Если это так, то почему профессиональные провайдеры устанавливают стандартные системы, не проводя их дополнительных настроек, и играют в «русскую рулетку» с информацией своих клиентов? Им нет дела до сохранности информации клиентов?
Если вы все еще верите в то, что большинство информационных брокеров, системных администраторов и провайдеров Интернет-услуг являются специалистами по безопасности, то давайте посмотрим…
Безопасностью займемся позднее
Три года назад Джордж Марковиц и Натан Лински были лучшими инженерами в своем бизнесе. Они стремились как можно дольше работать на своем месте, продвигаться по служебной лестнице и разбогатеть, работая в крупной компании. Как и многие другие, они двигались к своим целям, полагаясь только на себя.
Джордж и Натан назвали свою новую компанию «TransWorld Internet Services». Занятая ими ниша предоставляла их клиентам дешевый и высококачественный доступ в Интернет и хранение их информации. Обычно TransWorld обеспечивала простым домашним пользователям соединение с Интернетом и легкодоступное хранение их информации, не беспокоясь о резервном копировании информации.
К несчастью, они не смогли всего предусмотреть — как, например, настройку безопасности. Они подключили свои системы к Интернету стандартным способом, без настройки безопасности, и оставили широко открытыми для атаки свои системы и информацию клиентов.
День 1-й: Ложное чувство безопасности
Способности Джорджа и Натана по работе на рынке услуг были почти на той же высоте, как и их техническая подготовка. Через шесть месяцев TransWorld обслуживала личные каталоги и веб-страницы более чем 1000 клиентов.
Как и любые другие начинающие предприниматели, Джордж и Натан были озабочены накладными расходами. К счастью, их технический опыт позволял им выполнять большую часть работы самостоятельно. Например, они без проблем сами устанавливали системы и программное обеспечение.
Но, к сожалению, Джордж и Натан оставили конфигурацию всех своих систем стандартной, не принимая при этом дополнительных мер безопасности. Скорее всего, они еще раз не подумали о безопасности (а может быть, и первого раза не было). В этом нет ничего необычного, так как большинство инженеров не любят безопасность. Они стремятся поскорее добраться до информации и считают меры безопасности препятствием. Но для компаний, отвечающих за поддержание надежности и целостности информации клиентов, это вопрос их пребывания в высшей лиге.