IT-безопасность: стоит ли рисковать корпорацией? - [15]
Резюме: Будете ли вы подключаться через такого провайдера?
Как бы плохо ситуация ни выглядела, Джордж и Натан все же действительно хорошие люди. Они знают, как устанавливать и обслуживать системы. Им известны все тонкости подключения к Интернету. Но их проблема заключается в том, что они не знают, как защитить свои системы, и не обращаются за посторонней помощью. Они не думают о возможном вторжении хакера в их сеть. Так как они не считают безопасность приоритетной, то тратят свои финансы на любые другие цели. И конечно, получат то, за что платили.
У Джорджа и Натана могут возникнуть реальные причины для беспокойства в будущем. Взаимоотношения «провайдер/клиент» подразумевают ответственность провайдера, хранящего вашу веб-страницу и личный каталог, за безопасность, надежность и целостность вашей информации. Но до настоящего времени через суд не прошло ни одного дела в отношении безответственного провайдера, потерявшего информацию клиента. Довольно трудно сказать, чем должны руководствоваться судьи. Я считаю (и большинство клиентов думает так же), что суд должен принимать во внимание то, что если вы оплатили данную услугу, то ваша информация попадает в руки к специалистам, которые должны обеспечить ее защиту и безопасность. В конце концов, разве не за это вы платите?
Так или иначе, клиентам TransWorld пока везет. Забавно, но они даже не знают о том, что их информация находится на краю пропасти. И она может безвозвратно в ней исчезнуть.
Джорджу и Натану пока тоже везет. Насколько мне известно, на них не подавали в суд и их не подкарауливали их клиенты. Но я бы не захотела выбрать их в качестве своего Интернет-провайдера.
Мы пойдем другой дорогой…
В большинстве своем мы знаем ничтожно мало о людях и/или компаниях, подключающих нас и нашу информацию к внешнему миру. Имеете ли вы дело с Интернет-провайдером со стороны или же работаете со своим отделом по обеспечению связи, в любом случае вы должны искать ответы на прямо поставленные вопросы.
Имеется ли у вас договор с вашим Интернет-провайдером? Если договор есть, то не указано ли в нем, что провайдер не отвечает за вашу информацию, то есть за информацию, о которой он должен заботиться? У вас может не быть провайдера, обслуживающего вашу информацию. Но если вся ваша информация содержится внутри вашей интранет, то вы можете также не заметить рисков, которые были обнаружены в TransWorld. Ваш системный администратор может провести установку всей сети, используя системы только со стандартными настройками. В таком случае каждая из систем вашей интранет будет подвержена риску.
Вам нужно выяснить, когда в вашей компании делался последний аудит безопасности. Это единственный способ убедиться в том, что ваши системы защищены. Иначе вы играете в «русскую рулетку» вашей информацией, не говоря о том, что ваши акционеры могут лишиться твердых доходов.
Помните, что руководители отвечают за надежность и целостность информации.
Знать, каким рискам вы подвергаетесь
Знаете ли вы, какому риску подвергается информация в сети вашей компании? Большинство хакеров ищут информацию, которую можно продать: финансовую информацию, информацию о клиентах, номера кредитных карточек. В «Обзоре компьютерных преступлений и вопросов безопасности» CSI 2002 года указывается, что инциденты, о которых сообщили только 26 респондентов, причинили убытки в 170 827 000 долларов от кражи информации о собственности.
И если вы еще думаете, что «стандартный» хакер является рано развившимся тинейджером, без присмотра и с плохой социальной ориентацией, то зря. Все в большем количестве «хакерские» кражи совершаются намеренно и хорошо организованно. Есть случаи, когда участие в них переходит на правительственный уровень. В марте 2002 года официальные представители ФБР сообщили о непрекращающихся взломах компьютеров со стороны организованных преступных группировок из России и Украины, в результате которых было украдено более миллиона номеров кредитных карточек. Пятнадцатилетний мальчик, о котором думает большинство людей, может вполне оказаться пятидесятилетним бюрократом, собирающим компромат по заданию своего правительства. Помните это, думая о том, какие части и стороны вашей корпоративной информации вам необходимо защищать. Постарайтесь убедиться в том, что все люди, имеющие доступ к вашей информации, понимают, что и от кого им следует защищать.
Очевидно, одна информация более важна, чем другая. По этой причине нужно делать анализ действительного риска, которому подвергается ваша сеть. Проведена ли экспертами в вашей компании классификация информации? Приняла ли ваша компания повышенные меры безопасности в отношении информации повышенного риска? Может быть, да. Может быть, нет.
Избегать стандартных установок систем
Стандартная установка систем без проведения настроек безопасности может проводиться только при отсутствии риска для информации в сети. Ваша сеть установлена стандартно? Правильно ли это? А может быть, в вашей компании забыли простые истины?
Так же как и оценка риска, политики и процедуры настройки систем должны отражать конкретные нужды компании. В защите вашей сети могут оставаться многочисленные дыры в случае, если вы не приняли нужных мер предосторожности при установке и поддержке систем сети. Если интранет вашей компании состоит из одних стандартно установленных систем, то будьте уверены — ваша информация под угрозой.