IT-безопасность: стоит ли рисковать корпорацией? - [34]
Защита вашей системы от атак требует большего, чем «честное слово и одно крыло».[27] Она требует обучения, решительности и сильного стремления к контролю над доступом к вашим системам. Анализируя контроль за доступом в вашей компании, убедитесь, что правила являются действительно правилами, а не общими директивами, которые сотрудники могут свободно игнорировать при малейшем ощущении их неудобства.
Глава 5
Обучение безопасности
Всегда существовал большой разрыв между тем, что пишут о безопасности, и тем, что действительно происходит в реальном мире, — никто и никогда не будет говорить о том, как их взломали, о значительном инциденте, связанном с безопасностью, о множестве проблем, выявленных последним аудитом безопасности, и о том неприятном факте, что политики безопасности в их организации нет.
Дэн Фармер, исследователь в области безопасности
Вы быстро поднимаетесь по служебной лестнице. Причина этого кроется не в том, что вы приятели с генеральным директором. Вы действительно являетесь генератором блестящих идей, которые всегда помогают удерживать вашу компанию впереди конкурентов. Вы не зазнались. Но вы уверены в успехе, сильны и видите перспективу. Клиенты, желающие, чтобы их дела шли наилучшим образом, обращаются к вам, и ваши результаты можно оценить докторской степенью.
В последние месяцы ваши идеи лились рекой. Вы так были увлечены работой, что даже не задумывались о том, что все блестящие идеи по вашему бизнесу, планы и результаты разработок, стратегии победы в конкурентной борьбе хранятся в одном мощном персональном компьютере.
Сегодня утром ваш секретарь сообщила вам, что она подготовила материалы для доклада на совете директоров. Вы благодарите ее и думаете о том, как вам повезло получить себе в помощники эту отличную студентку летних курсов университета по управлению бизнесом. Вы закрываете сессию на вашем компьютере, забираете материалы для доклада и идете на совет директоров.
Но вы даже не предполагаете, что ваш любимый будущий мастер делового администрирования[28] тайком собирает все ваши блестящие идеи и секреты компании. Она — шпионка! Более того, она является подпольным экспертом по безопасности мирового класса и может выуживать информацию из ваших систем, не оставляя после себя ни малейшего следа своего посещения. У вас не будет ни одной улики в том, что она зашла прямо в «переднюю дверь» вашего компьютера и украла ваши идеи.
Как и любой промышленный шпион, ваш секретарь продает информацию конкурентам. На этот раз деньги достанутся ей без большого труда. Ваши системные администраторы настроили системы так, что каждый может легко прочитать, изменить, уничтожить или украсть информацию в вашей сети. Они не позаботились об установке средств контроля за работой систем и обнаружения вторжения, поэтому никто не узнал о существовании бреши в безопасности. Вы думаете, что я рассказываю фильм недели? Не заблуждайтесь.
Вы, как и большинство людей, всегда считали вашу корпоративную сеть тихой гаванью для вашей информации. К сожалению, для поддержания тишины в этой гавани необходимо хорошее обучение, но немногие люди, отвечающие за безопасность, это обучение получают. Рассмотрим пример…
Компания InterMint Financial являлась хорошо известным гигантом Уолл-стрит, и ее интранет насчитывала более тысячи систем. Из-за больших размеров обязанности по обслуживанию этой мегасети были поделены между пятью сотрудниками: Хосе Гарсия, Дон Форбс, Кендзи Абэ, Смитой Кумар и Тией Фэрчайлд, К несчастью, только Хосе Гарсия был обучен настройке безопасности сети.
Хосе получил хорошее обучение по безопасности, когда «поднялся на борт». После обучения и приобретения некоторых практических навыков Хосе знал, что нужно делать для управления «кораблем» безопасности. Он настраивал свои системы, постоянно помня о безопасности, устанавливал средства контроля, использовал программы-детекторы вторжения, управлял применением защитных псевдонимов[29] и неусыпно следил за появлением новых угроз. Хосе занимал активную позицию по защите своей сети.
Если бы каждый знал столько же, сколько и Хосе, то интранет InterMint была бы а прекрасной форме. Однако в обязанности Хосе не входило обучение поддержке безопасности остальных сотрудников.
Как и во многих компаниях, в InterMint не было программы обучения системных администраторов вопросам безопасности. Да, обучение выглядело сверху вполне достаточным. В компании была прекрасная программа обучения по защите информации для других сотрудников. Было даже издано пособие по выбору надежных паролей. Но не было предусмотрено ни одного занятия по безопасности для людей, настраивающих системы.
То, что Хосе был правильно обучен, было чистой случайностью. Когда Хосе только начинал работать, он обнаружил взлом системы генерального директора. В благодарность за это руководство выделило средства на обучение Хосе, чтобы он смог обеспечивать безопасность «административной» сети.[30] Но остальные четверо системных администраторов, обслуживающих системы юридического отдела, финансового отдела, отдела охраны и операционного зала, не получили никакого обучения.