IT-безопасность: стоит ли рисковать корпорацией? - [41]

Одной из таких целей является защита бюджета на обучение. При общем взлете бюджетов на развитие информационных технологий в 2002 году (с увеличением на 92 процента числа фирм, затрачивающих более 1 миллиона долларов на безопасность) основная часть этих расходов идет на старые проекты, отложенные из-за Y2K-кризиса.[36] Теперь посмотрим, задумаются ли над проблемой обучения компьютерной безопасности при осуществлении инициатив по национальной защите после событий 11 сентября 2001 года. Но мне кажется, что историческим выбором как правительственных органов, так и частных компаний будет вложение средств, скорее, в новое оборудование и развитие технологий, чем в обучение, необходимое для поддержки безопасности.

Представьте себе, что сейчас 6.30 утра и вы пациент больницы, ожидающий операцию. Это обычная операция по удалению желчного пузыря (чего мы только не удаляем) — и всего-то. Но вы не знаете, что компьютерная сеть больницы была недавно переделана по новому проекту. Персонал технической поддержки перенес все критичные[37] приложения из одного большого компьютера в распределенную сетевую среду (для оптимизации работы больницы). Стремясь быстрее перейти с одной платформы на другую, руководство не стало разрабатывать политики и процедуры безопасности для новых систем. Поэтому персонал, обслуживающий компьютеры больницы, не провел настроек безопасности. На внешний взгляд, сеть после такой оптимизации работала гладко. Но если заглянуть внутрь, то каждый мог украсть, изменить или уничтожить информацию о пациентах, хранящуюся на серверах сети.

Вчера при поступлении в больницу вас проверили перед операцией на отсутствие у вас какого-либо сопутствующего заболевания. Вам сделали анализ крови и рентгенографию грудной клетки — стандартные предоперационные процедуры. На следующий день вы проснулись рано, в 4.00 утра, за несколько часов до операции. Вы немного нервничали из-за предстоящего удаления желчного пузыря. Наконец, вспомнив все проблемы, которые он вам создавал, вы решаете, что его лучше удалить. Вы успокоились, заснули и увидели несколько приятных снов.

В шесть утра все закрутилось. Из операционной позвонил доктор и предупредил медсестру, чтобы предоперационные анализы были вместе с вами присланы в операционную. Так как результатов анализов в отделение еще не поступало, то сестра использовала компьютер для их получения. Они были нормальными. Или стали такими.

Ваша медсестра не знала, что сервер был взломан хакером, который изменил результаты ваших анализов с плохих на хорошие. До этого изменения на вашей рентгенограмме легких было видно подозрительное затемнение — может быть, легкий застой, а может быть, пневмония. Это давало повод доктору отложить операцию, чтобы избежать возможных осложнений, которые могли бы вести к остановке дыхания.

Доктор этих результатов не получил и начал операцию. Желчный пузырь был удален так же, как и ваши миндалины много лет назад. Кажется, операция проведена успешно. Но анестезиолог говорит хирургу, что дыхание не восстанавливается. Он просит сделать рентгеноскопию грудной клетки и обнаруживает обширную пневмонию. Затем он просит показать предоперационную рентгенограмму и видит на ней в том же месте затемнение меньших размеров. Он хочет узнать у хирурга, почему тот делал операцию пациенту с пневмонией. Но хирургу некогда, он заполняет ваше свидетельство о смерти. Хотите узнать почему? У вас отказали легкие, и вы умерли.

Это один из случаев, когда информационная безопасность означает не просто защиту информации — она означает защиту жизни. Довольно мрачно, если подумать о том, в какой степени в реальных больницах полагаются на их компьютеры. Рассмотрим другой пример…