IT-безопасность: стоит ли рисковать корпорацией? - [64]

Шрифт
Интервал

Перед тем как проводить какую-либо аутсорсинговую реорганизацию, включающую в себя предоставление совместного доступа к вашей компьютерной сети, убедитесь в том, что вы владеете всеми фактами. Какой тип подключения будет нужен? Как будет защищено такое подключение? Как обеспечивается безопасность стороны подрядчика? Повлияют ли доступ с его стороны и имеющиеся у него процедуры на безопасность вашей информации? Получите ответы, пока подключение не создано.

В то же время всегда помните, что проблемы безопасности будут время от времени возникать. Это — природное явление. Для лучшей защиты вашей драгоценной информации в этих неизбежных испытаниях положитесь на тщательные, планируемые регулярно аудиты безопасности, проводимые хорошо обученными профессионалами.

Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аутсорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний. Одной из причин столь длительного выздоровления от вируса Code Red является то, что сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились вирусом Code Red, когда «скачивали» те самые обновления для программ, которые должны были защитить их от будущих атак.

Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяющего сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта индустрии программного обеспечения или в облегченном доступе из компании, которой вы доверили ваши операции по перевозкам. Целостность вашей информации зависит от вашей неусыпной бдительности.

Глава 10

Незащищенная электронная почта

Тайна личной жизни является основой всех прав и свобод человека — и самой человеческой сущности. Вторжение в личную жизнь больно бьет по человеческому достоинству.

Надин Строссен, президент Американского союза гражданских свобод, профессор New York Law School

А сейчас вы — президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощутите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не знает, как произошел инцидент.

Через несколько дней вы узнаете, как это случилось. По данным вашего министра обороны, брешь в безопасности, облегчившая нападение, была проделана единственным сообщением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехотинец, служивший в охране посольства в Саудовской Аравии, использовал электронную почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопровождать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы договаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка. Обнимаю и целую детишек… Лен».

К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне, его электронное письмо не было зашифровано. Министр обороны твердо убежден, что письмо капрала Джонсона своей жене было перехвачено террористом.

Разве может показаться странным, что капрал посылает домой жене незашифрованное электронное письмо. Повсеместно высшие руководители компаний посылают письма по электронной почте по самым секретным вопросам — о предстоящих биржевых сделках, планах выпуска новых продуктов, слияниях, приобретениях и т д. Нужно ли ожидать от простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого высшие руководители компаний? Рассмотрим следующий случай…

Есть ли у электронной почты конверт?

Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDynamics, большой компании по сетевым технологиям в Силиконовой долине. Около года назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с одним из ее коллег.

Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании, то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компании, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так продуманно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена, что он заранее точно знал, что она собиралась сказать.

Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил Мишель; 2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель; или 3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же, наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не могла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за помощью, я с большим желанием протянула ей свою руку.

Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в грязные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что такая информация мне действительно не нужна.