IT-безопасность: стоит ли рисковать корпорацией?

• Не были сделаны исправления программ (патчи), повышающие безопасность.

• Существовала избыточность разрешений на доступ к файлам.

• Пароли легко было отгадать.

• Были включены ненужные сетевые службы.

Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, настраивается столь плохо, что информация всей компании и ее клиентов подвергается риску, то я не могла ожидать, что обнаружу должный контроль над безопасностью других систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного времени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются показать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отношение ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний в конце холла.

Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию, я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был типичным неудачником. Он попытался переложить ответственность на другого. Он путано стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность на сервере базы данных. Он также сказал, что в его намерения не входило настраивать безопасность системы — это, по его мнению, была работа Дэйва.

Если вы работаете системным администратором, как Дэйв, то вы, возможно, вспомните подобный случай. Когда защита взломана, то все показывают пальцем на вас.

Мне не хотелось тратить много времени на разговор с Фредом, так как нужно было писать отчет. И все же я решила задать ему еще несколько вопросов, с тем чтобы подзадорить его, (Ладно, с моей стороны это не совсем хорошо, но всем нам хочется иногда позабавиться.)

Оказалось, что Фред работает в JFC, обслуживая сеть и настраивая брандмауэры, уже пять лет. Для JFC это означало, что пять лет ее безопасность подвергалась большому риску. Ernst & Young [21] сообщала в 1996 году, что более 20 процентов обследованных компаний не имело сотрудников, занимающихся безопасностью. Но они не сообщили о том, что иметь недобросовестного сотрудника на этой должности может быть так же плохо, если не хуже. При отсутствии эксперта по безопасности пользователи хотя бы не будут заблуждаться, предполагая, что их информация защищена, в то время как все будет наоборот.

Прием на должность эксперта по безопасности неподходящего сотрудника может подвергнуть риску всю компанию, особенно если ее руководство недостаточно разбирается в этих вопросах и не знает, за какие промахи эксперт по безопасности должен отвечать. Начальник Фреда, кажется, совсем этого не знал, Я думаю, что он даже не понимал риска.

А риск в JFC был существенным. Из-за плохой конфигурации вы даже не могли сказать, не украл ли хакер конфиденциальную информацию для продажи конкуренту. Также нельзя было сказать, не оставил ли он за собой «троянского коня», «червя» или вируса, которые бы могли позднее заразить информацию JFC и ее клиента — McConnell.

Что касается внешних подключений, то было невозможно сказать, где сеть начинается и где кончается. Если вы работаете в JFC и хотите иметь внешнее подключение, то вам просто надо обратиться к Фреду. Фред лично разрешал все подключения и хранил информацию о них в неструктурированном файле. Поэтому нельзя было получить каких-либо отчетов по соединениям, и в файле невозможно было чего-либо найти, В общем, сплошная неразбериха.

Несколько дней у меня ушло на составление итогового отчета для руководства JFC. Я немного задержалась с его оформлением, так как хотела уместить множество факторов риска в пару страниц. Эти риски вызывались неправильной организацией разрешения внешних подключений, слабой политикой брандмауэрной защиты, плохой разработкой политик и процедур и недостатками общей конфигурации системы. В отчете также указывалось на слабое обучение, неэффективное руководство и невозможность проследить внешние подключения. Я вручила отчет Дорис и уехала. Теперь устранение этих проблем стало ее обязанностью.

Резюме: Не подпускать к себе конкурентов

В данном случае проблема была обнаружена до возможного нанесения ущерба. Конечно, обнаружить такие проблемы во время профилактического аудита безопасности соседних систем удается не во всех компаниях. Многие из них вообще не беспокоятся об аудитах безопасности — ни о профилактических, ни о каких-либо еще.

Сотрудники, подобные Фреду и Дэйву, существуют в действительности. Ни один из них не думает о высших интересах компании. Поэтому и необходимы основные политики, процедуры и средства контроля для защиты компании от простых ошибок, которые буквально могут разрушить ее. Без учета этих факторов общая картина начнет терять очертания.

Как показывает случай с JFC, такая потеря очертаний может случиться очень быстро. JFC является растущей компанией. Их формула нового лекарства скоро позволит опередить конкурентов. Что, если хакер, взломавший Drug10, был промышленным шпионом, работающим на конкурента? А может быть, иностранное правительство надеется достать передовую технологию для доморощенных компаний. Если верить Майклу Андерсону (Michael Anderson), бывшему агенту Министерства финансов, в настоящее время работающему в группе советников в Национальном центре по расследованию экономических преступлений, [22] то даже дружественные державы оказываются не такими дружественными в вопросах промышленного шпионажа. По его данным, стало известно, что французы ставили «жучки» как в салоны самолетов первого класса, так и в роскошные номера отелей, в которых предпочитали останавливаться руководители американских корпораций. Другими серьезными игроками в промышленном шпионаже считаются японцы, израильтяне и множество бывших агентов КГБ.

Правильно настроенный брандмауэр, безопасная конфигурация системы и механизмы обнаружения (компоненты безопасности, отсутствующие в Drug10) образуют первую линию обороны и закрывают дверь перед промышленным шпионажем, конкурентами и другими противниками.

Мы пойдем другой дорогой…

При разработке нового продукта мы все стараемся держаться хотя бы на несколько шагов впереди стаи. Но волки могут быть ближе от ваших пяток, чем вы думаете. В своей книге «Информационная война: хаос на электронном суперхайвэе» [23] Уинн Швартау замечает: «Когда-нибудь вы станете (если уже не стали) жертвой информационной войны… Если не вчера или сегодня, то обязательно завтра».

Если это звучит для вас немного мелодраматично, то задержимся и посмотрим на общую цену проблемы. По данным офиса директора национальной контрразведки, [24] только в 2002 году потери продаж в американской экономике от промышленного шпионажа оцениваются суммой от 100 до 250 миллиардов долларов. Вы можете добавить сюда экономические и моральные убытки от потери рабочих мест.

Даже единичный акт шпионажа может быть опустошительным. Vogon, фирма, занимающаяся правовыми вопросами в компьютерной области, сообщает, что при проведении аудита у одного из клиентов был обнаружен сотрудник, «скачивающий» конфиденциальную информацию для того, чтобы впоследствии открыть конкурирующую фирму. Этот клиент подсчитал, что его убытки в случае, если бы такое пиратство не было раскрыто, могли бы достигать 10 миллионов долларов.

Можете ли вы заявить в такой обстановке, что имеете все необходимые средства безопасности? Не начнет ли ваше будущее расплываться и исчезать, как почти случилось с JFC? Чтобы этого избежать, нужно сделать то же самое, что должна была сделать JFC.