IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Конечно, это не помогло полностью решить проблемы Мишель с мистером Икс. Я показала Мишель, как легко мог бы мистер Икс читать ее электронную почту, но у нее не появилось доказательств того, что он действительно делал это. Разумеется, на самом деле не было так уж важно получать такие доказательства. Мистер Икс имел такую власть, что представление доказательств того, что он читает ее электронную почту, могло бы разрушить карьеру не ему, а Мишель.
Но, с другой стороны, то, что Мишель теперь знала об уязвимости своей почты, позволило ей понять, почему для ее компании так важно предусмотреть в бюджете на безопасность расходы на шифрование электронной почты. И пока эта технология не будет введена, Мишель знала, что ей следует ограничивать содержание своей почты.
Мишель и я никогда больше не возвращались к этому инциденту с электронной почтой. Но мне известно, что в настоящее время компания Мишель усердно работает над внедрением у себя программ шифрования электронной почты.
Резюме: Вы имеете право отказаться от вашего права на тайну переписки
В отличие от других случаев, описываемых в данной книге, в этой истории не проводился аудит. Однако в этом случае был обнаружен существенный риск в области технологии, на которую мы стали полагаться почти ежедневно.
Предприниматели, подобные Мишель, подвергают риску свою информацию и карьеру почти ежедневно, не сознавая этого. Мы полагаем, что если мы сами не читаем чужой электронной почты (и, возможно, не знаем, как это делается), то этого никто не делает. Это плохое предположение.
Не составляет особого труда не только сам просмотр почты, но и получение инструментов «снупинга» из Интернета. И если вы будете ожидать, что в результате работы такого инструмента экран вашего компьютера будет заполняться битами и байтами обрывков сообщений, то вас удивит, как «отполировано» выглядят украденные письма. Только взгляните на пример, приведенный на рисунке 10.1.
Теперь представьте себе, что электронное письмо послано вами, а не Мишель. Как вы будете себя чувствовать, зная, что кто-то еще читает вашу почту? Почувствуете ли вы, что ваше право на тайну переписки нарушено? Несомненно! Являетесь ли вы простым гражданином, посылающим личное письмо вашей любимой девушке, планируете ли вы новую стратегию компании или вы — капрал морской пехоты, говорящий «привет!» своим детям, у вас в любом случае имеется неотъемлемое право на тайну переписки.
Но если вы посылаете электронное письмо, не шифруя его, то вы непроизвольно отказываетесь от этого права. Я всегда говорю людям: «Если вы не шифруете свою электронную почту, то не помещайте в нее то, что вам не хотелось бы увидеть на первой странице The Wall Street Journal».
STAT: Sat Mar 15 10:01:36, 7 pkts, 487 bytes [DATA LIMIT]
DATA: HELO nolimits.incog.com
MAIL From:<[email protected]>
RCPT To:<[email protected]>
DATA
Received: by nolimits.incog.com (SM 1–8.6/SMI-SVR4)
Alid KAA04 500; Sat, 15 Mar 2003 10:01:35 -0800
Date: Sat, 15 Mar 2003 10:01:35 -0800
From: [email protected] (MichelleShavers)
Message-Id: <[email protected]>
To: [email protected]
Subject: NEW STRATEGIC DIRECTION
X-Sun-Charset: US-ASCII
Late yesterday, I received the preliminary report from Vendor В regarding customer perceptions of the new support structure. THE CUSTOMERS ARE VERY UNHAPPY! Over 89 % reported STRONG dissatisfaction with the new bug x distribution system. Of those, fully 53 % are considering Macron's new third-party support program. If we don't implement a new approach quickly, we can anticipate a strong drop in customer support contracts. At tomorrow's executive staff meeting, I will propose the following changes to head off that problem…
Рисунок 10.12 [54]
Мы пойдем другой дорогой…
Мишель почувствовала затруднения, когда ее почту (вероятнее всего) кто-то читал у нее под носом. В других более тяжелых случаях это обходится корпорациям в миллиарды долларов потерянных доходов ежегодно. Угроза в этих случаях исходит от «червей», «троянских коней», атак по типу «отказа от обслуживания», искажения внешнего вида веб-страниц и т. д. Электронная почта представляет собой одну из самых распространенных и менее всего обсуждаемых областей, в которой сегодня таится риск для делового мира.
Для защиты тайны своей переписки Мишель должна была сделать следующее.
Использовать шифрование!
Современные пакеты программ шифрования легко устанавливаются и поддерживаются и действительно прозрачны для пользователя. К сожалению, многие помнят о старых громоздких пакетах таких программ и не знакомы с их более простыми современными версиями.
Если в системе электронной почты вашей компании еще не используется шифрование, то немедленно его установите. Если вы не уверены в том, какой продукт, обеспечивающий шифрование, использовать, или вас смущают экспортные соглашения, то обратитесь за советом к консультанту по вопросам безопасности.
Убедить компанию в необходимости шифрования
Применение шифрования похоже на наклеивание на дверь стикера, предупреждающего, что ваш дом находится под электронным наблюдением. Если вы остаетесь единственным в вашем квартале с таким стикером, то потенциальные воры начнут размышлять, что у вас имеется такого ценного для принятия дополнительных мер охраны. Если же на всех домах в вашем квартале будут иметься такие же стикеры, то будет трудно сказать, у кого действительно можно поживиться.
Когда все начнут использовать шифрование, то любому, кто занимается выискиванием информации, будет трудно определить, что действительно представляет интерес, а что — нет. На это и должны направляться наши усилия.
Предусмотреть в бюджете средства на шифрование
В прошлом некоторые директору по информационным технологиям действительно запрещали своим служащим шифровать электронную почту, предназначенную для внутреннего пользования. Если у вас все еще придерживаются такой устаревшей политики, то немедленно ее аннулируйте! Затем разработайте новые политики и запишите шифрование в цели ваших менеджеров.
Отслеживать возникновение других угроз электронной почте
Как ни печально сообщать, но возможность чтения вашей почты другими людьми является не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться «спаму», [55] угрозам заражения вирусами, реальному заражению вирусами, «червями», «троянскими конями» и т. д. Соответствующие программные инструменты могут предотвратить возникновение некоторых из этих проблем. Например, хотя «спам» продолжает нарастать, только 21 процент пользователей электронной почты используют программы-фильтры «спама» (Opt-In News, май 2002 года).
Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь программное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация «спама» у вас еще не используется, то руководству необходимо включить в бюджет на безопасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».
«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы являются разрушительными и означают причинение ущерба. Убытки от эпидемий вредоносных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходимо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это означает защиту в каждой точке входа. Серверы, персональные компьютеры и другие устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, детектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ становятся более изощренными и будут причинять больший ущерб. Защита от них является одной из приоритетных задач каждой компании.
