IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Угрозы требуют действий
Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа 2002 года, в котором говорится, что войска США в Афганистане в январе того же года захватили компьютеры Аль-Кайды. В одном из них содержались компьютерная модель плотины и программное обеспечение, позволяющие моделировать ее катастрофическое разрушение при подготовке террористического акта. В ходе расследований, проведенных американскими специалистами, появились свидетельства того, что члены Аль-Кайды проводят время на веб-сайтах, которые содержат программы и команды для переключателей с цифровым управлением, расположенных в сетях электроснабжения, водоснабжения, транспортных сетях и сетях связи, о чем сообщалось также в Post. Атаки на инфраструктуру США вполне возможны, и если они будут успешными, то вызовут общенациональную катастрофу. Об атаке такого вида сообщалось в июне 2001 года, когда хакер пришел из сети, управляемой компанией Chinese Telecom, и преодолел защиту учебной сети, принадлежавшей компании California Independent Systems Operator (Cal-ISO), которая контролирует всю сеть электроснабжения штата. Очевидно, что подобные угрозы реальны.
Действия организации против таких угроз могут потребовать свежего взгляда на имеющиеся у нее политики, процедуры и средства защиты с целью определить их соответствие правилам, установленным для ее отрасли.
Например, соответствуют ли они следующим документам:
1. Стандарт ISO 17799. Впервые опубликованный в 1995 году стандарт BS7799 стал так широко использоваться во многих странах в законодательной практике по информационной безопасности, что был переработан в международный стандарт ISO 17799.
2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act). GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями) [69] создания правовых стандартов для защиты этой финансовой информации.
3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act). [70] HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.
Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».
Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.
Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.
Глава 12
Прогулка хакера по сети
Просить сетевого администратора обеспечить безопасность сети, когда он не имеет возможности контролировать ее работу, — это то же самое, как просить механика починить двигатель, не открывая капот машины.
Представьте себе, что вы в составе совета директоров замечательной компании, входящей в список Fortune 500. (Неплохая мечта, не так ли?) Утром в понедельник вы зашли в любимое кафе и приступили к просмотру утренних газет, наслаждаясь первой на этой неделе чашкой ароматного кофе. Но подождите. Читая приятную заметку, предлагающую провести отпуск на французской Ривьере, вы видите броский заголовок: «Фирма из Fortune 500 разорена хакером!» Увы, это не какая-то другая фирма из Fortune 500, а именно ваша!
Статья сообщает, что ваша компания была вынуждена отключить свою интранет от внешнего доступа в попытке прекратить вредительство хакера в отношении продуктов нового ряда. Еще пять минут назад вы неторопливо подсчитывали в уме, сколько вам нужно продать ваших акций, чтобы обеспечить себе веселый отпуск. Теперь вам приходится думать о том, на сколько ваши акции упадут в цене (не сомневаясь в этом!) после того, как лидеры рынка закончат просматривать заголовки газет. Более того, вы опасаетесь, не были ли украдены или уничтожены программы для продуктов нового ряда. Переживет ли это компания? А может быть, вам придется провести этот отпуск, обновляя свое резюме?
Звучит немного неправдоподобно? Вовсе нет. Информационные системы непрерывно кто-то атакует. Вторгаются внутренние пользователи и внешние пользователи, вторгаются конкуренты, террористы — можно встретить кого угодно. Подобное же разнообразие наблюдается и в механизмах атак. В исследовании CSI в 2002 году было обнаружено, что целями атак могут быть «отказ от обслуживания», имитация законных пользователей (spoofing), информационное вредительство и кража информации. Компании подвергаются нападению со всех сторон: внешние нарушители, внутренние нарушители и несколько промежуточных типов нарушителей: бывшие консультанты, обиженные служащие и т. д.
Для вас занятно знакомиться со статистическими данными, потому что они всегда касаются проблем, возникающих в чужих сетях. Однако и ваша сеть уязвима ничуть не меньше. Если в вашей сети нет надлежащих механизмов предотвращения и обнаружения взлома и контроля систем, то вполне вероятно, что вы уже сейчас подвергаетесь атаке и не знаете об этом.
Я добавила к книге эту главу для того, чтобы показать, какому риску подвергается информация после того, как хакер вошел только в одну систему сети компании. В главе не говорится о том, как производится сам взлом компьютерных систем. К сожалению, уже существует более чем достаточно источников, из которых можно эту информацию получить. В главе показано, как хакер проходит по сети в поиске информации после того, как он уже зашел в сеть. Также показано, как он находит доступ к другим системам и как собирает пароли.
Краткая характеристика хакеров
Многие люди все еще имеют странные представления о хакерах. Типичный хакер, по их мнению, — это молодой, необычайно яркий и патологически асоциальный мужчина. Часто он одержим манией — работает всю ночь над своими новейшими блестящими инструментами. Кончено, чтобы подчеркнуть его одержимость, к этому добавляют непрерывное курение, питание всухомятку и поддержание сил сомнительными медицинскими препаратами.
