IT-безопасность: стоит ли рисковать корпорацией? - Линда Маккарти

Одной из проблем в TransWorld было то, что Джордж и Натан занимались (предположительно) защитой информации клиентов, не обучившись этому предмету в течение хотя бы одного часа. Это сумасшествие! Добейтесь, чтобы ваши сотрудники были обучены тому, как обеспечивать безопасность обслуживаемых ими систем.

Контрольный список

Используйте этот контрольный список для определения того, рискует ли ваша компания из-за стандартных установок систем. Можете ли вы поставить «Да» напротив каждого пункта?

— Знаете ли вы, что пытаетесь защитить в вашей сети?

— Участвует ли руководство в оценке риска?

— Имеются ли политики и процедуры для настройки систем?

— Охватывают ли эти политики и процедуры разрешение доступа к файлам, пароли и установку патчей?

— Имеется ли политика, охватывающая физическую безопасность?

— Все ли учетные записи пользователей имеют пароли?

— Были ли изменены учетные записи, по умолчанию установленные во время установки системы?

— Входит ли в политику запрещение гостевых учетных записей, установленных по умолчанию?

— Регулярно ли отключаются неактивные учетные записи?

— Устанавливаются ли патчи безопасности совместно с установкой всех новых систем?

— Пытались ли вы взломать пароли системы (систем), которую вы обслуживаете, с целью тестирования ненадежных паролей?

— Проводите ли вы периодический аудит для проверки состояния имеющихся средств безопасности?

— Отслеживаете ли вы неавторизованные изменения файлов?

— Уверены ли вы в том, что все сотрудники, устанавливающие ваши системы, обучены политикам и процедурам безопасности вашей компании?

— Проверяете ли вы дважды, что все известные проблемы безопасности решены, перед тем, как подключить к сети новое оборудование или программы?

— Достаточно ли у вас финансируется безопасность?

— Первоочередными ли являются нужды оценки риска, обучения, проведения аудита и разработки политик и процедур?

— Настраиваете и просматриваете ли вы контрольные журналы?

— Принимаете ли вы меры предосторожности при экспорте файловых систем?

— Отключаете ли вы ненужные службы?

Заключительные слова

Во многих компаниях компьютерная безопасность сводится к наличию брандмауэра. Ну ладно, вам так понравилась эта интернетовская штучка, и вам не терпится подключиться к сети. Вы направляете всю свою энергию на выбор правильного брандмауэра и на защиту одного вашего соединения.

Проблема такого подхода состоит в том, что брандмауэр является лишь очень небольшой частью безопасности систем. Вы выбрали один из них и наняли кого-то для его установки. Такая стандартная установка на самом деле увеличивает количество проблем безопасности в интранет. Я это говорю, не просто познакомившись со статистикой. Я это все наблюдаю изнутри сетей — «из окопов».

Это вижу не я одна. По оценке координационного центра CERT, размещенного в CMU, 99 % всех зарегистрированных компьютерных атак явились результатом знания уязвимых мест, на которые уже можно было бы поставить патчи.

Проблемы безопасности интранет реальны — так реальны, что ваши сотрудники должны знать, как настраивать безопасность ваших систем. Иначе каждый бит вашей системы будет подвержен такому же риску, как и информация серверов Trans World.

Глава 3

Поддержка со стороны руководства

Руководители высшего звена, в том числе и директор по информационным технологиям, больше не могут, откинувшись на спинку кресла, думать, что проблемы компьютерной безопасности в полной мере решаются кем-то другим в их компаниях. Они должны играть активную роль в обеспечении безопасности их систем и организаций и давать логическое направление решения таких проблем.

Шесть месяцев назад вы добились успеха и стали директором по информационным технологиям крупной корпорации. Как хороший директор по информационным технологиям, вы неустанно напоминаете о важности вопросов безопасности руководителям высшего звена. Вы прямо даете знать о том, что ваша сеть должна быть безопасной. Точка. Все сказано. Вопросов никто не задает.

Представьте ваше удивление, когда однажды в понедельник утром вы открываете Mercury News и обнаруживаете название своей компании в заголовках — и не по причине поразительных успехов за квартал. В газете подробно рассказывается об атаке хакера на сеть вашей компании. Хакер украл конфиденциальную информацию и выставил ее в Интернете на обозрение всему миру. Это — новость первой полосы, и вы пытаетесь угадать, попадете ли вы в выпуск новостей CNN. Вы также пытаетесь догадаться, что будет с ценой ваших акций и что скажут акционеры.

Всю неделю ваш обслуживающий персонал пытается взять ситуацию под контроль. К несчастью, обнаруживается так много рисков для безопасности вашей сети, что задача кажется непреодолимой. Хакерское подполье ясно знает об этих рисках и, кажется, выбрало вашу сеть в качестве мишени для своих упражнений. Атаки не прекращаются — одна, две и все больше и больше.

Как же такое могло случиться? Вы говорили высшим руководителям компании, что безопасность является главной идеей, и ожидали, что ей будет отдан приоритет. Разве они вас не слушали? Как же они допустили, что электронные взломщики крадут секреты компании? Хуже того, продолжающиеся атаки понижают репутацию вашей компании, ради создания которой вы неустанно трудились. Вместе с репутацией компании не совсем хорошо выглядит и ваша. Это — ваша сеть, и в центре внимания оказываетесь вы.

Кажется невозможным? Невероятным? Может быть, ситуация и сфабрикована, но в ней может оказаться любой начинающий директор по информационным технологиям. Быстро продвигающиеся наверх руководители редко имеют полные знания о настройках сети и ее состоянии. Перед тем как занять этот пост, лишь немногие из кандидатов спрашивают о том, когда сеть подвергалась аудиту безопасности (и прошла ли его). Еще меньшее число из них знакомится с представленным им итоговым отчетом, отражающим уровень риска, или представляет себе, как выглядит на практике борьба за безопасность.

В крупных компаниях многослойная структура управления часто способствует отделению руководящих сотрудников высшего уровня от руководителей более низких звеньев. В результате этого нарушаются связи. Информация, движущаяся сверху вниз, может не дойти до исполнителей. Таким же образом сообщения, посылаемые наверх, легко могут попасть не по адресу или исказиться.

Очевидно, что управляющий, менеджер или директор никогда не задумываются о том, что их сеть может стать зоной действий хакеров и попасть на следующей неделе в выпуск 60 Minutes[12] или в Hard Copy.[13] Но пока вы не будете знать, что в действительности происходит «в окопах», ваша компания будет подвергаться риску. Добейтесь того, чтобы руководители в вашей компании оставили диктаторский стиль и спустились из заоблачной выси на землю. Налаживание каналов общения, открытых в сторону руководства, является одним из важных шагов в достижении реальной безопасности вашей сети. Рассмотрим пример…

Участие руководителей

Миссис Смит, генеральный директор и основатель Internet Software Design (ISD), превратила идею, набросанную на салфетке, в процветающую компанию. Ее компания из Силиконовой долины вошла в список преуспевающих компаний Fortune 500, осваивала новые области передовых технологий и добивалась превосходства над своими конкурентами. Работая в сфере программного обеспечения для Интернета, компания присвоила компьютерной безопасности наивысший приоритет. Миссис Смит постоянно подчеркивала свою приверженность компьютерной безопасности своему руководящему персоналу. Все хорошо знали ее прямолинейный стиль работы, и она всегда добивалась того, чего хотела. Ну, почти всегда.

Как многие руководители, отдающие распоряжения и следящие за их исполнением, миссис Смит считала, что глобальная сеть ее компании безопасна. Так было до того, пока однажды хакер не взломал финансовую сеть компании. Не замеченный обслуживающим персоналом, хакер переслал всю финансовую информацию компании на другую систему в Интернете. Когда пересылка закончилась, хакер послал по электронной почте финансовое положение миссис Смит (включая прогноз доходов) фирме Fishman & McDonald Investors.

К счастью для миссис Смит и ее компании, управляющий этой финансовой фирмы немедленно сообщил содержание электронного письма Чарльзу Уинифреду, финансовому директору миссис Смит. Это сообщение явилось первым сигналом Чарльзу о том, что безопасность сети нарушена, и у него возникло много вопросов. Чарльз хотел знать, как удалось взломать систему. Он хотел знать, почему его обслуживающий персонал не обнаружил неавторизованного доступа к информации. И конечно, он хотел выяснить, кто должен отвечать за кражу и раскрытие информации. В общем, он хотел получить ответы, и немедленно.