IT-безопасность: стоит ли рисковать корпорацией? - Линда Маккарти

Мой последний день: Отношение к работе может говорить о многом

Я услышала звонок будильника, когда он уже заканчивался. В некоторые дни 4.30 утра наступает слишком быстро. Лишь несколько минут у меня ушло на то, чтобы сосредоточиться на событиях предстоящего дня, включая и окончание моей работы в Global Chips.

Это заставило меня двигаться. Я вылезла из постели и решила побегать на домашнем тренажере, не показываясь на люди, Закончив пробежку, я быстро приняла душ, собрала себя воедино и выскочила за дверь.

По дороге в Силиконовую долину я ничем не могла объяснить слепоту Карла, который считал, что его эксперт по брандмауэрам оказывает ему хорошую услугу. Как удается людям наподобие Джозефа легко дурачить таких, как Карл? Могут ли такие руководители, как Карл, действительно быть такими беспечными и небрежными в отношении охраняемой ими информации? Может быть, они убеждают себя в том, что все в порядке, из-за того, что не хотят думать об обратном? Думаю, что это вопросы, на которые даже аудиторы не смогут ответить.

Через несколько часов отчет был закончен. Встреча с Перри была назначена на 3.00 дня, и я была к ней готова. Точно в 3.00 я и Тед прибыли в здание Перри, чтобы представить мой отчет. Перри нас ждал.

Во время нашего быстрого продвижения по отчету я наблюдала за реакцией Перри. Она проявлялась в нежелании верить. Ну отчету, в общем, он верил. Но был изумлен тем, что реальный риск сводился к распределению ролей и обязанностей. Представьте себе, что вся ваша компания подвергается риску из-за того, что не четко определены роли и обязанности по обеспечению безопасности.

Я ничего не сказала в своем отчете о Карле и Джозефе. Такую информацию я никогда не передаю в письменном виде, лучше делать это в процессе обсуждений. Мне не нравится, когда людей увольняют, но иногда приходится это рекомендовать. Я указала в отчете, что существующее отношение сотрудников к своей работе будет продолжать ставить компанию под угрозу, даже если будет поставлен новый брандмауэр. Кто и как относится к своим обязанностям, было видно и без имен. Моя работа была сделана.

Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать

Страшно видеть, что может случиться с компанией, в которой нет четко определенных ролей и обязанностей. Когда такое доходит до обеспечения безопасности, то фраза «Это не моя работа» распространяется как леской пожар. В рассказанной истории Global Chips легко отделалась. Любой хакер, взломавший их систему, мог бы украсть проекты чипов или другую критичную информацию. Поэтому один только администратор брандмауэра таил в себе разрушительный потенциал для будущего целой компании.

Конечно, бездействие Джозефа потому, что «Это не его работа», является лишь частью проблемы. Менеджеры, наподобие Карла, обостряют эти проблемы, скрывая факты вместо того, чтобы взять на себя ответственность за свою территорию и построить крепкую группу технической поддержки.

Когда люди берут на себя ответственность за системы, то они также получают в наследство и ответственность за информацию в этих системах. Кажется, эти парни этого не осознали. У меня сложилось впечатление, что Карл больше интересуется игрой в гольф и хоккейной командой Sharks из Сан-Хосе, чем безопасностью компании. Я тоже люблю гольф и болею за Sharks, но я приношу домой чек за свою работу, а не за ее имитацию, Карл (и начальник Карла тоже) должен знать, что Джозеф выдает некондиционные результаты.[42]

Высшие руководители часто устраняются от того, что в действительности происходит на переднем крае. Тем не менее в этом случае именно высшее руководство было озадачено серией взломов. А линейные менеджеры явно уснули за рулем.

Для того чтобы система обеспечения безопасности работала, каждый уровень руководства должен брать на себя долю ответственности за обеспечение безопасности. Если высшее руководство не выделяет средств на обеспечение безопасности, то безопасность от этого страдает. Если линейные менеджеры не занимают активной позиции в поддержке системы безопасности, то безопасность также страдает. Если менеджеры среднего уровня не передают информацию наверх, то опять страдает безопасность. Не заставляйте страдать безопасность в вашей компании. Добейтесь понимания каждым своей роли.

Как заметил Маркус Ранум в своих интернетовских Firewalls FAQ, «Интернет, как и остальная часть нашего общества, измучен недоумками, наслаждающимися электронными эквивалентами росписям чужих стен краской из баллончика, срыванию чужих почтовых ящиков или оглашению улиц сигналом из своего стоящего посреди дороги автомобиля… Задачей брандмауэра является выкинуть этих сопляков из вашей сети, не нарушая вашей способности закончить работу». Вы удивитесь, как много таких «недоумков» вас окружают!

Что еще хуже, многие из этих нарушителей порядка переходят от раздражающего вандализма к настоящим преступлениям. Кто от них страдает? Почти что все. Исследование, проведенное CSI в 2002 году, установило, что 90 процентов респондентов обнаружили бреши в безопасности компьютеров. Хотя очевидными целями являются политические организации (как Белый дом) и фирмы, известные своей задиристостью (как Microsoft), существенному риску подвергаются все виды деятельности. Даже атаки, направленные на искажение внешнего вида веб-сайтов,[43] ранее считавшиеся шалостью, а не преступлением, в действительности приводят к большим убыткам. Эксперты оценивают стоимость простоев в американской экономике, связанных с нарушением безопасности, в 273 миллиарда долларов ежегодно. Особому риску подвергаются виды бизнеса, использующие Интернет.

В то время как Интернет открыл двери различным видам бизнеса для экспансии в мировую экономику, он также открыл множество окон для компьютерной преступности. Для того чтобы закрыть эти окна, требуются четкое и согласованное определение ролей и обязанностей, а также шлюзовые технологии, подобные брандмауэрам.

Мы пойдем другой дорогой…

Роли и обязанности являются ключом к успеху в любой программе обеспечения безопасности. Главной проблемой в этой истории было то, что ни одна из групп технической поддержки в Global Chips не взяла на себя ответственности за написание и выполнение политик и процедур для брандмауэра. Такой подход оставил открытой всю сеть — как будто бы они ждали хакера. Вот что должна была сделать Global Chips вместо этого.

Определить роли и обязанности

Ясно определяйте роли и обязанности по обеспечению безопасности в вашей компании. Если ответственность по обеспечению безопасности пересекает границы между подразделениями (например, ложится одновременно на системных администраторов, администраторов группы обеспечения безопасности и администраторов брандмауэра), добейтесь того, чтобы все игроки знали, какую роль они должны играть.

Разработать политики и процедуры для брандмауэра

Эксплуатация брандмауэра без политик похожа на езду в темноте без включенных фар. Рано или поздно вы попадете в аварию. Люди должны знать, что им разрешено, а что нет. Не позволяйте вашему администратору брандмауэра вас одурачить и скрывать от вас эту информацию в своей голове. Если он уйдет из компании, то вместе с ним уйдут политики и процедуры для поддержки вашего брандмауэра.

Политики и процедуры должны быть изложены на бумаге и постоянно обновляться. В идеале поручите кому-нибудь эту задачу персонально. Даже лучше сделайте выполнение этой задачи итоговой целью года.

«Кормить» свой брандмауэр

Брандмауэры обычно состоят более чем из одной машины. В некоторых компаниях брандмауэром считается целый комплекс, в который входят хост-машины, сети и маршрутизаторы. Брандмауэры нужно «питать». Для поддержки «здоровья» брандмауэра обеспечьте его профессиональным администратором, регулярно проводимой модернизацией, современными патчами и обучением. Не допускайте того, чтобы замок на вашем брандмауэре заржавел, как это случилось в Global Chips.

Читать свои контрольные журналы

Вам не принесет много пользы поддержка брандмауэром множества контрольных журналов, которые вы никогда не просматриваете. Хотя Global Chips была взломана много раз, они легко отделались потому, что у них были хорошие контрольные механизмы, сообщающие им о взломе системы хакером.

Когда в последний раз хакер стучался в вашу дверь? Смог ли он зайти? Кто это знает? Это должны знать вы. Если нет, то вы невнимательны. Добейтесь использования надлежащих механизмов регистрации и контроля.

Использовать программы обнаружения взлома

Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение 2000 года в Пентагоне обнаружили 245 успешных кибератак. Так как в Пентагоне были внедрены хорошие механизмы обнаружения, то его должностные лица знали о том, что вместе с тем было 24 000 безуспешных атак. Знание их количества дало более ясную картину реального риска.