Чтение онлайн

Как ни печально сообщать, но возможность чтения вашей почты другими людьми является не единственным риском, которому вы подвергаетесь как пользователь электронных средств информации. Вы можете подвергнуться «спаму», [55] угрозам заражения вирусами, реальному заражению вирусами, «червями», «троянскими конями» и т. д. Соответствующие программные инструменты могут предотвратить возникновение некоторых из этих проблем. Например, хотя «спам» продолжает нарастать, только 21 процент пользователей электронной почты используют программы-фильтры «спама» (Opt-In News, май 2002 года).

Семьдесят шесть миллиардов «спам»-сообщений будет разослано по электронной почте по всему миру в 2003 году (eMarketer, 2002 год). При таких цифрах необходимо иметь программное обеспечение, предназначенное для борьбы с этой проблемой. Если фильтрация «спама» у вас еще не используется, то руководству необходимо включить в бюджет на безопасность расходы на программы-фильтры «спама» или на службу фильтрации «спама».

«Спам» вреден, по меньшей мере, своей назойливостью, но вредоносные программы являются разрушительными и означают причинение ущерба. Убытки от эпидемий вредоносных программ в 2001 году составили 13,2 миллиарда долларов. Компаниям необходимо создавать многоуровневую систему обороны для защиты от этих злобных атак. Это означает защиту в каждой точке входа. Серверы, персональные компьютеры и другие устройства также должны иметь защиту (например, защиту от вирусов, брандмауэр, детектор вторжения и средство предотвращения вторжения). Атаки вредоносных программ становятся более изощренными и будут причинять больший ущерб. Защита от них является одной из приоритетных задач каждой компании.

Ежедневно миллионы предпринимателей вкладывают свои надежды и мечты в почтовые послания, которые затем отправляют в плавание по Интернету. Если они делают это, не применяя шифрования, то, следовательно, забывают о всякой осторожности.

Применение технологий шифрования для ваших деловых сообщений по электронной почте является одной из самых легких и самых важных мер предосторожности для сохранения в тайне ваших секретных планов.

Наконец, не дайте себя застать врасплох, не обеспечив несколько уровней защиты от угроз. Электронная почта предоставляет противнику легкий способ засылки вирусов, «червей», «троянских коней» в вашу компанию. Для вредоносных программ существует много различных способов входа в вашу корпоративную сеть, и вам нужно оценивать вашу способность по предотвращению и защите как от известных угроз, так и от неизвестных.

Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые места в них имеются.

Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руководство никогда не выполняло рекомендаций аудита по устранению этих нарушений.

Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность

систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.

Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального директора или финансового директора лучше понимать вопросы безопасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличиваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программные инструменты, расширение штата, обучение, политики [56] и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.

Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.

Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.

Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на некоторые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполнения своих политик; 2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.

В компании Costa Corp выработалась практика исключений, которая позволяла руководству игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что руководитель, подписавшийся под подобным исключением, действительно понимал требования безопасности. Предоставление руководителям, не понимающим таких требований, права игнорировать меры безопасности уже само по себе представляет риск. При таких обстоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой ущерб они могут причинить.