Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Безопасность — цель труднодостижимая

Лэрри Гринемейр

Сегодня весьма высока вероятность хищения важных данных вашей компании. Достаточно ли серьезно вы относитесь к этой проблеме?

Несмотря на миллиарды долларов, которые тратятся на продукты, предназначенные для обеспечения информационной безопасности, активную работу в направлении усиления ОС и приложений и все растущее осознание пользователями необходимости бороться с похитителями конфиденциальных данных, большинство организаций сегодня не чувствуют себя в большей безопасности, чем год назад. Ежегодный глобальный опрос по информационной безопасности, проведенный подразделением InformationWeek Research и консалтинговой фирмой Accenture, показал, что по сравнению с 2006 г. 67% из 1101 респондента в США и 89% из 1991 респондента в Китае чувствуют себя в такой же или даже большей опасности.

Свой вклад в данную неприятную ситуацию вносит также сложность технологий обеспечения безопасности, которая возросла настолько, что они сами по себе стали усугублять остроту проблемы. В решении проблемы безопасности почти половина специалистов, опрошенных в США, на первое место по значимости поставили «преодоление сложности технологий обеспечения безопасности». «Так называемая “глубокая защита” (defense-in-depth) на самом деле это всего лишь набор перекрывающихся технологий, которые не решают задачу информационной безопасности прямым и простым способом, — говорит Алистер Маквилсон, директор-распорядитель отдела безопасности компании Accenture. —Это аналогично установке на вашу дверь 20 замков, поскольку вы не уверены, что хотя бы один из них работает».

Тем не менее нужно отметить, что респонденты не выказали достаточной обеспокоенности — особенно в отношении потери и хищения данных компании или клиентов. Только одна треть респондентов в США и меньше половины их в Китае в отношении сложности в обеспечении безопасности на первое место поставили «предотвращение образования брешей». И только четверть американских респондентов назвали несанкционированный доступ служащих к файлам и кражу данных клиентов посторонними лицами в «первой тройке» списка самых актуальных угроз безопасности; еще меньшее число опрошенных указали в этой категории потерю или кражу мобильных устройств, содержащих корпоративные данные, а также хищение интеллектуальной собственности. Такое непонимание чрезвычайности положения дел все еще сохраняется, несмотря на получившие широкую известность крайне неприятные инциденты потери данных, которые в последние два года имели место в компании TJX, министерстве по делам ветеранов, департаменте здравоохранения шт. Джорджия и др.

Первые три позиции упомянутого выше списка, как и в 2006 г., занимают вирусы и «черви» (об этом сказали 65% американских и 75% китайских респондентов), шпионское и вредоносное ПО (56 и 61%), а также спам (40% в обеих странах).

Приоритеты в обеспечении безопасности

Выходит, что профессионалы по безопасности сосредоточивают свое внимание не на тех целях? «Да», — говорит Джерри Диксон, директор отдела кибербезопасности организации Homeland Security и продолжает: «Вы должны знать, где находятся ваши данные и кто имеет к ним доступ. От этого зависит сохранность информации, содержащейся в ваших БД, которую вы используете для ведения вашего бизнеса».

На вопрос, что должно беспокоить профессионалов по безопасности, технический директор компании — поставщика услуг BT Counterpane Брюс Шнаер ответил так: «Предотвращение преступлений и обеспечение соблюдения законодательных требований по информационной безопасности».

Однако похоже, что профессионалы по безопасности упускают суть дела, сосредоточивая внимание на хорошо знакомых им, а не на вновь возникающих угрозах, движущей силой которых является стремление нажиться на чужих ценностях — на принадлежащей компаниям интеллектуальной собственности и собранных ими данных их клиентов. Внимательное изучение результатов нашего опроса показывает, что организации начинают осознавать, насколько все эти ценности уязвимы в отношении возможного хищения.

Например, согласно мнению 70% американских респондентов, причиной № 1 того факта, что в 2007 г. они чувствовали себя более уязвимыми, является увеличившаяся степень сложности методов атак, в частности SQL-инъекций. Этот метод злоумышленники применяют в запросах к веб-сайтам с единственной целью — похитить информацию из БД, к которым имеют доступ веб-приложения.

Можно назвать следующие три причины возникновения сложившегося положения дел. Это увеличение числа направлений, по которым корпоративные сети могут подвергнуться нападению (включая точки беспроводного доступа); непрерывное увеличение количества атак; более злонамеренные атаки (хищение, уничтожение данных и вымогательство). Наш опрос показывает, что, по мнению компаний, в последнее время атаки в меньшей степени нацелены на выведение из строя их сети (хотя именно это продолжает оставаться главным результатом кибератак) и большинство их совершается с целью хищения данных (самой организации или ее клиентов). Только 13% американских респондентов (по сравнению с 26% год назад) поставили атаки, приводящие к отказу в обслуживании (DoS), и другие атаки, причиняющие вред сетям, на первые три места по степени опасности. Китайские респонденты высказали лишь немного большую обеспокоенность по поводу DoS-атак.

Некоторые профессионалы по безопасности продолжают пребывать в блаженном неведении. В 2006 г. в качестве причины для беспокойства впервые были названы botnet’ы — сетевые образования, способные брать под свой дистанционный контроль ИТ-ресурсы и использоваться для инициации атак или хищения информации. И всего лишь 10% американских и 13% китайских респондентов поставили их на первые три места в списке наиболее острых проблем. Возможно, это связано с тем, что часто компании просто не подозревают, что их сети пронизаны botnet’ами. На это, собственно, и делают ставку злоумышленники, контролирующие огромное количество принадлежащих компаниям компьютеров.

В то же время вирусы, «черви» и шпионаж занимают у американских респондентов первые места в списке наивысших угроз безопасности. На седьмом месте в этом списке стоит хищение персональных устройств. Но это не означает, что данный вид угрозы не самый главный. Использование персональных устройств хранения для мошенничества — наихудший вариант развития событий для компании, данные которой попали в чужие руки. Если же данные были похищены и после этого фактов мошенничества не наблюдается, считайте, что вам крупно везет. Упоминавшейся выше компании TJX крупно не повезло, когда некоторые из 45,7 млн записей клиентов, похищенных за последние несколько лет из ее ИТ-систем, «всплыли» недавно во Флориде. Оказалось, что их использовали для создания поддельных кредитных карточек, при помощи которых были обмануты на миллионы долларов несколько магазинов Wal-Mart. Обратный пример — компания VA, в прошлом «прославившаяся» как чемпион по незащищенности данных, потеряла 27 млн записей в результате кражи лэптопа из дома одного из своих служащих, однако до сих пор никаких фактов мошенничества с использованием персональных данных, содержавшихся в этом компьютере, не зафиксировано.

Вот еще один признак, что беспокойство по поводу безопасности данных нарастает. Хотя большинство американских респондентов (43%) при оценке эффективности вложений в безопасность в первую очередь обращали внимание, насколько эти вложения сокращают объем трудозатрат на устранение проблем безопасности, вторыми по числу (35%) стали респонденты, отдавшие приоритет тому, насколько эти инвестиции улучшают защиту данных клиентов, и третьими (33%), — посчитавшие важнее всего снижение количества брешей.

Возможно, самый удивительный вывод этого опроса заключается в отсутствии вообще всякой оценки эффективности инвестиций в безопасность, о чем высказались почти четверть американских респондентов.

«Везунчики»

Как уже было сказано, наиболее ощутимым результатом кибератак считается выход сетей из строя, затем идет прекращение работы бизнес-приложений, включая электронную почту. На третьем месте по важности, согласно мнению четверти американских и 41% китайских респондентов, стоит угроза конфиденциальности персональных данных. Четвертое место занимают так называемые «незначительные» финансовые потери, на которые указали 18% американских и 21% китайских респондентов. Можно сказать, что им повезло.

Финансовые последствия нарушений безопасности в кратко-срочном плане трудно подсчитать — особенно, когда речь идет об утрате данных. И действительно, наибольший процент респондентов (35% в США и 31% в Китае), столкнувшихся с этой проблемой, не могут назвать всей суммы понесенных убытков.

Тем не менее в долгосрочном плане убытки от нарушения безопасности данных могут быть весьма ощутимыми. Компания TJX сообщила, что за III финансовый квартал, закончившийся у них 28 апреля 2006 г., ее потери от вторжения в компьютеры равняются 20 млн долл. Потери флоридских супермаркетов сети Wal-Mart составили около 8 млн долл.

За последние 12 месяцев члены теневого сообщества злонамеренных хакеров и киберворов совершили ряд крупных вторжений, и опасения насчет их следующего удара не дают покоя большинству профессионалов по безопасности. Больше половины опрошенных указали на компьютерных взломщиков как на субъектов вторжений или шпионажа в своих компаниях за прошлый год, и больше трети из них подозревают в имевших место нарушениях авторов зловредных программ. Почти столь же значителен рост (с 28 до 34%) числа опрошенных, указавших в качестве основной причины нарушений несанкционированный доступ пользователей к информационным ресурсам предприятий.

Главной заботой Рича Мэррила, директора по ИТ медицинского центра BryanLGH (г. Линкольн, шт. Небраска), является защита персональных данных пациентов. При этом речь идет не только о защите от злонамеренных хакеров, но и от неправильного (намеренного или нет) использования их служащими самого центра. Г-н Мэррил говорит: «Нас всегда беспокоит, что люди могут передавать свои данные аутентификации другим людям, и что эти данные, попадая в ноутбуки и флэш-карты, с их помощью могут выходить за пределы центра». Решение проблемы, по его мнению, состоит в учреждении образовательных программ для служащих, которые должны сочетаться с внедрением технологий безопасности, включая шифрование.

Г-н Мэррил считает, что без тщательного управления правами доступа пользователей и без требования от них защиты своих паролей организации создают себе «скрытую угрозу». Например, «многие записывают на бумажке свои имя и пароль, повсюду носят ее с собой или даже отправляют эти данные на свои ПК электронной почтой». Разве это не распространенная ситуация?

Китайский синдром

Ответы американских и китайских респондентов похожи, но во многом и отличаются. Например, использование уязвимостей ОС является основным методом атак в обеих странах — так считают 43% респондентов в США и две трети респондентов в Китае. Похожее соотношение показателей получилось и в отношении второго основного метода атак — через известные уязвимости приложений. Этот метод отметили 41% китайских и менее четверти американских респондентов, что может быть следствием большого объема пиратского ПО, используемого в Китае. Это мнение г-на Маквилсона, представителя компании Accenture. «Из-за этого они не имеют доступа к программным “заплатам”», — утверждает он.

Среди других популярных методов атак, указанных респондентами, можно назвать вводящую в заблуждение информацию во вложениях сообщений электронной почты (26 и 25%) и использование неизвестных уязвимостей ОС (24 и 31%). Указывались также и другие проблемы. Из 804 американских респондентов, которые признались, что за последние 12 месяцев столкнулись с нарушениями режима ИТ-безопасности или шпионажем, 18% относят эту проблему на счет несанкционированного доступа и 16% подозревают в этом «нормальных» пользователей и служащих.

Но это значительно меньше, чем в 2006 г., когда о подобных нарушениях сообщили почти 25% организаций. И это удивительно, поскольку факт, что служащие являются слабым звеном в системе безопасности, неоспорим. Пресловутый Гэри Мин, пытавшийся обворовать своего бывшего работодателя, химическую компанию DuPont, хотел продать, в том числе, торговые секреты компании стоимостью примерно 400 млн долл. компании-конкуренту, но последняя известила об этом ФБР. Без особых ухищрений, Мин копался в грудах pdf-файлов, содержащих полные тексты конфиденциальных документов. Все это хранилось на сервере электронной библиотеки данных DuPont — одной из главных БД компании для хранения конфиденциальной информации и информации, содержащей коммерческую тайну. Он загрузил с сервера около 22 тыс. аннотаций и обращался приблизительно к 16 706 документам, что в 15 раз больше числа обращений самого активного пользователя библиотеки за то же время. Мин признал себя виновным и был приговорен к 10 годам тюрьмы, штрафу в размере 250 тыс. долл. и возмещению убытков.

Если оставить в стороне умышленное кибермошенничество, то фактом является также отсутствие у служащих средств защиты данных, которые они хранят на своих принадлежащих компании-работодателю средствах — главным образом в ноутбуках. Количество случаев воровства последних из автомобилей служащих и их домов ошеломляет. В мае 2007 г. из автомобиля стажера одного госучреждения было украдено компьютерное устройство для резервного хранения данных, содержащее имена и номера социального страхования всех трудоустроенных жителей шт. Огайо. Двенадцатью месяцами ранее из автомобиля служащего компании Ernst & Young в Техасе был украден ноутбук, содержащий имена, адреса и данные кредитных и дебетовых карточек 243 тыс. клиентов компании Hotels.com. «В большинстве случаев причина таких краж — человеческий фактор или плохая организация бизнес-процесса», — считает Ронда Маклин, исполнительный директор консалтинговой фирмы MacLean Risk Partners и бывший начальник отдела безопасности Bank of America и компании Boeing.

Всего 5% респондентов указали, что нарушения, произошедшие в их организациях, были связаны с деятельностью привлеченных сервис-провайдеров, консультантов и аудиторов. Но это не означает, что данное направление не должно вызывать беспокойство.

В апреле 2007 г. Министерство здравоохранения шт. Джорджия сообщило о потере 2,9 млн записей, содержащих личную информацию (фамилию, имя, адрес, дату рождения, номера карт получателей услуг медицинского и социального страхования), из федеральной системы медицинской помощи неимущим Medicaid. Все произошло из-за пропажи компьютерного диска у сервис-провайдера — компании Affiliated Computer Services, получившей подряд на обработку обращений к системе здравоохранения штата.

«Если какой-то наш партнер или сервис-провайдер должен иметь доступ к каким-либо нашим данным, то мы требуем, чтобы в заключаемом с ним контракте был прописан пункт, дающий нам право регулярно проверять у них меры безопасности», — говорит Рэнди Барр, начальник отдела безопасности WebEx, компании по организации веб-конференц-связи. Г-н Барр убежден, что все их подрядчики, имеющие доступ к информационным системам компании, должны проходить скрупулезную проверку; это является политикой компании с 2004 г.

Если вы думаете, что простого обучения служащих и партнеров политике безопасности вашей компании будет достаточно, чтобы удержать в принципе честных людей от передачи информации о клиентах в электронных письмах, через системы мгновенного обмена сообщениями и файлообменные сети, то жестоко ошибаетесь. Да, согласно мнению 37% респондентов, главнейшая тактическая задача в области безопасности для американских компаний — это воспитание и поддержание высокого уровня бдительности пользователей. Но в 2006 г. такую точку зрения высказывали больше респондентов — 42%. Сегодня немного — по сравнению с прошлым годом — американских компаний планируют установить у себя средства управления доступом и мониторинговое ПО, а также защитить системы удаленного доступа. В то же время в Китае компании сосредоточивают внимание на установке межсетевых экранов для приложений, средств управления доступом и мониторингового ПО.

Всего 19% респондентов считают, что обучение персонала методам и политике безопасности может существенно уменьшить количество нарушений, связанных с неосмотрительными действиями служащих; такой же процент был и в 2006 г. «Требуется нечто большее, чем просто показать им несколько видеороликов, — говорит Ронда Маклин. — Вы должны следить за обучением служащих и проверять, как они понимают хотя бы основные принципы того, чему вы пытаетесь научить их».

В прошлом году Медицинский центр Eisenhower (Ранчо Мираж, шт. Калифорния) перешел с бумажной формы ведения медицинских карт пациентов на электронную форму, что очень сильно повысило требования к системе безопасности учреждения. «Наша ответственность за обеспечение безопасности данных наших пациентов сильно возросла, — говорит главный ИТ-менеджер центра Дэвид Перец.— Проблема заключается не только в том, что данные стали доступны во всех узлах сети центра, но и в значительном росте объема информации. Несколько лет назад система компьютерной томографии выдавала 250–500 изображений, а сейчас наша новая система может выдавать их до 5 тыс.».

По мере того как увеличивается число врачей и других медицинских работников центра, входящих для выполнения своей работы в его внутреннюю сеть, г-ну Перецу и его команде приходится уделять все больше внимания проблемам безопасности и предоставлять доступ к определенным медицинским записям только тем врачам и медработникам, которые имеют на это право по долгу службы — как того требует закон HIPAA. «Когда человек устраивается на работу в центр, он подписывает обязательство о соблюдении конфиденциальности,— говорит г-н Перец. — Мы также размещаем на портале соответствующие напоминания служащим».

Подход «Старшего брата»

Некоторые компании предпочитают использовать для обеспечения информационной безопасности так называемый подход «Старшего брата». Из американских респондентов, сообщивших, что их компании контролируют действия своих служащих, у 51% контролируют пользование электронной почтой, у 40% — работу в Интернете и у 35% — пользование телефонной связью. Эти данные примерно совпадают с данными предыдущего опроса. Однако другим источникам утечки информации уделяется меньше внимания: всего 29% контролируют службы мгновенного обмена сообщениями, 22% — открытие вложений в электронные письма и 20% — содержание сообщений электронной почты, отправляемых за пределы организации. И лишь незначительное число компаний тщательно следят за использованием портативных устройств хранения данных.

Тем не менее, по мнению 42% респондентов, утечка данных — это достаточно серьезное нарушение безопасности, и служащих, виновных в таких нарушениях — при условии, что они прошли соответствующее обучение — следует штрафовать или наказывать иным образом. Ронда Маклин занимает еще более жесткую позицию: «Увольнение довольно серьезное наказание, но в некоторых случаях оно обоснованно, как и преследование в гражданском порядке или даже уголовное преследование».

Существенное число респондентов склонны возлагать ответственность за плохую систему безопасности на компании, продавшие им соответствующие технологии. Так, 45% американских и 47% китайских компаний считают, что продавцы систем безопасности должны нести как юридическую, так и материальную ответственность за уязвимость своих продуктов и услуг.

Одной из причин возникновения проблем с обеспечением информационной безопасности предприятий может быть и отсутствие в большинстве компаний единого руководителя по безопасности, который мог бы оценивать риски и угрозы и затем предпринимать соответствующие действия для их устранения. Разработка политики информационной безопасности в большинстве компаний — это процесс коллективный и свой вклад в него вносят главный управляющий, руководители кадровой службы, ИТ-службы и службы физической безопасности. В медицинском центре Eisenhower, например, нет старшего руководителя по безопасности ИТ, решения по обеспечению соблюдения требова-ний законодательства принимают члены генерального совета, а над разработкой политики работают Дэвид Перец, занимающий должность руководителя информационной службы, и системные администраторы. «Мы собираем информацию от руководителей всех отделов с целью узнать, к каким системам и данным им нужно иметь доступ,— говорит г-н Перец. — Это интересный и непрерывный процесс. Доктора хотят иметь свободный доступ, и мы пытаемся сделать его более безопасным».

В 2007 г. число руководителей по безопасности ИТ значительно выросло. Примерно три четверти респондентов сказали, что в их компаниях они есть (по сравнению с 39% в 2006 г.). Руководители по безопасности ИТ чаще всего подчиняются главным управляющим или руководителям информационных служб компаний.

Однако представители половины американских компаний говорят, что при получении ассигнований на безопасность окончательное решение принимает главный управляющий компании. В США самое большое число респондентов — 37% — считают, что в их компаниях риски и угрозы оцениваются без участия руководителей по безопасности ИТ. При этом, по мнению 22% респондентов, — и это поразительно — в их компаниях вообще не проводится регулярная оценка рисков и угроз в отношении безопасности информационных ресурсов.

В США доля ИТ-бюджетов компаний, выделяемая на нужды безопасности, почти не меняется — в 2007 г. она составила в среднем 12% по сравнению с 13% в 2006 г. В этом отношении Китай находится на подъеме — в 2007 г. этот показатель в среднем составил 19% по сравнению с 16% в 2006 г. Интересно отметить, что 39% американских и 55% китайских компаний ожидают, что расходы на безопасность неизбежно возрастут.

Если все это действует на вас угнетающе, не паникуйте. Конечно, обеспечивать безопасность ИТ стало сложнее, так как злоумышленники постоянно меняют как свои методы, так и свои цели, и организациям приходится нагромождать один на другой все больше продуктов безопасности. Но вот и хорошая новость: меры, необходимые для закрытия большинства брешей в системе безопасности, часто определяются здравым смыслом — надо просто тщательнее следить за всеми служащими и менеджерами, имеющими дело с чувствительными данными..

  
1 '2008
СОДЕРЖАНИЕ

инфраструктура

• ИБП для ЦОДов: технические решения

• Архитектура DASH совершенствует удаленное управление ПК

• Оптические иллюзии, или HD-DVD против Blu-ray

• Технологические решения для резервного копирования данных

• Ох, уж эти устройства Wi-Fi!

сети связи

• Carrier Ethernet

• Нет ничего проще: нажми и говори

• Особенности разработки инфокоммуникационных услуг на языке VoiceXML

информационные системы

• Продукты для SOA

• Мобильные приложения вступают в свои права

• Zenoss Core, или Искусство системного управления

• Тестируем продукты автоматизации ИТ-процессов

кабельные системы

• Витопарные кабельные системы для сетей 10-Gigabit Ethernet

• Интегрированные модули: альтернативное кабельное решение для ЦОДов

защита данных

• Безопасность — цель труднодостижимая


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх