Угрозы требуют действий
Угрозы требуют действий
Сценарий атаки на канадскую плотину, о котором уже было рассказано, может показаться немного надуманным. Однако заглянем в репортаж в Washington Post за 27 августа 2002 года, в котором говорится, что войска США в Афганистане в январе того же года захватили компьютеры Аль-Кайды. В одном из них содержались компьютерная модель плотины и программное обеспечение, позволяющие моделировать ее катастрофическое разрушение при подготовке террористического акта. В ходе расследований, проведенных американскими специалистами, появились свидетельства того, что члены Аль-Кайды проводят время на веб-сайтах, которые содержат программы и команды для переключателей с цифровым управлением, расположенных в сетях электроснабжения, водоснабжения, транспортных сетях и сетях связи, о чем сообщалось также в Post. Атаки на инфраструктуру США вполне возможны, и если они будут успешными, то вызовут общенациональную катастрофу. Об атаке такого вида сообщалось в июне 2001 года, когда хакер пришел из сети, управляемой компанией Chinese Telecom, и преодолел защиту учебной сети, принадлежавшей компании California Independent Systems Operator (Cal-ISO), которая контролирует всю сеть электроснабжения штата. Очевидно, что подобные угрозы реальны.
Действия организации против таких угроз могут потребовать свежего взгляда на имеющиеся у нее политики, процедуры и средства защиты с целью определить их соответствие правилам, установленным для ее отрасли.
Например, соответствуют ли они следующим документам:
1. Стандарт ISO 17799. Впервые опубликованный в 1995 году стандарт BS7799 стал так широко использоваться во многих странах в законодательной практике по информационной безопасности, что был переработан в международный стандарт ISO 17799.
2. Акт Грэма-Лича-Блайли (GLB — Gram Leach Bliiey Act). GLB является федеральным законом, требующим от финансовых учреждений защищать индивидуальную финансовую информацию от утраты и кражи. GLB требует от федеральных органов, регулирующих деятельность финансовых учреждений (таких как Управление контролера денежного обращения, Совет управляющих федеральной резервной системы, Федеральная корпорация страхования депозитов и Управление по надзору за сберегательными ассоциациями)[69] создания правовых стандартов для защиты этой финансовой информации.
3. Акт о сохранении тайны и защите информации о состоянии здоровья (НIРРА — Health Information Privacy and Protection Act).[70] HIPPA определяет защиту персональной информации о состоянии здоровья. В нем установлены правила обеспечения безопасности информации о состоянии здоровья, которая передается или хранится в электронном виде. Хотя этот акт находится на стадии разработки, но, вероятно, что черновой вариант останется окончательным. Затем учреждения, на которые он распространяется, должны будут в течение двух или трех лет (в зависимости от своих размеров) его выполнить.
Компания Costa Corp имела хорошие намерения, но ее руководители, борясь с ограниченностью ресурсов и времени и осуществляя другие деловые инициативы, не смогли выяснить угрозы своей организации, научиться, как уменьшить риски, и принять меры по уменьшению этих рисков. Они делегировали вопросы безопасности, устранив должностных лиц, директоров и высшее руководство из процесса принятия решений. Как ранее заметил юрист Дэн Лэнджин, исходя из «принципа благоразумия», должностные лица и директоры не могут полностью делегировать свои обязанности по обеспечению информационной безопасности. Недостаточно просто заявить: «У меня есть отдел, который заботится об обеспечении безопасности».
Угрозы возрастают, и атаки становятся более изощренными. Действия против известных и неизвестных угроз требуют большего, чем благие намерения руководства, — они требуют решимости, финансирования, активности и людей, которые бы понимали, что такое безопасность, и принимали правильные решения.
Многие виды денежного вознаграждения руководителей связываются с выполнением ими деловых инициатив и достижением ими корпоративных целей. Добейтесь, чтобы в вашей компании обеспечение безопасности стало одной из корпоративных целей. Выясните, что могут сделать для повышения безопасности отраслевые стандарты и как они должны внедряться в вашу среду. Используйте рычаги деловых инициатив, включив в них с самого начала вопросы безопасности, и не делегируйте обязанности по обеспечению безопасности. Мы на войне — враг уже у ворот вашей сети. Не стойте на месте, иначе вам придется участвовать в каком-либо запутанном судебном процессе из-за того, что ваше руководство не приняло достаточных мер по защите вашей компании или не принимало их вообще.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Совет 66: Угрозы для всех систем
Совет 66: Угрозы для всех систем Бытует мнение, что вредоносные программы пишутся лишь под Windows, другие же платформы от этой напасти избавлены. Это верно лишь для тех операционных систем, которые, как неуловимый Джо из известного анекдота, никому не нужны. Linux и Mac OS уже давно
1.2. Угрозы безопасности информации
1.2. Угрозы безопасности информации Угроза информации – это возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения)
6.1. Угрозы, подстерегающие пользователя
6.1. Угрозы, подстерегающие пользователя Спрашивается, кому нужен самый обычный домашний пользователь и его сеть? Некоторые пользователи, наивно полагая "да кому я нужен?", попросту пренебрегают самыми основными правилами информационной безопасности.Итак, что же угрожает
Глава 22 Автоматизация действий
Глава 22 Автоматизация действий Adobe Photoshop содержит возможности автоматизации действий, которые можно и нужно использовать в тех случаях, когда вы сталкиваетесь с повторением одинаковых (или почти одинаковых) операций или когда требуется обработать большое количество
Триггеры действий пользователя
Триггеры действий пользователя Есть прекрасная возможность написания собственных триггеров для выполнения дополнительных действий по поддержке ссылочной целостности. Хотя автоматические триггеры достаточно гибкие для того, чтобы предусмотреть большинство
Инкапсуляция действий со ссылками
Инкапсуляция действий со ссылками Теперь накоплено достаточно подтверждений того, что любая система моделирования и разработки ПО должна поддерживать понятие ссылки, а, следовательно, и динамические псевдонимы. Как теперь справиться с неприятными последствиями?
Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил
Кафедра Ваннаха: Угрозы и технологии Ваннах Михаил Опубликовано 02 ноября 2010 года 23 октября 2010 года в Соединенных Штатах произошло очень интересное событие. Оно не сопровождалось роскошными визуальными эффектами, вроде тех, которые наблюдались при
Характер угрозы
Характер угрозы История Рифкина прекрасно описывает, насколько мы можем заблуждаться в своём ощущении безопасности. Инциденты вроде этого – хорошо, может быть стоимостью не в $10 миллионов, но, тем не менее, болезненные инциденты – случаются каждый день . Возможно, прямо
КАФЕДРА ВАННАХА: Политики требуют продолжения политики?
КАФЕДРА ВАННАХА: Политики требуют продолжения политики? Автор: Ваннах МихаилРазговоры о погоде были весьма популярны с самого возникновения человеческого общества. Так приятно за чашей настойки мухомора, пейотля, просяного пива или за чашечкой китайского чая
Угрозы реальные и мнимые
Угрозы реальные и мнимые Автор: Киви БердСамым, пожалуй, ярким и запоминающимся следом, который сумел оставить в истории американский политик Джон Хамре (John Hamre), стала его речь в Конгрессе США 9 марта 1999 года, когда в качестве замминистра обороны он впервые отчеканил
Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов
Угрозы, с которыми столкнутся приставки следующего поколения Михаил Карпов Опубликовано 04 февраля 2013 В конце февраля, похоже, Sony планирует объявить PlayStation 4. Несмотря на то что совсем недавно руководство Sony говорило о том, что спешить с анонсом
Компьютеризованные истории болезни: угрозы
Компьютеризованные истории болезни: угрозы Врачи не строят оптимистичных иллюзий относительно угроз, которые возникают в связи с компьютеризацией историй болезни. Согласно проведенному в 1993 году Harris-Equifax опросу, 74 % врачей считают, что компьютерные системы «почти
Другие угрозы
Другие угрозы Компьютеризация подвергает приватность и другим рискам, которые только сейчас становятся очевидными. Вспомним услугу по расшифровке диктофонных записей в Индии. Что, если служащий индийской фирмы узнает имя пациента, чью запись он расшифровывает и решит