Заключительные слова
Заключительные слова
Сегодня в насыщенной различными видами связи деловой среде внешние подключения стали такой же частью бизнес-структуры, как телефоны, круглосуточная доставка и межофисные низкие перегородки. На то, что ваш партнер расставил все средства защиты, просто так полагаться нельзя. Уверенность можно получить только при наличии безопасной архитектуры, правильного ее воплощения и тестирования.
McConnell Drugs поверила в то, что JFC расставило все необходимые средства защиты — средства, которые защитили бы информацию как JFC, так и McConnell Drugs. Такое доверительное рукопожатие могло бы привести к уничтожению информации и репутации McConnell, a JFC могла бы завершить свой путь в суде. Сотрудники McConnell легко могли бы «скачать» плохой файл, содержащий «троянского коня», «червя» или вирус.
Если вы все еще не знаете, какой разрушительной может быть атака вируса, то вы счастливчик. Исследование CSI 2002 года показало, что 85 процентов респондентов обнаруживали вирусы. Это неудивительно, если принимать во внимание скорость, с какой новые его «штаммы» распространяются. Как говорится в «Обзоре направлений развития атак» ("Overview of Attack Trends"), опубликованном CERT, «программы-вирусы, подобные Code Red, распространяются самостоятельно до состояния глобального насыщения менее чем за 18 часов». А ущерб? Computer Economics[26] сообщила, что общий удар, нанесенный Code Red и его «двоюродным братом» Code Red II по американской экономике, оценивается в 2 миллиарда долларов.
Внешние подключения представляют собой большую проблему и ими трудно управлять. Знаете ли вы, сколько модемных подключений имеется в вашей компании? Разрешено ли вашим инженерам устанавливать модемы в лаборатории, в которой хранится исходный код вашей программы? Если вы не можете ответить на эти вопросы, то вас может ожидать большой сюрприз.
К сожалению, даже компании с серьезными юридическими и моральными намерениями контролировать доступ часто оказываются одураченными. Аудит безопасности одной такой организации (большой больницы, где стремились закрыть доступ к конфиденциальным файлам пациентов) обнаружил в ней 75 неразрешенных модемов. Почти в каждом случае врач или администратор, обладающие достаточной пробивной силой, находили обходный путь вокруг политики, предусмотренной для внешних соединений. Для того чтобы быть полезными, политики безопасности должны быть применимы к каждому без исключений. Политики с правилами, которые легко «объехать», не стоят даже бумаги, на которой они написаны.
Защита вашей системы от атак требует большего, чем «честное слово и одно крыло».[27] Она требует обучения, решительности и сильного стремления к контролю над доступом к вашим системам. Анализируя контроль за доступом в вашей компании, убедитесь, что правила являются действительно правилами, а не общими директивами, которые сотрудники могут свободно игнорировать при малейшем ощущении их неудобства.