Глава 11 Оглядываясь назад: что будет дальше?
Глава 11
Оглядываясь назад: что будет дальше?
Хотя в их стране главное внимание сосредоточено на безопасности, в действительности американские предприниматели не вкладывают средства в устранение «дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоционального значения» — например, утраты информации кредитных карточек клиентов для получения повода к вложению таких средств. Проблема состоит в том, что они могут получить этот повод слишком поздно.
Джон Кирби, директор по стратегиям защиты предприятий, безопасности и обеспечению тайны, информационным технологиям предприятий, Electronic Data Systems (EDS)
Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые места в них имеются.
Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руководство никогда не выполняло рекомендаций аудита по устранению этих нарушений.
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального директора или финансового директора лучше понимать вопросы безопасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличиваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программные инструменты, расширение штата, обучение, политики[56] и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.
Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.