Риск для всей корпорации
Риск для всей корпорации
Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на некоторые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполнения своих политик; 2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.
В компании Costa Corp выработалась практика исключений, которая позволяла руководству игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что руководитель, подписавшийся под подобным исключением, действительно понимал требования безопасности. Предоставление руководителям, не понимающим таких требований, права игнорировать меры безопасности уже само по себе представляет риск. При таких обстоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой ущерб они могут причинить.
В Costa Corp была также разработана политика подключения к Интернету, определяющая, что подключение любой системы к Интернету должно разрешаться руководством и должно соответствовать правилам установки подключения, разработанным группой обеспечения безопасности. Эта политика была хорошо написана, такими же хорошими были и правила, определяющие обеспечение защиты системы и ее тестирование перед подключением к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопасности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компании полностью проигнорировали эту политику. Они установили веб-серверы в Интернете, не получив разрешения высшего руководства и не установив средств защиты.
Руководство компании обнаружило эту проблему тогда, когда один из ее международных веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал общественную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей, чем просто неправильное подключение веб-сервера к Интернету. Расследование, проведенное группой обеспечения безопасности Costa Corp, показало, что через серверы компании к Интернету было подключено более 400 систем. Группа безопасности не знала, кто подключил эти системы или кто ими владел. У многих систем не было настроек безопасности, поэтому их легко было взломать из Интернета.
Даже если сотрудники компании проигнорировали ее политики и подключили незащищенные веб-серверы к Интернету, компания все равно остается ответственной за эти системы, которые могут быть использованы для запуска атак против других компаний. Атаки из систем таких беспечных владельцев происходят каждый день. Хакеры используют сотни и тысячи скомпрометированных систем для запуска атак против других систем и сетей. Не так давно при помощи атак по типу «отказа от обслуживания» были обрушены несколько высокопрофессиональных сайтов, таких, как сайты Yahoo, Inc. и EBay, Inc. В этих атаках серверы или сети «наводняются» бесполезным трафиком, и законные пользователи больше не могут получать доступа к их ресурсам. Подобные атаки все еще представляют значительную угрозу безопасности. Такие атаки демонстрируют, как хакеры могут использовать ваши машины для нападения на другие системы и сети.
Два года назад тинейджером, проживающим в Модесто, штат Калифорния, была предпринята атака, которая не получила широкой огласки. Он получил доступ к системам регулирования слива воды одной из канадских плотин. Правоохранительные органы успели его поймать до того, как он успел что-либо наделать, но что было бы, если им не удалось его схватить?
Представьте себе, что этот тинейджер, взломавший незащищенный веб-сервер, принадлежавший компании Fortune 500, и получивший доступ к системе слива канадской плотины, открыл бы ее и затопил населенные пункты ниже плотины, вызвав ущерб в миллионы долларов и гибель 300 жителей. Позвольте теперь сказать, что хотя правоохранительные органы и не всегда могут определить след, ведущий к такому тинейджеру, они все же способны выйти на след компании Fortune 500, которой принадлежит этот веб-сервер, использовавшийся для запуска атаки. При этом можно было бы задать такие вопросы:
1. Почему системы компании Fortune 500 оставались незащищенными и бесконтрольными, вследствие чего их можно было бы использовать для атаки против канадской плотины?
2. Почему канадская плотина была подключена к Интернету так, что взломщик мог бы, в конце концов, получить неавторизованный доступ к ее системе управления сливом?
3. Кто должен был бы понести ответственность за возможные последствия?
4. Являетесь ли вы членом правления или руководителем высшего уровня компании Fortune 500?
5. Понимает ли ваша команда юристов, что такое безопасность?
Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей обязанностью как руководителя является не допустить, чтобы эти системы оказались вашими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны охранять информационные фонды корпораций. В случае, если нарушение безопасности сети причиняет вред, владеющая ей организация и ее руководители могут подвергнуться судебному преследованию. Сегодня уже имеются реальные судебные дела.
В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные правовые действия, связанные с ответственностью руководителей и нарушениями в обеспечении безопасности сетей.