Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Мифы, которые успокаивают

заметки на полях

Внедрение информационных технологий (ИТ) в бизнес привело к тому, что вычислительная техника стала фактически неотъемлемым элементом интерьера современного офиса, а ее использование не намного сложнее мобильного телефона, если не наоборот. Так и есть, с той разницей, что «самодеятельность», к примеру, при вождении автомобиля без знаний ПДД и при «интуитивном» использовании информационных технологий несопоставима по результатам. Не только хакер, но и «камикадзе» у компьютера может нанести ущерб несоизмеримо больший, чем сидя за рулем. Так ли это и в чем причина?

ИТ – айсберг, скрытая часть которого не мешает спокойствию владельцев компаний, но лишь до времени. Наш менталитет обладает потрясающим успокаивающим эффектом (авось) и неизвестное для непосвященных «всплывает» лишь тогда, когда появляются ощутимые потери. И никакие просветительные кампании не заставят действовать иначе. Многие ли ставят прививки от гриппа? Так и с безопасностью информационных технологий.

Анализируя события, предшествующие инцидентам и их обстоятельства, можно составить перечень характерных ошибок, не принятых во внимание вовремя. Аксиомы Мэрфи по сей день остаются актуальны.

«Источником ошибок является самый очевидный факт»

«У нас нет информации, которая кому-нибудь нужна».
Возможно, однако не стоит забывать о информационном ресурсе компании, который можно использовать в иных интересах. К примеру, в оптовой компании с несколькими десятками рабочих мест был отмечен лишь необъяснимый рост трафика, в два-три раза превосходящий обычный. Ущерб для компании несущественный, но при анализе выяснилось, что корпоративная сеть полностью (!) находилась под внешним управлением и ее ресурсы использовалась для рассылок спама и организации атак на внешние серверы. А законодательство предусматривает ответственность за нанесенный другим организациям ущерб.

«Нас обслуживают квалифицированные специалисты, прошедшие обучение по всему комплексу программно-аппаратных средств, и нет смысла заниматься защитой дополнительно».
Действительно, таким специалистам нет цены в деле организации функционирования информационной системы компании, но именно по причине их узкой специализации они не являются специалистами в сфере информационной безопасности. К примеру, в крупной сбытовой компании штат(!) системных администраторов, обслуживающих корпоративную информационную систему допустил ряд принципиальных ошибок в организации защиты, которые фактически сделали ее «беззубой» и открыли свободный доступ к информационным ресурсам компании.

В другом случае, потери телекоммуникационной компании, входящей в первую десятку города, по трафику достигали 30% без видимых причин. Анализ выявил, что несущественные на первый взгляд неточности конфигураций оборудования были вычислены коллективным разумом клиентов и использованы для получения свободного и неконтролируемого доступа к ресурсам Интернета.

«Сотрудники нашей компании работают на полном доверии и дополнительные организационные и защитные меры не нужны».
Да, но только до дня, когда в компании появляется недовольный сотрудник, который начинает использовать все доступные ему способы для получения любой выгоды за счет обидевшей его компании – использовать платные ресурсы Интернета, красть, продавать и публиковать конфиденциальную информацию компании, «отваживать» клиентов. Пример – с уходом сотрудника успешная торговая компания обнаружила появление серьезного конкурента, владеющего полной информацией о поставщиках и клиентах компании, текущих бизнес-процессах и прочей конфиденциальной информации. Подумать бы об этом раньше!

Другой случай, когда в компании было замечено, что клиенты с самыми крупными заказами получали более выгодные предложения от конкурентов. Традиционные «полицейские» методы не выявили источник утечки информации, только детальный анализ информационной системы позволил установить, что вся электронная почта компании проходила транзитом через почтовый сервер, контролируемый конкурентом. От ошибок никто не застрахован.

«Падающий предмет упадет в то место, где нанесет наибольший вред»

Несущественный, на первый взгляд, инцидент может привести к фатальному результату – потеря информации, попадающей под защиту законодательства, грозит уголовной ответственностью. К примеру, персональная информация – паспортные данные, данные о здоровье, доходах, кредитах, страховая и прочая. Организация ее защиты – это следующий разговор. А ответственность уже определена законом.

Этот список можно продолжать долго. Но проще не повторять грустный опыт, а обратиться в специализированную организацию и обезопасить свой бизнес, начиная с конфигурирования защиты рабочих мест, серверов сервисов, приложений или всей информационной системы и до разработки и внедрения административно-организационных мер, отдельных инструкций, правил, регламентов и т.д., и политики информационной безопасности компании в целом.

В.Б.

© Центр Сетевой Безопасности Арнис, 2007

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница