Информационная безопасность и программное обеспечение с открытыми исходными текстами

Риски организаций, связанные с информационной безопасностью

Очевидно, что ситуация изменилась. Раньше небольшие организации, в основной массе, могли не слишком беспокоиться о безопасности своих данных; теперь организации любых размеров вынуждены тратить на эти проблемы время и деньги.

Каковы возможные риски? Немногие организации всерьез задумываются обо всех рисках, которым они подвергаются с точки зрения информационной безопасности. Следует осознавать все возможные риски, понимать, какие из них применимы к вашей организации и каков возможный ущерб от каждого из них. Это поможет выбрать разумные пути повышения компьютерной безопасности и обосновать необходимые затраты.

Потеря данных

Хотя из-за компьютерных вирусов эта угроза актуальна с 1980-х годов, немногие руководители задумываются об ущербе от потери части или всех данных. Без правильно организованного резервного копирования (отсутствующего во многих небольших организациях), потеря критически важных данных может стать катастрофической. Могут быть стерты накопленные за годы данные по бухгалтерии, платежным ведомостям или заказчикам. Могут быть потеряны заказы. Если данные принадлежат заказчикам, то организация может понести ответственность за их потерю. Представители определенных профессий, такие как адвокаты или бухгалтеры, могут быть подвергнуты штрафам или наказаны за потерю подобных данных. Добавьте к этому потери бизнеса и производительности, пока служащие восстанавливают данные или вынуждены оперировать с записями на бумаге. Даже если имеются резервные копии, время и усилия, необходимые для восстановления и запуска систем в работу, будут значительны. Немногие организации смогут долго просуществовать без своих компьютеризированных записей и систем. Имеет ли ваша организация документированный "План действий в аварийных ситуациях", который охватывает данные и системы? Если нет, то вы можете получить неприятный сюрприз в виде неожиданного перерыва в работе.

Отказ в обслуживании

Современные хакеры в большинстве своем вовсе не компьютерные гении, а всего лишь высокотехнологичные вандалы. Эти люди просто получают удовольствие от разрушения серверов или создания отказов в обслуживании.

Много ли организаций имеют оценки часового или дневного ущерба от потери доступа в Интернет? В некоторых отраслях или организациях, существенно опирающихся на информационные технологии, этот ущерб может быть очень высок. Немногие организации в наше время не зависят так или иначе от доступа в Интернет. Атака на доступность может быть либо незначительным раздражителем, либо существенным ударом для организации - в зависимости от того, насколько бизнес полагается на Интернет. Попробуйте оценить ущерб для вашей организации на основе числа сотрудников, которые не смогут работать, числа заказов, оперативно обрабатываемых в сети, и т.д.

Трудности/потеря заказчиков

Отсутствие доступа в Интернет может повредить имиджу организации. Невозможность общения по электронной почте или потеря важных сообщений в лучшем случае создают временные затруднения. Если web-сайт будет отключен, то заказчики немедленно начнут задавать вопросы. Для акционерной компании это может означать снижение котировок акций. Доказательством служит падение цен акций Yahoo и Amazon после сообщений об отказах в обслуживании. Миллионы или даже сотни миллионов долларов акционеров могут исчезнуть в одно мгновение. Для электронной коммерции, которая зависит от мнения клиентов о безопасности при размещении своей финансовой информации в Интернете, одна проблема с web-сайтом может свести на нет годы успешной работы. Компания CD Universe, сетевой розничный продавец компакт-дисков, у которого была украдена база данных о кредитных картах, не смогла оправиться после этой атаки. Компания Cloud Nine Communications, поставщик Интернет-услуг в Англии, не работала неделю в связи с согласованной и длительной атакой на доступность, и в конечном счете вынуждена была закрыться. Существуют банды хакеров, которые выполняют массовые искажения web-сайтов, иногда поражая сотни сайтов за ночь. Прием в эти клубы хакеров подтверждается определенным числом обезображенных web-сайтов. Вы хотите, чтобы ваш web-сайт фигурировал в их отчетах?

Законодательная ответственность

В наш сутяжнический век небольшая ошибка может привести к судебному разбирательству, стоящему миллионы. Представьте последствия, если база данных заказчиков будет украдена, а затем помещена в Интернет. Результатом таких событий являются судебные дела с групповыми исками. Вследствие огромного роста краж персональных данных были созданы законы, требующие от организаций следования определенным стандартам хранения при работе с персональными или финансовыми данными клиентов. Одной из отраслей, которая была особенно сильно затронута законодательством, является здравоохранение. Закон США по обеспечению доступности и подотчетности в медицинском страховании 1996 г. требует, чтобы любая организация, имеющая дело с информацией о пациентах, должным образом защищала эти данные от неавторизованного использования. Требования этого закона по обеспечению приватности применительно к компьютерным сетям вступили в действие в 2003 г. Для нарушителей существуют административные и уголовные наказания, так что это больше не является чисто финансовым вопросом. Руководители организаций могут оказаться в тюрьме, если будут уличены в нарушениях.

Хакеры всегда ищут незащищенные компьютеры, чтобы проводить с них распределенные атаки на доступность. Если компьютеры вашей организации использовались в такой атаке, и жертвы не смогут найти настоящего злоумышленника, они могут обвинить вас в том, что вы пренебрегли защитой своей сети.

Еще один предмет заботы - ответственность за нарушение авторских прав. Копирование пиратских фильмов, музыки и программного обеспечения через Интернет достигло крайней степени. Медийные компании сыты этим по горло и начинают выслеживать нарушителей прямо по IP-адресам загружающих, направляя по этим адресам юристов. InternetMovies.com, web-сайт на Гавайях, лишился услуг своего Интернет-провайдера, когда тот получил повестку в суд на основании утверждений о пиратских файлах, находящихся в его сети. Пираты, которые хотят распространять свои изделия, прибегают к хранению их на компьютерах третьих сторон, компрометируя серверы корпоративных сетей. Если сервер вашей организации без ее ведома используется для подобных целей, или на нем будут обнаружены такие файлы, то вас могут отключить от Интернета, подвергнуть штрафу или вызвать в суд. Такого рода истории помогают убедить сопротивляющихся руководителей в необходимости установить более строгие правила для персонала, такие как выполнение повышенных требований к паролям или запрет на установку ПО разделения файлов.

Раскрытие корпоративных секретов и данных

Трудно дать денежную оценку этого риска, так как он варьируется от организации к организации. Например, ценность рецепта Coca Cola или жареных цыплят Colonel Sander может достигать миллиардов долларов. В меньшей организации подробная документация на запатентованные устройства или формулы может быть бесценна. В некоторых случаях большая часть ценностей организации может заключаться в подобных важных данных. Например, биотехнологическая компания может хранить в корпоративной сети результаты исследований, относящихся к новейшим патентам в области генетики.

Списки заказчиков всегда представляют ценность для конкурентов, особенно в сегменте рынка с высокой конкуренцией. Акционеры подали в суд на компанию Hewlett-Packard после того, как было опубликовано содержание закрытых переговоров между руководителями компании во время спорного слияния.

Однако этот риск существует даже в организациях, где нет секретных планов или рецептов. Например, представьте ущерб от возможного доступа к корпоративным файлам платежных ведомостей со стороны рядовых работников. Такие вещи происходят постоянно, обычно в связи с чрезмерным любопытством или мстительностью сотрудников. Разлад и ухудшение морального климата могут быть огромными, вплоть до ухода сотрудников, недовольных различиями в оплате. Часто всего этого можно избежать, если системный администратор правильно защитит систему.

Искажение записей

Иногда злоумышленник хочет не украсть или разрушать данные, а только изменить существующие записи, надеясь, что это не будет обнаружено. Компьютерные преступления такого типа обычно трудно обнаружить, так как системы продолжают функционировать как и прежде. Не происходит разрушения системы или падения производительности, служащих признаками вторжения. Отсутствуют вызывающие тревогу изменения web-сайта. Очевидно, что для банков и правительственных агентств это может быть очень серьезной проблемой. Но и любой другой организации приходится заботиться о том, чтобы никто не мог проникнуть в систему заработной платы и изменить значения выплат. Школы и университеты могут иметь дело с учащимися, которые пытаются изменить оценки. Часто только бухгалтерские аудиторы находят свидетельства преступлений. Однако при правильно организованной системе безопасности перечисленных проблем можно избежать.

Потеря производительности

Это значительно менее заметный риск, которого часто очень трудно избежать. Он может состоять в использовании сотрудниками полосы пропускания для загрузки музыки или фильмов, что замедляет работу других служащих, или в посещении ненадлежащих web-сайтов. Хотя это относится к вопросам политики в отношении сотрудников, часто прибегают к услугам системных администраторов для решения проблемы техническими средствами, такими как фильтрация информационного наполнения и межсетевое экранирование. Многие из неавторизованных программ, например, Napster, Kazaa, программ мгновенного обмена сообщениями, помимо того, что снижают производительность, могут создавать уязвимости в сети организации.

При всех этих рисках можно предположить, что организации будут стараться установить необходимые средства защиты. Действительно, крупнейшие организации так и поступают, но большинство организаций малого и среднего размера практически ничего не делают в плане сетевой безопасности. В лучшем случае устанавливается межсетевой экран и антивирусное ПО; считается, что этого достаточно. Но, к сожалению, это не так.

Возникла целая отрасль, предлагающая решения этих проблем. Существуют коммерческие аппаратные и программные решения, такие как межсетевые экраны, системы обнаружения вторжений и сканеры уязвимостей. Однако большинство этих продуктов очень дороги, поэтому только крупные организации могут их себе позволить. Простой межсетевой экран стоит несколько тысяч долларов. Коммерческие системы обнаружения вторжений и решения для анализа защищенности могут стоить десятки тысяч долларов или больше. Кроме прямых расходов, существуют повседневные расходы на сопровождение ПО. Многие из этих программных решений требуют для своей работы очень мощных компьютеров. Для создания отчетов зачастую необходимы дорогие СУБД, такие как Oracle. С учетом этих расходов желательный уровень информационной безопасности оказывается недоступным для организаций малого и среднего размера. Но, как мы видели, риск для этих организаций так же высок, как и для компаний из Fortune 500 и, возможно, даже выше, так как они обладают значительно меньшими финансовыми ресурсами для противодействия атакам.

Что же делать вечно спешащему, перегруженному, имеющему недостаточно средств системному администратору? Существует решение, которое может обеспечить организации качественную защиту с очень небольшими расходами: программное обеспечение с открытыми исходными текстами.