Саммит CIO: на повестке дня безопасность киберпространства
В январе 2003 года в США состоялся саммит, посвященный вопросам обеспечения безопасности киберпространства американских промышленных концернов CIO.
Однной из центральных тем, которая обсуждалася участниками саммита, стал вопрос: «Что делать для надежной защиты корпоративных инофмационных систем?»: остановиться на обеспечивающих надёжную защиту системах или отдать предпочтение многоуровневой стратегии безопасности.
Электронная торговля или электронная коммерция, как её чаще называют, отражает реальную жизнь. Однако, возможность заниматься бизнесом, используя электронные сети, не подвергаясь никакому риску, с каждым днём становится всё более сложной и дорогостоящей задачей. Проблема уязвимости корпоративных систем от внешних атак, недостаточная надежность программно-аппаратных методов защиты информации, слабая “защита от персонала” – одни из самых важных проблем обеспечения безопасности для многих организаций, занимающихся электронной торговлей.
Стив Биттингер (Steve Bittinger), директор исследовательского института Гартнер, предлагает две системы защиты IT, условно называя их: «крепость» и «аэропорт». «Крепость» ограничивает движение в системе, так как это механизм, действующий только в одном измерении (разводной мост через ров). Система «крепость» активизирует разумные операции по безопасности, но ни одна из них не способна поддержать бизнес на мировом рынке, который требует быстрых и гибких моделей производства.
Система «аэропорт», в свою очередь, не ограничивает движения, используя многоуровневую систему безопасности (проверка паспорта, просмотр багажа, натренированные собаки-ищейки, внеплановые проверки и другое).
Летом 2002 года институт проводил исследования при участии более 1000 тихоокеанских азиатских корпораций (Asia Pacific), в результате которых выяснилось, что главная проблема промышленных концернов США – потребность увеличить защиту IT. Биттингер говорит, что самыми распространнёными вопросами представителей промышленных концернов являются следующие: «Сколько средств необходимо тратить на обеспечение безопасности?», «Сколько в среднем денег идёт на защиту IT моей индустрии?».
«Тот факт, что вы тратите на защиту системы «кругленькую» сумму денег, - говорит Биттингер, - ещё не означает, что защита IT вашей компаний на высоком уровне. Проблема состоит в том, насколько эффективно вы организовываете работу коллектива, какие технологии используете и как идёт процесс. Деньги не всегда играют решающую роль в вопросах безопасности».
Как же тогда какому-нибудь промышленному концерну узнать, на правильном ли он пути? «Верный способ оценки состояния корпоративной безопасности заключается в способности применять для защиты IT новейшие технологие», - сообщает американский институт разработки программного обеспечения (US Software Engineering Institute’s CMM).
Предложенная модель включает в себя четыре уровня, которые начинаются с недостатка информации (первый уровень) и заканчиваются закрепившейся организацией системами корпоративной безопасности (четвёртый уровень), обеспечивая существенное преимущество перед конкурентами. Биттингер отмечает, что большинство организаций находятся на втором уровне: «Руководство организаций согласно с тем, что очень важно обеспечить безопасность, и хотят, чтобы эксперты IT позаботились о защите их сетей». На этом уровне, безопасность рассматривается только с технической стороны и вся сумма инвестиций для корпоративной безопасности берётся из финансирования IT.
Фактически, 39,7% из 1004 тихоокеанских азиатских корпораций, исследуемых Гартнером подходили под вторую категорию. Удивительно также и то, что уровень развитости технологий варьируется, в зависимости от страны, или региона. Таиланд, Тайвань, Сингапур и Гонконг находятся на относительно высоком уровне развитости IT, в то время, как большинство компаний Австралии, Новой Зеландии и Малайзии убеждены, что безопасность – забота только специалистов IT.
Те, кто считает, что корпоративная безопасность дело специалистов IT – заблуждаются. «Важным моментом, - говорит Биттингер, - является установление атмосферы понимания между сотрудниками организации. Плохая «защита» коммуникации рабочего персонала - самый большой риск, которому подвергается организация». Он приводит пример огромной американской организации, по требованиям безопасности которой, все сотрудники должны были показывать карточки со своими именами. Один из сотрудников концерна проходил полдня без своего бейджика безопасности, прежде чем кто-то из сотрудников спросил, почему он его не надел.
«Биттингер утверждает, что это яркое доказательство необходимости увеличить безопасность IТ компаний до третьего и четвёртого уровней. Это также говорит о том, что нет необходимости приобщать огромные инвестиции – речь идёт о том, насколько разумно вы тратите свои деньги».
Ещё один немаловажный показатель безопасности IТ 3-го и 4-го уровня – наличие начальника безопасности или его заместителя. Если вы являетесь организацией 2-го уровня, то нет никакого смысла иметь начальника электронной защиты. Его деятельность подразумевается в том, чтобы следить за Internet-общением между персоналом и ведением делопроизводства, он не имеет никакого отношения к группе по защите IТ, а тесно связан с главной администрацией или правлением.
Но Биттингер также говорит о некотором риске, с которым связана такая профессия. После террактов 11 сентября 2001 года, руководство организации по защите IТ, которая раньше располагалась в Мировом Торговом Центре, сообщило начальнику безопасности об увольнении. За полгода до совершения террористической акции он разрабатывал для компании план по снижению к минимуму убытков, понесённых компанией от терракта. Однако, предложенный проект компания отклонила. Последующее увольнение дирекция объяснила тем, что начальник безопасности не смог убедить их принять проект.
Плохую службу в вопросе обеспечения электронной безопасности компании может сослужить и любое укрывательство происшедшего нарушения дисциплины. Например, при потере ноутбуков, содержащих конфиденциальную информацию, которую могут знать только сотрудники правления компании, необходимы колоссальные затраты на обеспечение безопасности IТ компании; в противном случае компания сильно рискует, если получит огласку её секретная информация.
Каковы же тогда главные проблемы корпораций, вступающих в 2003 год? По словам директора исследовательского института Гартнер Рича Могула (Rich Mogull), это:
- анализ иконтроль рисков;
- услуги Интернет провайдера;
- надежность спутниковой локальной сети и мобильных устроиств;
- надежность идентификации и аутентификации личности;
- предотвращение вторжения и его обнаружение на ранних стадиях;
- “защита от персонала”;
- вирусные атаки;
- защита конфиденциальной информации;
- надёжность и выполнение е-контрактов в сети Интернет.
На сегодняшний день большое опасение вызывает распространение мобильных устройств, используемых для получения доступа к корпоративной сети и её взлома. В продаже ежедневно появляется огромное количество таких устройств.
Стефен Рас (Stephen Rath), менеджер по електронной коммуникации холдинг-компании Джон Феарфакс (John Fairfax) отвечает за защиту IТ. В настоящее время Рас подбирает мобильные приборы для использования их сотрудниками. Он рассматривает Telsta Blackberry, электронный телефон с ПК (PC e-phone), HP Jornada & Toshiba, Portege.
Telsta Blackberry – это устройство, размером с ладонь, в котором имеется телефон, электронная почта и календарь, с помощью которого можно подключиться к сети общего комплекта услуг радио-Internet (ОКУРИ). Электронный телефон с ПК – компьтерное устройство Windows, в котором имеется от 480 до 640 экранов и стандартная клавиатура. HP Jornada & Toshiba - также компьютерное устройство с карточкой Bluetooth, которая используется для подсоединения к сети ОКУРИ через мобильный ттелефон Nokia 6310. Portege – мини-ноутбук, подключённый к локальному спутнику через ОКУРИ или телефон. Bluetooth – прибор, разработаный для выявления любых беспроводных соединяющих устройств в диапазоне от 2 до 10 метров.
Проблема надежной защиты киберпространства сложная и однозначного ответа на вопрос: «Какой же системе защиты IT отдать предпочтение?» участники саммита не дают. Скорее всего – это целый комплекс защитных мер, выбор которых зависит от многих факторов, а специалисты, исследующие данную проблему, дают лишь рекомендации.Новости | О Центре | Статьи | Форум
Документы | Ссылки | Контакты
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.ru обязательна.
Источник: http://www.crime-research.org/