Штандартенфюрер Штирлиц
Информационная безопасность — ныне одна из самых обсуждаемых тем в западной печати. Это закономерно, ведь современный бизнес да и вся инфраструктура уже не могут существовать без компьютеров и сетей передачи данных. Отсюда — колоссальная цена данных и реальная угроза техногенных или финансовых катастроф в случае их потери или искажения. Даже для небольшой компании утечка сведений, представляющих коммерческую тайну, может обернуться банкротством.
Но прагматичному Западу не привыкать. Против любой угрозы быстро вырабатывается комплекс мер противодействия, и, если ими не пренебрегать (легкомысленные люди есть везде. См. статью "По следам событий"), то можно спать спокойно.
Несколько иначе относятся к этой проблеме наши соотечественники. Нельзя сказать, что они не понимают важности информации для своего бизнеса. Во многих случаях их действия адекватны угрозе. Например, трудно найти руководителя, игнорирующего опасность заражения компьютерными вирусами. Не надо агитировать и за установку межсетевых экранов.
Но эти шаги — наиболее простые, понятные и, что немаловажно, доступны фирмам даже с очень скромным бюджетом. Другое дело — выработка и реализация комплекса мер, обеспечивающих безопасность информации. Здесь требуются немалые затраты, в том числе на консалтинговые услуги компаний, которые специализируются в этой области. Кроме того, решение данной проблемы — не разовая акция. Чтобы защита была эффективной — ей следует уделять постоянное внимание, а следовательно, нужен штат сотрудников. Но и это не гарантирует 100%-ный успех.
С вирусными атаками и попытками проникновения в сеть предприятия научились эффективно бороться, и особой тревоги у специалистов они не вызывают. По словам Михаила Калиниченко, технического директора компании "Лаборатория Касперского", в настоящее время ежедневно появляется несколько десятков новых вирусов. Такую ситуацию можно назвать спокойной. Резкий рост одной из разновидностей вирусов — макровирусов — был зафиксирован в 1998-1999 гг. "Питательной средой" для них стал пакет Office 97 и язык VBA. В будущем широкое распространение могут получить вирусы для ОС Linux и портативных устройств, которые становятся все более функциональными, "умными" и, следовательно, более уязвимыми. Тем не менее, причин для тревоги нет. Специалисты разрабатывают антивирусные программы в течение нескольких часов, максимум, дней. Такое ПО рассылается подписчикам и доступно для загрузки с Web-узлов компаний-разработчиков.
Также оперативно обновляется ПО для межсетевых экранов. В конце концов, компьютер, если в нем хранится архиважная информация, можно просто отключить от Интернета и, таким образом, обезопасить от внешних угроз.
Вот мы и подошли к самому щекотливому моменту — внутренней угрозе. Андре Минтц, вице-президент по глобальным стратегиям компании Metases, специализирующейся на информационной безопасности, с присущей американцам прямотой заявляет: "Волна киберпреступности будет расти и доминировать будет промышленный шпионаж". Будем откровенны — ничто человеческое нам не чуждо. Есть это явление и у нас. Правда, о его масштабах даже специалисты не могут сказать ничего определенного. Вероятнее всего, он не столь развит, как в промышленных странах — объемы производства пока не те. Зато своей специфики — хоть отбавляй. Специфика эта чаще всего порождается желанием перераспределить собственность и низкой зарплатой (читай — продажностью) сотрудников. Заполучить вожделенную информацию до смешного просто.
Один из проверенных способов — "маски-шоу с выносом сервера". Технология исполнения: приезжают люди в масках и камуфляже, укладывают всех лицом на пол и спокойно уносят сервер. Таким или примерно таким путем в руки лиц, желающих вступить во владение одним крупным промышленным предприятием, приносящим хорошую прибыль, попали списки акционеров. Ну, а дальше дело техники — после соответствующих бесед контрольный пакет акций оказался в нужных руках.
К счастью, от этой напасти есть защита. Данные можно хранить в зашифрованном виде или на так называемых "секретных" дисках, недоступных злоумышленнику и подключаемых с помощью специальных устройств — смарт-карт, электронных ключей и т.п. Одно из наиболее популярных решений — система защиты Secret Disk, разработанная российским отделением фирмы Aladdin Software Security R.D.
А что делать, если на конфиденциальную информацию покушаются служащие фирмы? По оценкам специалистов компаний Symantec и "Информзащита", от 70 до 90% попыток несанкционированного доступа к данным совершают свои же сотрудники. В таких случаях поступают в соответствии с известной поговоркой: "Извести тараканов нельзя, но можно сделать их жизнь невыносимой". В ход идет все — система разграничения доступа, биометрические средства идентификации, всевозможные электронные ключи, пароли и.т.п. Но и при самой жесткой разграничительной системе сотрудники имеют доступ к какой-то части данных. В конце концов на рабочие места можно установить ПК без дисководов для дискет — вручную много не перепишешь, да и в глаза это бросается.
На первый взгляд может показаться, что самое слабое звено в этом комплексе обороны — системный администратор. В его руках — полная информация о всей системе. На самом деле в серьезных фирмах существуют подразделения информационной безопасности. Их сотрудники обеспечивают безопасность сети, безопасность данных, при этом сами доступа к данным не имеют. Решение не дешевое, но оправданное. Мелкие и средние компании не располагают такими финансовыми возможностями, и если пытаются делать какие-то шаги в сторону безопасности, то "вешают" решение всех проблем на системного администратора. Хорошо бы руководителям при этом вспомнить, какая у него зарплата?
"Уровень защиты любой системы не превышает уровня защиты ее самого слабого звена", — подчеркивает Александр Соколов, генеральный директор компании "Элвис+".
Может показаться странным, но даже такие гиганты, как естественные монополисты, не спешат воспользоваться услугами специализированных компаний, имеющих лицензии Гостехкомиссии и ФАПСИ на проведение любых работ по защите информации. Причина в том, что в нашей стране бизнес не очень доверяет государству. Лицензированные и сертифицированные компании могут предложить только сертифицированные компетентными органами решения. Вот и боятся бизнесмены, нет ли там потайной дверки или секретного ключика, с помощью которого органы, в случае чего, получат доступ ко всей информации.
Но как бы там ни было, рынок систем защиты информации развивается. Бизнес осознал необходимость комплесного, всестороннего и цивилизованного решения этой проблемы. Растет, хотя и не очень быстро, спрос на такие услуги. Бума специалисты не ожидают, но и без работы остаться не боятся. Возможно, через несколько лет отношение к безопасности данных будет совсем иным. Для этого есть все предпосылки. Законодательные органы продолжают совершенствовать правовую базу, Гостехкомиссия и ФАПСИ стали более конструктивно рассматривать вопросы выдачи лицензий и сертификатов, а конкурс в ВУЗы на соответствующие специальности — один из самых высоких.