100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №82 «Во всех бедах с информационной безопасностью виноваты хакеры»18.06.2010 17:31 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №82 «Во всех бедах с информационной безопасностью виноваты хакеры»18.06.2010 17:31
Очень распространенная проблема, причем не только в России, но и на Западе, когда собственная вина перекладывается на кого-то. Хакеры приравниваются к неким стихийным бедствиям, к дождю, к ураганам, к снегопадам, к морозам, которые наносят огромный ущерб бизнесу компаний, отдельным людям или даже целым государствам… и действия которых невозможно предугадать. Но на самом деле это миф, за которым часто скрывается собственное неумение эффективно бороться с инцидентами ИБ.
Даже если сравнивать хакеров со стихийным бедствием, а точнее те атаки, которые они осуществляют, то все равно, даже стихийные бедствия зачастую можно прогнозировать. То же самое касается и внешних хакерских атак и, вообще, любых действий злоумышленников. Т.е мы можем предположить, что да, наши информационные ресурсы станут целью для злоумышленников. Случайно или целенаправленно. Почему? Потому что у нас используется, например, широко распространенное программное обеспечение (MS Windows, Oracle, Firefox и т.д.), которое имеет те или иные известные дыры и злоумышленники захотят ими воспользоваться. У нашей компании известное имя? Соответственно, любой злоумышленник, взломавший, например, наш сайт и поместивший на нем сообщение «здесь был Вася», не только сразу станет известным широким кругам. А может быть этот «Вася» наоборот хочет остаться скрытным, чтобы как можно дольше распространять вредоносное ПО через взломанный популярный сайт. Наша компания управляет финансовыми потоками? Шансы, что против нас будут совершены попытки мошенничество или шантажа достаточно велики. Можно даже посчитать каковы эти шансы, но это тема отдельного материала. Сегодня нет компаний, которые бы могли сказать, что они обладают иммунитетом против хакеров. И винить в том, что вы стали жертвой хакеров, можно только себя.
Давайте посмотрим на типичные ситуации, которые часто происходят в российских компаниях. Началась вирусная эпидемия. Сервера простаивают, некоторая информация удалена, продуктивность сотрудников падает, пользователи недовольны, удар по репутации. Кто виноват в этой проблеме? Только сама организация, которая не внедрила у себя программу антивирусной защиты, включающую не только и не столько установку антивирусных средств на рабочих станциях, серверах и Интернет-шлюзах, но и обучившая пользователей основным признакам заражения компьютера, а также внедрившая систему регулярного обновления всего программного обеспечения.
Произошла утечка конфиденциальной информации. И опять виновата только организация (в данном примере и хакеров как таковых не существует – действует только инсайдер). Именно она не классифицировала информацию и не ввела режим коммерческой или банковской тайны. Именно она не использовала технические решения (DLP-системы) для контроля всей информации, покидающей пределы корпоративных ресурсов через Интернет-периметр, электронную почту, флешки, принтеры и т.п.
Произошло мошенничество со счетом клиента, утекли деньги. Но ведь именно банк не предпринял никаких действий по ознакомлению своих клиентов с ключевыми правилами безопасности. Ведь именно банк не установил лимит на сумму операций через Интернет и не внедрил систему профилирования действий клиентов, тем самым пропустив нестандартную операцию.
Интернет-банкинг оказался под DDoS-атакой и не смог обслуживать своих клиентов. И опять виноваты не хакеры, а банк, который не подумал об этой угрозе, не прислушался к рекомендациям отраслевых регуляторов, не внедрил специализированных средств борьбы с распределенными атаками «отказ в обслуживании» или, как минимум, не подключил резервный канал связи и не договорился с Интернет-провайдерами о действиях в такой ситуации.
Разумеется, сами хакеры тоже виноваты в своих действиях и поступках, но полностью перекладывать на них всю ответственность за инцидент с ИБ нельзя. Зачастую, причиной всех бед во многих компаниях является обычная халатность. Т.е. не все понимают, как защищаться от тех или иных атак (например, DDoS). Считается, что системные администраторы должны защищаться от этого, а те в свою очередь перекладывают ответственность на службы информационной безопасности, службы информационной безопасности не имеют соответствующих ресурсов и полномочий. Получается замкнутый круг. А хакеры при этом атакуют информационные ресурсы.
Поэтому лишний раз повторю, что ответственность за любой взлом; вся вина за то, что это произошло, ложится в первую очередь на тех, кто не обеспечил информационную безопасность взломанных информационных ресурсов. Хакер это всего лишь инструмент. Это надо четко понимать и действовать исходя именно из этого. В конце концов, когда вы не купили огнетушитель, для своей дачи, и она сгорела, винить вы можете только себя. Да, можно винить бога, соседей, кого угодно, но дача сгорела именно потому, что у вас вовремя не было огнетушителя, и вы не смогли им воспользоваться. То же самое в информационной безопасности. Причем зачастую в информационной безопасности ставки гораздо выше, чем сгоревшая дача. Уже известны случаи банкротства компаний по причине атак на их информационные системы. В такой ситуации, после того, как компания стала банкротом и не может вести бизнес, работать с клиентами и делать главное – зарабатывать деньги (а именно это основная цель коммерческой организации), можно долго винить других, но в первую очередь конечно виноваты вы сами, потому что не обеспечили информационную безопасность своих ресурсов. Подчеркиваю, именно своих. Т.е. кроме вас защитить ваши ресурсы никто не сможет. Или хотя бы задуматься об этом. Если вы задумались, то вы можете это переложить на чьи-то чужие плечи, заключив соответствующий договор со специализированной компанией. Но задуматься все равно должны вы. Как говориться в не очень хорошем анекдоте, спасение утопающих дело рук самих утопающих.