Гарантия безопасности - ответственность и страхование

Брюс Шнайер уверен, что технологии не решат всех проблем с безопасностью

Брюс Шнайер: «В реальной жизни именно страховка является гарантией безопасности»

«Вопросы компьютерной и сетевой безопасности не утратят своей актуальности до тех пор, пока организации не станут нести ответственность за работу своего оборудования и программного обеспечения, а страховые компании не начнут страховать от взлома компьютерных систем», — заявил на конференции RSA Conference 2002 основатель и директор по технологиям компании Counterpane Internet Security Брюс Шнайер.

Привлечение страховых компаний и формирование законодательства об ответственности необходимы, потому что на самом деле компьютерная безопасность вовсе не замыкается на технических аспектах.

«Технологии не решат всех наших проблем, — подчеркнул Шнайер. — Если мы начнем искать причины, то очень быстро обнаружим, что безопасность связана с бизнесом. Это проблема взаимоотношений людей».

В компаниях, особенно там, где занимаются разработкой программного обеспечения, безопасность представляют себе как определенный компромисс. Создание продуктов повышенной безопасности обходится дороже, а их функциональные возможности оказываются ниже, и это раздражает клиентов. Альтернативой является менее безопасное программное обеспечение, которое то и дело подвергается атакам, вызывает негативную оценку и критику со стороны пользователей. И все же многие компании отдают предпочтение менее безопасным программам.

Однако исследования показывают, что, когда на разные чаши весов поставлены стоимость и надежность, именно надежность становится основным условием эффективности. Межсетевые экраны уже давно стали стандартным компонентом корпоративного арсенала. Без них компании не в состоянии проводить расследования при попытках взлома. Безопасность же определяется по конечному результату.

Безопасность непосредственно влияла бы на конечный результат, если бы разработчики несли ответственность за недочеты в программном обеспечении.

«В этом отношении программное обеспечение не следует отделять от всех остальных продуктов, — считает Шнайер. — Ведь если за какой-то вопрос никто не отвечает, значит, решать его никто никогда не будет».

Если на разработчиков удастся возложить ответственность за качество их продуктов, они наверняка захотят перенести ее на плечи страховых компаний, которые должны определить стоимость страховки и гарантировать достижение нужного результата.

«Я полагаю, что страхование — очень важный момент в укреплении компьютерной безопасности, — отметил Шнайер. — В реальной жизни именно страховка является гарантией безопасности».

Компьютерную безопасность будет гарантировать присутствие страховых компаний на рынке. Им придется искать пути создания стандартных моделей, определяющих уровень риска, которому подвергаются клиенты. На основе такой модели можно выяснить, какие продукты являются более безопасными. А это в свою очередь заставит компании использовать средства, обладающие повышенным уровнем безопасности. Ведь таким образом они смогут сэкономить деньги.

Помимо оформления страховки клиенты сами начнут искать способы уменьшения риска, связанного с применением компьютерных систем. А поскольку большинство компаний не могут позволить себе держать целый штат экспертов, контролирующих работу корпоративных сетей, наилучшим выходом станет привлечение сторонних специалистов.

Компания самого Шнайера, Counterpane, в частности, предлагает своим клиентам услуги внешнего мониторинга.

Все, что мы хотели бы делать при помощи Internet, нужно делать с соблюдением требований безопасности. Ограничения безопасности являются, по своей сути, ограничениями Internet.

«Полностью избежать риска невозможно, — подчеркнул Шнайер. — И лучшее, что мы можем сделать, — научиться управлять этим риском».