Теракты 11 сентября заставили американские компании пересмотреть свою политику безопасности. А ваша компания приняла необходимые меры?

После ужасного разрушения всемирного торгового центра и атаки на Пентагон вопросы защиты стали на повестку дня во многих компаниях. Наряду с обеспечением безопасности сотрудников все больше внимания уделяется информационной инфраструктуре, критической составляющей нынешнего бизнеса. Данная статья посвящена угрозам информационной безопасности, в ней исследуется роль политики безопасности в уменьшении рисков ведения бизнеса в современной информационной среде.

Влияние трагических событий 11 сентября на политику безопасности компаний мы рассмотрим на примере трех организаций: из аэрокосмической/оборонной, финансовой и правоохранительной сфер деятельности. В статье описываются некоторые ключевые моменты создания и внедрения успешной политики, рассказывается, как заручиться поддержкой руководства, соблюсти баланс между требованиями бизнеса и безопасности. Наконец, мы постараемся дать ответ на вопросы, какую угрозу представляет так называемый «кибертерроризм» для компаний и как они могут обеспечить свою защиту?

АЭРОКОСМИЧЕСКАЯ И ОБОРОННАЯ ОТРАСЛЬ

Компания Goodrich, поставщик аэрокосмической и оборонной промышленности с капиталом 44 млн долларов и штатом около 23 тыс. сотрудников, имеет 107 представительств по всему миру. Дэн Крид, директор по сетевой безопасности, заявляет, что теракты заставили коренным образом пересмотреть корпоративную политику безопасности — от физической защиты до использования Internet и даже сопровождения посетителей в здании.

По мнению Крида, одна из важнейших проблем — проникновение в сеть иностранных хакеров с целью похищения информации. Для опасений поводы есть: крупнейшими заказчиками Goodrich являются производители авиатехники Boeing и Airbus. «В нашей организации хранятся чертежи всех производимых ими самолетов, — сообщает он. — Кроме того, немало нашей авиационной техники используется сейчас в Афганистане». Кража технических данных о коммерческом и военном оборудовании стала бы большой удачей для любой террористической организации.

По словам Дэна Крида, до 11 сентября политика безопасности в Goodrich не соответствовала необходимым требованиям. Он приводит три основные причины. Прежде всего, это размер компании. «При наличии 23 тыс. человек и более сотни офисов политика безопасности очень быстро начинает отнимать все время», — подчеркивает Крид.

Вторая причина — корпоративная структура компании, представляющая, по словам Крида, традиционный холдинг. «Каждое из наших подразделений автономно и может самостоятельно расширяться или уменьшаться», — поясняет он. Кроме того, компания росла в основном за счет приобретений. В результате образовалось несколько подразделений, корпоративная культура которых может входить в противоречие с централизованной практикой. «Одно из наших подразделений, будь на то их воля, было бы открыто миру в любой точке, где есть Internet, — рассказывает Крид. — Им нелегко признать, что, открывая себя, они открывают всех нас».

И, наконец, легкомысленное отношение сотрудников компании к правилам защиты. «Забота о безопасности — это привычка, — заявляет Дэн Крид. — А привычки можно приобретать и терять. Люди постепенно расслабляются».

Для улучшения политики безопасности и приведения ее в соответствие с требованиями компании Дэн Крид предпринял несколько шагов. Во-первых, он создал команду, специально занимающуюся этим вопросом. В нее входят представители каждого коммерческого подразделения и каждого направления деятельности компании. Крид уверен, что работа в команде способствует лучшему пониманию людей, сглаживанию различий в корпоративной культуре и возникающих из-за этого разногласий при попытках установить единый образ поведения. Кроме того, командный подход помогает пропагандировать безопасность среди тех, кто не отвечает за нее непосредственно.

Далее Крид признает, что автономные единицы Goodrich могут не слишком внимательно относиться к указаниям свыше. «Мы не стремимся диктовать свою волю. Мы стараемся влиять», — говорит он.

Дэн Крид старается избегать насаждения защитных мер, неуместных для данного подразделения. Вместо этого он стремится сбалансировать безопасность и деловой риск. «Прежняя модель безопасности была одинакова для всех», — отмечает он. Такой подход не работает, когда одни подразделения заняты коммерческой деятельностью, а другие — взаимодействием с военными заказчиками. Привязав требования безопасности к бизнесу, Крид отказался от единой политики, поскольку она может оказаться недостаточной для одного подразделения, но в то же время способна осложнить деятельность другого.

Для повышения осведомленности пользователей в вопросах безопасности Крид рассылает по внутренней сети компании статьи и другие материалы, надеясь повысить грамотность сотрудников, и поощряет простые, но действенные меры, например установку паролей на хранителях экрана.

ФИНАНСОВЫЕ УСЛУГИ

Компания Instinet занимается электронными брокерскими операциями с ценными бумагами. Коммуникационная сеть Instinet позволяет брокерам круглосуточно покупать и продавать акции NYSE и Nasdaq. События 11 сентября повлекли не только финансовые потери компании: в офисах и телекоммуникационном узле, расположенных в здании ВТЦ, погибли два сотрудника Instinet.

Дэнис Вердон, вице-президент Instinet и главный руководитель по управлению информационным риском, сообщил, что теракты пришлись на момент изменения компанией своей политики безопасности. Перемены были вызваны «опасениями последствий, если мы подвергнемся продолжительной атаке, окажемся в состоянии войны или пострадаем от какой-либо другой активности организаций, желающих нанести ущерб финансовой отрасли».

До 11 сентября Вердон опасался антиглобалистов. Многие из них в знак протеста пытались взламывать сайты Web финансовых учреждений и осуществляли против них атаки по типу «отказ в обслуживании» (DoS). «С 1999 г. мы старались определить, что же необходимо для уверенности в работоспособности и целостности наших систем в случае подобных событий», — говорит он.

В то время как процесс изменений уже начался, события 11 сентября, по словам Вердона, подтвердили правильность принятых решений. В частности, перемены в политике Instinet были нацелены на две области. Первая связана с усилением взаимосвязи между деловой стратегией компании и ее безопасностью.

«Если вы хорошо разбираетесь в своем бизнесе, то сможете точнее сформулировать реальные требования к безопасности, — утверждает Дэнис Вердон. — Чтобы оценить политику безопасности, нужно знать, чего вы пытаетесь добиться: защитить персонал, не допустить финансовых потерь, избежать юридических проблем и т. д. Это подскажет вам структуру политики безопасности».

Второе изменение касается представления структуры безопасности не просто как стены вокруг замка. «Раньше, к сожалению, в Instinet считали, что надежной охраны периметра вполне достаточно», — говорит Дэнис Вердон. Несмотря на важность «внешних укреплений», современная среда электронной коммерции позволяет клиентам и партнерам проникать за брандмауэры. Сосредоточение на охране периметра означает, что внутренние бреши в системе безопасности останутся незамеченными.

«Нам важно понять, как проектировать наши сети. В них должны быть предусмотрены зоны, куда клиенты могли бы заходить, не подвергая опасности основные системы, — утверждает Вердон. — Я потратил много времени, объясняя руководству важность внедрения хорошей системы безопасности во всех областях деятельности компании». Это означает, что организация должна исследовать свои методы управления, организацию сети и способы разработки и развертывания приложений.

Дэнис Вердон рассчитывает на то, что конечные пользователи поддержат корпоративную политику безопасности. «Каждый сотрудник работает за компьютером, подключенным к Internet. Если люди не поймут, что посещение определенных сайтов и загрузка программ представляют опасность, мы будем открыты для атаки».

«Когда сотрудники освоят практические меры безопасности, можно считать, что в отделе безопасности не 10-15 человек, а 2000», — добавляет он.

ОБЕСПЕЧЕНИЕ ПРАВОПОРЯДКА

Осведомленность сотрудников важна и для Канзасского бюро расследований (Kansas Bureau of Investigation, KBI). Это государственное агентство снабжает правоохранительные органы Канзаса различной информацией: фотоснимками, отпечатками пальцев и досье преступников.

Несколько лет назад KBI модернизировало инфраструктуру своей сети, чтобы агенты могли иметь доступ к местной и федеральной уголовной информации через Internet. Сеть обслуживает 105 округов и примерно 750 правоохранительных агентств.

Норма Джин Шефер, консультант KBI по информационным технологиям, утверждает, что события 11 сентября не привели к каким-либо переменам в политике безопасности бюро: «Мы всегда настороже, поэтому и наши правила защиты были жесткими с самого начала». Это необходимо из-за секретного характера хранящейся в KBI информации, что делает бюро одной из главных мишеней для злоумышленников и хакеров, стремящихся поднять репутацию в своей среде.

Норма Шефер считает высокий уровень осведомленности пользователей о политике безопасности бюро необходимым для поддержания постоянной бдительности. Она проводит ежеквартальные встречи для обсуждения политики, обучения и демонстрации лучших практических мер. «Из каждого сотрудника в нашем здании я делаю офицера службы безопасности», — заявляет она.

Шефер твердо верит в результативность подобного обучения. Примерно через неделю после семинара на тему компьютерных вирусов одна из сотрудниц KBI обнаружила у себя в почтовом ящике подозрительное письмо и немедленно его удалила. Оказалось, что это был вирус ILOVEYOU, нанесший большой ущерб многим внутренним сетям США, но не сети KBI. Семинар «отнял час ее времени и час моего времени, но сэкономил тысячи долларов», — говорит Норма Шефер. Она подчеркнула, что на следующем семинаре эта сотрудница была награждена специальными подарками.

Конечно, людям свойственно ошибаться, поэтому обучение персонала подкрепляется жесткой политикой безопасности на уровнях программного обеспечения и аппаратуры. «Мы не внедряем такую политику безопасности, которую нельзя обеспечить технически, — уточняет Шефер. — Если я говорю, что загружать что-либо нельзя, брандмауэр не позволит сделать это. Мы сразу получаем предупреждения, когда люди делают то, что не следует».

Норма Шефер связывает успех политики безопасности KBI с поддержкой руководства, которое, по ее словам, подключилось к политике безопасности с первого же дня.

КАКОВА БЕЗОПАСНОСТЬ, ТАКОВ И БИЗНЕС

Если с момента пересмотра политики безопасности вашей компании прошло уже несколько месяцев (или вы вообще не позаботились о ее создании), то с чего же начинать? Эксперты утверждают, что лучше всего начинать с верхушки.

«Идея должна исходить от председателя правления или генерального директора», — утверждает Стив Хант, вице-президент Giga Information Group по исследованиям. Это объясняется тем, что хорошая политика безопасности должна отражать миссию руководства — повышать биржевую стоимость акций.

Можно предположить, что начинать разработку стратегии защиты должен отдел информационных технологий, так как его сотрудники занимаются настройкой брандмауэров, управляют идентификацией пользователей и защищают данные компании от воров и пиратов, однако, по словам Ханта, такой подход в корне неверен.

«Отдел ИТ в целом бессилен создать или внедрить политику безопасности, — говорит он. — Я не утверждаю, что сотрудники таких отделов некомпетентны, однако их положение не позволяет им оценить бизнес-риски». Если подобным вопросом занимается отдел ИТ, политика будет отражать нужды и проблемы именно этого отдела, но не обязательно компании в целом.

Естественно, Хант не предлагает генеральному директору настраивать брандмауэр. От совета директоров должны исходить общие положения по управлению риском, уточняемые по мере прохождения через разные уровни организации.

«Такие положения могут быть самыми общими, — разъясняет Хант. — Например, не допускать снижения биржевой стоимости акций из-за каких-либо проблем. Затем каждое подразделение истолкует это задание или добавит к нему что-то свое в соответствии с собственными требованиями».

Так, отдел продаж может истолковать задание «не допустить снижения биржевой стоимости сверх определенного предела» как политику, нацеленную на недопущение попадания информации о клиентах в руки конкурентов. Затем отдел ИТ проведет необходимые технические мероприятия по защите информации.

В результате, по словам Ханта, «задачи бизнеса будут сведены к определению количества знаков в паролях и настройки конфигурации брандмауэров».

К сожалению, во многих организациях бизнес и безопасность мешают друг другу. «С точки зрения руководства, безопасность зачастую рассматривают как неудобную и дорогостоящую надстройку», — говорит Хант. Получается, что обслуживающие клиентов и партнеров подразделения предоставляют им доступ к корпоративным ресурсам, а отдел безопасности этот доступ стремится ограничить.

По мнению Ханта, бизнесмены и сотрудники отделов безопасности должны найти компромисс, представив безопасность как фактор, снижающий риск, а не препятствующий доступу. Во-первых, обеспечение защиты необходимо поручить ответственному за управление рисками — лучше всего тому, кто обладает достаточной властью для ее внедрения. Во-вторых, нужно создать отвечающую за безопасность команду, куда войдут представители всех отделов организации: ИТ, финансового, юридического, аудита, продаж и т. д. Целью такой команды станет создание политики безопасности с единым взглядом на бизнес.

Другим ключевым элементом успешной политики безопасности, по словам эксперта в данной области Чарльза Крессона Вуда, являются хорошо документированные роли и обязанности. «Нужно четко определить, кто и что должен делать: просматривать журналы событий, присваивать пользователям идентификаторы, следить за недоступностью этой информации в отсутствии пользователей. Список обязанностей довольно обширен». Хорошо документированные роли означают, что важные задачи не останутся незамеченными, а персонал отдела безопасности будет знать, что делать в случае кризиса.

ОЦЕНКА НОВЫХ УГРОЗ

Предположим, ваша политика безопасности уже оформлена: ее поддерживает руководство, роли расписаны, пользователи начеку. Этого достаточно? Пока нет. Вуд полагает, что события 11 сентября должны были ясно показать всем американским компаниям важность оценки террористической угрозы.

«Есть ли у вас запасной план для продолжения работы в резервных помещениях? — спрашивает Вуд. — Достаточно ли обучен персонал, чтобы новые сотрудники могли выполнить критические операции? Мы могли бы задать эти вопросы, подразумевая землетрясения и другие происшествия. Теперь мы задаем их, помня о терроризме».

Переоценка политики безопасности с точки зрения современных угроз требует нового мышления. По словам Вуда, традиционные оценки риска имеют в виду разумного злоумышленника, который не станет вкладывать в преступление больше ресурсов, чем рассчитывает получить. Например, такой злоумышленник не потратит 6000 долларов, чтобы украсть из банка 5000 долларов. Подобные соображения влияют на управление риском в банке и создание его политики безопасности.

«Между тем после 11 сентября идею «разумного преступника» можно смело отбросить, — приходит к выводу Вуд, — поскольку существуют те, кто готов лишить жизни тысячи людей и нанести ущерб собственности, потратив на это миллиарды долларов и погибнув при совершении преступления».

«Компаниям нужно по-новому взглянуть на все основные средства управления, используемые в компьютерах и сетях, и оценить их адекватность новым угрозам», — подчеркивает он.

КИБЕРТЕРРОРИЗМ РЕАЛЕН?

На момент написания статьи значительных кибертеррористических актов (политически мотивированных массированных атак на основные информационные структуры) не происходило. Однако спектр «цифровых катастроф» вырос подобно облаку пыли над Манхэттеном. Действительно ли кибертерроризм представляет собой новую угрозу или это просто рассчитанное на сенсацию название обычного компьютерного преступления?

Это нелегкий вопрос, так как при поверхностном осмотре теракт может выглядеть как обычный взлом. Кибертеррористы располагают теми же инструментами, что и хакеры: «червями», вирусами, атаками DoS, используют такие методы, как порча сайтов Web, осуществляют вторжение с целью похищения интеллектуальной собственности или военной информации. По мнению профессионалов в области безопасности, разница заключается в мотивации. «После разрушения зданий ВТЦ мы, возможно, столкнемся с более изобретательными, целенаправленными и длительными атаками на нашу инфраструктуру», — говорит Вердон. Сильно мотивированные злоумышленники могут постоянно стремиться проникнуть в организацию, не уставая искать бреши. Непрестанные атаки способны в итоге подорвать защиту компании. «Если вам придется бросить силы всего отдела безопасности в одну часть сети, то это, по сути, окажется направленной против него атакой DoS», — добавляет он.

Более сложной проблемой для профессионалов информационной безопасности стала защита от нетрадиционных атак. Угонщики самолетов, врезавшихся в здания ВТЦ и Пентагона, знали, что не встретят сильного сопротивления со стороны пассажиров и экипажа, ведь до 11 сентября обычная процедура угона включала в себя заявление требований, переговоры и, в большинстве случаев, последующее освобождение заложников.

Они преуспели в осуществлении своего плана, следуя необычной модели угрозы. Проблема нетрадиционных атак применима и к информационной безопасности. Достаточно ли средств предотвращения обычных компьютерных преступлений для защиты от совершенно новой угрозы? «Отличный вопрос! — вынужден признать Хант. — Но у меня пока нет на него ответа».

Говорит ли это о беззащитности организаций? Вовсе нет. Четко определенная политика реагирования на бедствия в любом их проявлении может помочь компании преодолеть кризисную ситуацию. Кроме того, лучшие методы обеспечения компьютерной безопасности, применявшиеся до 11 сентября, вполне актуальны и сегодня, а многие из них могут смягчить тяжелые последствия неожиданных происшествий. (Смотрите врезку «Десять наиболее важных правил безопасности для защиты от кибертерроризма».)

Вуд рекомендует компаниям воспользоваться методом «мозговой атаки»: «Важно думать о новых способах проведения атак. Что может предпринять действительно умный преступник, чтобы обойти наши меры предосторожности? Для ведения нетрадиционной войны нужны нетрадиционные подходы».

В БЕЗОПАСНОСТИ ЛИ МЫ?

Как видно из примеров, описанных в данной статье, эффективная политика безопасности намного обширней, чем список правил для брандмауэров и запрещенных сайтов Web. Она нацелена на обеспечение основной деятельности компании, снижая риск при совершении данных операций, и пронизывает все предприятие — от кабинетов руководителей до рабочих мест рядовых сотрудников. Такая политика содержит четкие рекомендации по действиям в случае нарушения информационной безопасности, будь то вторжение в сеть, потеря части инфраструктуры или просто выдернутый из розетки штекер.

Теракты 11 сентября показали, насколько высока степень нашей уязвимости. Увы, бизнес-процессы и даже жизни людей нельзя защитить на сто процентов. Однако это не освобождает нас от бремени защиты компаний и тех, кто вдохнул в них жизнь. Мы должны делать это настолько компетентно, насколько возможно. Пришло время пересмотреть процедуры и способы обеспечения безопасности.

Эндрю Конри-Мюррей — редактор раздела бизнеса Network Magazine. C ним можно связаться по адресу: amurray@cmp.com.

Десять наиболее важных правил безопасности для защиты от кибертерроризма

Руководство многих организаций задается вопросом: «Как следует реагировать на предупреждения о возможных атаках кибертеррористов?» Один недорогой и быстрый для внедрения способ включает в себя изменение или адаптацию внутренней политики безопасности к новым угрозам потенциального кибертерроризма. Список десяти лучших правил политики безопасности приведен здесь в качестве идей, которые вы могли бы включить в документацию новой или пересмотренной политики информационной безопасности.

  1. Проведение проверок личных данных всех сотрудников. Все сотрудники, так или иначе связанные с компьютерами, должны пройти подобную процедуру. Эта политика применима к новым, вновь нанятым и переведенным сотрудникам, а также третьим лицам: временным сотрудникам, поставщикам и консультантам.
  2. Обеспечение скрытности для публики. Никакие знаки не должны указывать на местонахождение компьютерных или коммуникационных центров компании.
  3. Ношение пропусков в офисах компании. В любом месте на территории компании все лица должны носить на виду идентификационные пропуска с четкими фотографиями и надписями.
  4. Обновление и проверка резервных планов работы информационных систем. Руководство должно подготовить, периодически обновлять и регулярно проверять резервные планы работы компьютерных и коммуникационных систем.
  5. Хранение важных производственных данных в надежном удаленном месте. На случай местных стихийных бедствий резервные копии важной деловой информации и программного обеспечения должны храниться в месте с контролируемым доступом, защищенном от внешней среды и удаленном от зданий компании на достаточное расстояние.
  6. Установка последних обновлений в системах на периферии сети. Для всех производственных сетевых систем необходимы соответствующие регулярные процедуры исправления и обновления. Данные процедуры должны включать в себя способы установки этих исправлений и обновлений.
  7. Установка и мониторинг систем обнаружения вторжений. Для своевременного реагирования на атаки все многопользовательские компьютеры, подключенные к Internet, должны иметь систему обнаружения вторжений (Intrusion Detection System, IDS).
  8. Минимальный уровень ведения системных журналов событий. Компьютерные системы, обрабатывающие секретную, ценную или важную информацию, должны надежно записывать все значимые события безопасности. К ним относятся попытки угадывания пароля, использования неавторизованных привилегий или модификации производственного прикладного программного обеспечения.
  9. Назначение ответственных за информационную безопасность. Все сотрудники, работающие с секретной, ценной или важной информацией, обязаны нести специальную ответственность за информационную безопасность.
  10. Периодические оценки риска для важнейших систем. Оценку риска информационной безопасности важнейших информационных систем и производственных приложений необходимо проводить, по крайней мере, каждые два года.

Источник: Чарльз Крессон Вуд, CISA, CISSP, независимый консультант по информационной безопасности. Используется с разрешения PentaSafe Security Technologies.

назад

Ресурсы Internet

Эксперт в области безопасности Чарльз Крессон Вуд — автор книг о политике безопасности. Книги «Политика информационной безопасности без проблем» и «Роли и обязанности в информационной безопасности без проблем» доступны по адресу: http://www.pentasafe.com.

Институт системного администрирования, организации сетей и безопасности (Systems Administration, Networking and Security, SANS) предоставляет обширную информацию о создании и внедрении политик информационной безопасности по адресу: http://www.sans.org/infosecFAQ/policy/policy_list.htm.

Сетевой портал Securityfocus.com опубликовал четыре выпуска, посвященных политике безопасности. Первый выпуск находится по адресу: http://www.securityfocus.com/cgi-bin/ infocus.pl?id=1193/.