Первый и наихудший из всех подвохов _ обмануть себя. Потом уже легко
впасть в любой грех.
Дж. Бейли
По мнению специалистов по информационным компьютерным технологиям,
самая большая угроза информационным системам и базам данных исходит не
от суперхакеров, преследующих .злые. цели, а скорее от источников, которым
мы абсолютно доверяем. Реалистическая оценка угрозы с последующей разработкой
соответствующих мер безопасности может обеспечить эффективную защиту от
большинства посягательств на информационные ресурсы организации. И это
не требует чрезмерных усилий.
Интеллектуальное воровство _ характерная примета времени
Ни одна компания не находится в полной безопасности в информационном
отношении. Любая из них может быть обворована и понести значительные материальные
и моральные убытки. Одной из наиболее ценных и удобных для хищения является
конфиденциальная информация _ интеллектуальная собственность организации.
Ежегодно мировое сообщество в результате экономического шпионажа теряет
миллиарды долларов национального валового продукта. Так, американский департамент
по науке и технологиям при Белом доме оценивает ежегодные потери только
компаний США в $100 млрд.
Поразительно, но факт: большинство хищений ценной информации совершают
сами сотрудники компаний, а не специально подготовленные внешние компьютерные
преступники.
Утечка информационных технологий достигла размера эпидемии. Все данные,
начиная от заказа товара и заканчивая всевозможными финансовыми расчетами,
в цифровых вычислительных устройствах и системах представлены элементарными
строчками компьютерных .единиц. и .ноликов.. К этой так незамысловато представленной
информации имеют доступ служащие фирм.
Компактность информации и широкое использование сетевых технологий
создали новую проблему для специалистов в области ее защиты: сведения могут
быть похищены в организации ее служащими совершенно незаметно. Часто руководство
узнает о такой утечке только после того, как данные о дорогостоящих исследованиях
компании появляются у ближайшего конкурента.
Специалистам по защите информации удается сравнительно надежно перекрыть
только физический доступ к источникам стратегических материалов. Таким
образом обеспечивается защита информационных ресурсов от внешних посягательств.
Похитители информации _ кто они?
Чем обусловлены кражи интеллектуальной собственности? На первом месте
среди воров компьютерной информации _ служащие собственной компании, недовольные
своим служебным положением. Затем следуют нечестные сотрудники фирмы, пытающиеся
обогатиться, продав информацию или обеспечив к ней доступ посторонним лицам.
Хищениям также способствует принятие на работу служащих по контракту, на
временной основе или по совместительству.
Причины кражи могут быть самыми разными. Кроме банального стремления
прямого обогащения можно назвать создание преимуществ для собственных компаний
или компаний своих родственников, трансфер информации на новое место работы,
создание своей фирмы.
За ценными сведениями могут также охотиться друзья служащих фирмы,
которым на правах троянского коня значительно проще добраться до информационных
ресурсов компании, нежели обычным хакерам.
А что за океаном?
Американское общество по промышленной безопасности (ASIS ) в своих
отчетах указывает, что в течение трех лет количество интеллектуальных краж
увеличивается на 300_350%. В среднем ежедневно происходит по одному значительному
случаю интеллектуального воровства. Причем это относится только к зарегистрированным
происшествиям. На самом же деле краж значительно больше. Организации, как
правило, не сообщают о них, так как дорожат своей репутацией.
По данным ASIS, 63% от общего количества краж информации составляют
хищения компьютеризованных стратегических планов, данных научно-исследовательских
и опытно-конструкторских работ, а также производственных технологий.
В октябре 1996 года президент США подписал указ по предотвращению экономического
шпионажа, в соответствии с которым кража промышленных секретов в любой
форме является государственным преступлением. За прошедшие четыре года
этот указ продемонстрировал свою высокую эффективность в деле сохранности
интеллектуальной собственности.
Однако средства массовой информации и крупные производители аудио-
, кино- и видеопродукции (в частности, Голливуд) продолжают страдать от
массированных атак компьютерных взломщиков (хакеров) и поныне. Причем,
как уже говорилось выше, наиболее опасными из них являются сами работники
организаций. ASIS сообщает, что 74% хищений интеллектуальной собственности
совершают собственные служащие, подрядчики или поставщики продукции.
В ходе опроса, проведенного Мичиганским университетом, 58% респондентов
_ начальников служб безопасности корпораций _ заявили, что на их предприятиях
служащими, работающими на полную ставку, похищалась ценная маркетинговая
информация в больших объемах.
Таким образом, внутренняя опасность, исходящая из источников, которым
руководство вполне доверяет, приносит более ощутимый ущерб, чем вторжение
в информационные сети извне.
Многие случаи утери важной информации связаны с элементарной беспечностью
ее обладателей. Приведем несколько примеров, подтверждающих это.
Начальник разведывательного управления, в ведении которого находится
многоступенчатая разветвленная разведывательная структура, не полагаясь
на память, прикрепил к монитору своего компьютера листок, на котором были
записаны код и пароль, а также подробные инструкции по входу в систему.
Часть ценной информации была похищена.
Власти одного из американских штатов создали сайт в Интернете, но не
позаботились о защите доступа. В тот же день идентификатор пользователя
и парольный файл попали в распоряжение хакеров. Часть стратегической информации
получила широкую огласку.
Так, по данным американских СМИ, в ФБР постоянно находится на расследовании
от 800 до 1000 случаев экономического шпионажа, неотъемлемой частью которого
является кража интеллектуальной собственности.
В связи с вышеизложенным, 22 мая 1998 года в Америке издана директива
президента 63, где даны указания федеральным административным органам,
государственным и частным компаниям по проведению мер для обеспечения безопасности
наиболее уязвимых объектов инфраструктуры США, к которым относятся средства
связи и коммуникаций, банковско-финансовая система, энергетика, транспорт
и основные государственные службы (особенно силового характера). В соответствии
с этой директивой, к 2003 году в стране должна быть создана надежная, взаимосвязанная
и безопасная информационно-системная инфраструктура.
Уже в этом году будет значительно усилена безопасность государственных
служб, для чего создается Национальный центр приема сигналов об информационных
нападениях и реагированию на них. К 2003 году накопится достаточный интеллектуальный
потенциал для защиты важных объектов инфраструктуры от умышленных враждебных
действий.
С этой целью происходит интеграция усилий государственных и частных
фирм, причем упор делается на разработках последних. Это и понятно _ по
созданию определенных перспективных информационных технологий они опережают
государственные учреждения на три-пять лет.
Для координации усилий при ФБР создан Национальный центр по защите
объектов инфраструктуры США. В него включены сотрудники ФБР, Министерства
обороны, Секретной службы США, ЦРУ, Министерства энергетики и транспорта,
а также представители частного сектора экономики.
Пентагон не дремлет
В последнее время защита информации является одной из наиболее приоритетных
задач американского военного ведомства.
В армии США, где с 1997 года на каждого военнослужащего приходится
больше одного персонального компьютера, информационная безопасность самым
тесным образом связана с боеготовностью и эффективностью управления. Конечно,
сегодня в Пентагоне никому не придет в голову опутывать проволокой и опечатывать
мастичными печатями сотни тысяч персональных компьютеров, поскольку все
они работают как в локальных, так и в региональных распределенных сетях
(не говоря о выходе в глобальные), для подключения к которым вовсе не обязательно
проникать в помещения, где установлены компьютеры.
В будущем, как и прежде, будут использоваться организационно-технические
меры по защите информации (проверка лиц, имеющих доступ к секретным данным,
охрана помещений, экранирование оборудования и др.). Однако, по мнению
американских специалистов, эти меры не станут определяющими, поскольку
наибольшую угрозу для безопасности информационных систем будут представлять
внешние пользователи, случайно или преднамеренно подключающиеся к информационным
ресурсам посредством сетевых услуг.
В недалеком прошлом во время миротворческих операций НАТО на Ближнем
Востоке и последней войны на Балканах это наглядно продемонстрировали действия
сотен хакеров, которые одновременно атаковали ключевые информационные ресурсы
военной структуры НАТО и Пентагона, что на некоторое время парализовало
их работу.
Как полагают в Пентагоне, широкомасштабная интеграция информационных
систем Министерства обороны США на основе последних достижений в области
информационных технологий позволит американскому военно-политическому руководству
в начале третьего тысячелетия выйти на качественно новый уровень системы
управления вооруженными силами.
Против лома есть приемы
Для сохранности своей коммерческой и иной информации от посягательств
внутренних и внешних врагов организации должны реализовывать комплекс эффективных
мероприятий: предпринимать усилия, согласованные на физическом и программном
уровнях, осуществлять контроль служащих, проводить ревизии-инспекции, тщательно
проверять партнеров по бизнесу. Только в этом случае специалисты по проблемам
защиты информации фирм смогут успешно выполнять свои функциональные обязанности.
Одним из подходов к проблеме защиты информации является применение
концепции установления риска (убытков) при хищении сведений определенной
тематической направленности и категории. Для этого руководством организации
составляется закрытый перечень критических в отношении риска моментов в
процессе ее жизнедеятельности. Указывается комплекс мер по минимизации
каждого из возможных рисков. После этого составляется программа безопасности
информационных ресурсов организации. Менеджеры по безопасности информации
на основе программы разрабатывают концепцию и средства логического и физического
доступа, определяют категорию сведений и перечень сотрудников, допущенных
к выделенным информационным ресурсам.
В организации создается группа информационной безопасности. В нее включают
подразделы, ответственные за создание, осуществление допуска и использование
конфиденциальной информации. В группу могут входить специалисты по информационным
технологиям, человеческим ресурсам (кадрам), режиму на предприятии, финансам,
маркетингу, изготовлению и реализации продукции.
Члены группы и сотрудники фирмы должны знать, что относится к коммерческой
тайне и промышленным секретам их предприятия. Для этого делается список
промышленных секретов и составляющих интеллектуальной собственности.
Затем на предприятии разрабатывается план защиты информации. Он должен
быть простым, логичным и общедоступным. Естественно, что сотрудники, гости,
заказчики, подрядчики и деловые партнеры фирмы должны знать и о наличии
такого плана, и о его составляющих. Тайны из этого делать не следует.
На основе проделанной работы разрабатывается всесторонняя программа
защиты информации. Ее основным ядром является перечень не подлежащих разглашению
сведений конкретно для служащих, заказчиков, подрядчиков и гостей. Также
должны быть разработаны и внедрены процедуры по идентификации информации,
ее хранению, обработке, размещению, распространению и передаче.
Защита информации должна быть отражена в этических документах предприятия
и функциональных обязанностях его сотрудников (кодексах поведения). Следование
сотрудников букве и духу этих документов необходимо постоянно проверять.
Также нужно контролировать осуществление мониторинга информационных
ресурсов. Руководитель должен убедиться, что его работники избегают рисков,
определенных соответствующим перечнем. Особое внимание следует обратить
на временных сотрудников и работающих по контракту или совместительству,
их деловых партнеров, на характер их работы с информацией.
Руководитель фирмы должен помнить, что его персонал или лица, имеющие
доступ к конфиденциальной информации, обязаны постоянно проходить подготовку
по работе с информационными ресурсами, т. е. образовательный процесс по
тематике защиты информации должен быть непрерывным. При посещении предприятия
гостями им необходимо сказать, что на фирме существует ограниченный доступ
к информационным ресурсам. Гости, в свою очередь, проникнутся уважением
к порядку по защите сведений на фирме.
Нужно систематически оценивать эффективность предпринятых мер. Существующая
в компании группа по защите информации должна регулярно проводить совещания,
чтобы определить, нет ли необходимости дополнить или видоизменить перечень
рисков фирмы в связи с динамикой ее деловой активности.
Не нужно паниковать. Многие организации отказываются от вложения средств
в информационные технологии, поскольку убеждены в том, что на них немедленно
нападут орды хакеров и лиц, желающих поживиться чужой интеллектуальной
собственностью.
При планировании защиты информационных технологий нужно учитывать следующие
правила.
— Прежде всего система безопасности должна быть простой. Чем она сложнее,
тем больше в ней лазеек для проникновения хакеров. Кроме того, излишняя
сложность будет отпугивать от пользования ею собственных сотрудников.
— Необходимо заранее разработать стратегию, процедуры и санкции. Лучше
вообще их не иметь, чем пользоваться такими, какие носят .беззубый. характер.
— Следует обучать сотрудников пользоваться системой безопасности. Необходимо
усиливать такую подготовку за счет обсуждения и распространения сведений,
связанных со случаями вторжения в компьютерные сети или другими нарушениями
подобного порядка.
— Необходимо как можно шире использовать готовые программные продукты,
обеспечивающие информационную защиту, а не пытаться разрабатывать свои
собственные. Готовые продукты, основанные на известных стандартах, проходят
испытания и сертификацию, а потребителей, пользующихся этими продуктами,
можно опросить и изучить их опыт. К тому же к стандартным коммерческим
продуктам обычно прилагается подробная документация, предназначенная для
пользователей и технического персонала. Когда же подобные приложения разрабатываются
в самой организации, зачастую упускаются из виду такие моменты, как составление
сопровождающей документации и проведение испытаний.
— Информация, ресурсы и пользователи должны подразделяться на категории.
Следует защищать информацию и ресурсы в зависимости от степени их ценности.
Естественно, конфиденциальные данные должны обеспечиваться высокой степенью
защиты. С другой стороны, общедоступная и/или легко восстановимая информация
не требует изощренной охраны. Объективный анализ информационных ресурсов
показывает, что объем общедоступной информации значительно превышает объем
конфиденциальных данных.
Сначала необходимо осуществить всестороннюю инвентаризацию информационно-технологических
ресурсов и средств программного обеспечения, а затем _ контроль конфигурации
оборудования. Особо следует обратить внимание на правильность работы с
системной документацией. Она должна выдаваться только по необходимости
строго очерченному кругу лиц.
— Нужен реалистичный подход к управлению системой информационной безопасности.
Необходимо установить правильный баланс между реальными потребностями в
защите и стоимостью ее обеспечения.
— Следует проводить проверки, ревизии на местах, а также регулярные
и выборочные расследования. Для этого можно использовать программы автоматической
ревизии и контроля, те, которые позволяют выявлять внесенные в файлы изменения.
Надо разрабатывать и применять .наводящие. программы, способные обнаруживать
реальных или потенциальных нарушителей целостности системы. Надлежит предавать
широкой огласке информацию об угрозах и реагировании на них.
— Особое внимание необходимо уделять использованию новых технологий.
Сюда относятся встроенные средства защиты, средства блокировки доступа,
программы шифрования информации, возможности биометрии (идентификация человека
по его уникальным физическим данным: отпечаткам пальцев, тембру голоса,
геометрии ладони, сетчатке глаза и т. п.).
В заключение еще раз подчеркнем важность защиты интеллектуальной собственности:
информация имеет реальную ценность лишь тогда, когда она находится в стенах
предприятия _ его собственника. И резко падает в цене при попадании в руки
конкурентов.
Чего только не бывает
Высокопоставленный чиновник правоохранительных органов продал преступной
группировке файлы с описанием всех автомобилей, которыми пользовались тайные
агенты этих органов.
май 2000