МИФЫ и ПРАВДА об информационной безопасности

День начинается как обычно. Вы приходите на работу, включаете компьютер, делаете чашечку кофе и начинаете просматривать email. Распределяете почту: рабочие письма здесь, а тут от друзей, семьи и знакомых. Затем наступает утренний перерыв. Перерыв заканчивается, вы возвращаетесь к своему компьютеру и неожиданно замечаете, что он делает что-то, что вам совершенно непонятно. Вы замечаете, что программы закрываются медленнее, чем обычно. Вы начинаете нервничать и приходите к решению, что нужно перезапустить систему. После перезагрузки обнаруживается, что все снова стало нормально. Напряженность спадает, но затем вы спрашиваете себя: 'Что могло привести к предыдущему сбою? Не заражен ли мой компьютер?' Когда пользователи подозревают, что проблемы в системе вызваны злонамеренным программным обеспечением, в 9 случаях из 10 они ошибаются. Существует множество причин для сбоев в системе. Однако гораздо легче предположить, что сбой вызван каким-то внешним воздействием на систему, вирусами или злоумышленниками. И конечно вокруг проблем информационной безопасности сложились мифы или легенды. Отчасти они подогреваются сообщениями в прессе, отчасти основываются на мнениях 'авторитетных' специалистов.

МИФ 1. Основная опасность исходит из Интернета.

А спички - основная причина пожара. Похожая логика, правда? Но ведь уходя из дома, Вы всегда закрываете дверь на замок? При этом, используя Интернет, зачем-то широко открываете ворота, даже не задумываясь об элементарной безопасности.

МИФ 2. Во всем виноваты хакеры.

Этот очень удобный миф поддерживают средства массовой информации, которые со всеми ужасающими подробностями описывают взломы банковских, военных, корпоративных сетей. Конечно, гораздо легче спихнуть ответственность на 'стрелочника' в виде хакеров,  чем признать некомпетентность или халатность обслуживающего персонала. Именно некомпетентность пользователей можно считать главной угрозой безопасности. Часто пользователи для лучшего запоминания выбирают легко угадываемые пароли - например, свое имя или дату рождения.  Часто можно увидеть наклеенные бумажки с паролем на мониторе, или спрятанные под клавиатурой (почему-то многие сотрудники убеждены, что это - самое безопасное место). Но ведь закрывая дверь своей квартиры, Вы не оставляете ключ рядом с дверью или под ковриком? И уж тем более не сообщаете об этом всем соседям?

МИФ 3. Зачем защищаться, если хакеры все равно могут нас взломать.

А зачем ставить сигнализацию и замки, если Ваш автомобиль все равно могут угнать? Конечно, абсолютно надежных систем защиты не бывает. Но чем больше усилий нужно будет приложить для взлома, тем надежней и безопасней ваша система.

МИФ 4. Объединять компьютеры в локальную сеть опасно, потому что все получат полный доступ к информации.

Наоборот - неконтролируемое дублирование информации пользователями делает невозможным администрирование. Кроме того - неконтролируемое и непродуманное распределение информации по локальным компьютерам может привести к безвозвратной потере данных в случае аппаратного сбоя или недостаточной квалификации пользователя локальной станции.

МИФ 5. Хранить всю информацию на сервере также опасно, как и складывать все яйца в одну корзину.

Это не так. Только библиотеки и централизованные хранилища сохранили до наших дней много информации, собрать которую другим способом было бы невозможно. Как ни странно, но старое решение актуально и сегодня. Гораздо дешевле и, главное, надежнее хранить данные централизованно.  Только при централизованном хранении информации возможно обеспечить актуальность хранимой информации, надежное администрирование и разделение доступа,  высокую надежность хранения данных, резервное копирование и высокую степень защиты от несанкционированного доступа

МИФ 6. У нас никогда не было проблем с безопасностью.

Если их не было, еще не значит, что их и не будет. И хотя наши потребители живут согласно русской поговорке "пока гром не грянет, мужик не перекрестится", все же разумнее выделить некоторую сумму на построение системы защиты, чем в десятки и сотни раз больше потратить потом на ликвидацию ущерба.

МИФ 7. Наша информация никому не нужна, кроме нас.

Это очень распространенное заблуждение. Но хакеры часто совершают свои действия не только из-за денег, но и по другим причинам - из любопытства, шутки ради, по политическим или идеологическим мотивам. Кроме того, Ваш компьютер может использоваться как промежуточное звено для реализации несанкционированных действий.

МИФ 8. UNIX-сервер и межсетевой экран - это гарантия безопасности

Какой бы ни был надежный сервер, основную угрозу безопасности могут представлять компьютеры, а самое главное - неквалифицированные действия ваших пользователей. Вирус или троян у пользователя, или, к примеру, не вовремя установленные обновления интернет обозревателя на локальных компьютерах могут стать серьезной угрозой безопасности для сети в целом.

МИФ 9. У нас надежная антивирусная программа

Еще одно заблуждение. И механизм действия последнего вируса и его модификаций (msblast) доказали, что одной лишь антивирусной защиты недостаточно. Необходимо также регулярно устанавливать обновления к системе (так называемые 'заплатки'). Да и самый надежный антивирус тоже нуждается в регулярном обновлении, об этом многие пользователи почему-то забывают.

МИФ 10. Провайдер сам проверяет нашу почту и предупреждает о вирусах.

Очень распространенная 'медвежья' услуга многих провайдеров в последнее время, от которой скорей больше вреда, чем пользы. И причина кроется не столько в самих вирусах, сколько в антивирусных программах. Чаще всего вирус рассылается от поддельных адресов, не имеющих к реальному отправителю никакого отношения. В результате ни в чем не виновный пользователь может получить сотни и тысячи писем почтовых антивирусных роботов с уведомлением о том, что он рассылает вирусы, хотя он этого не делал. При этом реальный отправитель никогда о своей рассылке может и не узнать.

Кто виноват?

Как уже говорилось, основную угрозу безопасности представляет некомпетентность пользователей.  Но если в утечке информации могут быть виноваты пользователи, то ответственность за сохранность информации целиком лежит на системном администраторе. Только лишь из-за некомпетентности или халатности (часто обыкновенной лени) 'системщика', отсутствия резервных копий возможны серьезные потери информации, повреждение баз данных. Ведь очень удобно и просто свалить вину на хакеров и прочие 'потусторонние силы', чем регулярно и скрупулезно заниматься профилактическими мероприятиями, регулярным обновлением системы, резервным копированием и т.д. Парадоксально, но системный администратор, как правило, не несет никакой ответственности, даже материальной, за потери информации, поэтому и мотивация к работе, как правило, соответствующая. Вы можете представить себе, к примеру, главного бухгалтера, который не несет ответственность за ошибки или утерю финансовых документов, объясняя это магнитными бурями или космическими пришельцами? Почему же такое разрешается сисадмину?

Другая причина проблем - отсутствие на предприятии квалифицированного администратора. Очень часто предприятие не может содержать штатного сотрудника, и функции системного администратора (как у нас иногда говорят, 'компьютерщика'), выполняет наиболее квалифицированный, по мнению руководства, пользователь. Как правило, у такого сотрудника существуют и другие обязанности, например менеджера или секретаря, и компьютеры для него скорей хобби, чем профессия. Как правило, такой специалист врядли сможет обеспечить даже простые мероприятия по сохранности информации, не говоря уже о многоуровневой защите и квалифицированном администрировании. В этом случае целесообразно провести независимый аудит системы безопасности (не дожидаясь, пока 'грянет гром') и обратиться к квалифицированным специалистам, например в специализированную фирму по компьютерному обслуживанию.

Что делать?

В первую очередь начать с аудита безопасности информации. Многие предприятия сейчас пользуются услугами бухгалтерских или налоговых аудиторов, понимая, что проблемы легче предотвратить заранее, чем потом нести убытки, а возможно и уголовную ответственность. К вопросам компьютерной безопасности это также применимо. Аудит компьютерной безопасности - это систематическая оценка того, как устроена политика безопасности на предприятии. В первую очередь попытайтесь найти ответ на следующие вопросы:

·         Установлены ли в системе все необходимые 'заплатки' безопасности?

·         Насколько сложно подобрать пароль?

·         Не является ли 'пустым' пароль администратора?

·         Разрешен ли анонимный вход в систему?

·         Ведется ли аудит доступа к данным, просматриваются ли журналы аудита?

·         Устранены ли все ненужные приложения и сервисы на каждой системе?

·         Как хранятся копии данных, кто имеет к ним доступ?

·         Проводится ли сохранение данных регулярно?

·         Разработан ли план восстановления данных в случае инцидента?

·         Проводились ли учения по восстановлению данных?

·         Были ли написаны используемые программы с учетом безопасности?

·         Обеспечена ли антивирусная безопасность и каким образом?

·         Обновляются ли антивирусные базы?

Это лишь небольшая часть вопросов, на которые следует обратить внимание при проведении аудита безопасности.

Вы готовы к такой проверке? Отвечая честно и точно на эти вопросы, организация может представить реальную картину безопасности своей жизненно важной информации. К сожаленью, лишь очень небольшое количество организаций выдержит аудит безопасности, большинство даже не задумывается о таких вопросах, не имея четко сформулированной политики безопасности. Целью аудита безопасности является поиск слабины в политиках безопасности и рекомендации по их решению.   Доверять решение вопросов безопасности можно только лишь квалифицированным специалистам. Если Ваше предприятие не может позволить себе содержать штатного квалифицированного администратора, обращайтесь в специализированные обслуживающие фирмы - это надежней, и в результате намного дешевле, чем пользоваться услугами 'компьютерщика-любителя'.

И, конечно же, очень часто сотрудники предприятия оказываются самым слабым звеном в системе его безопасности, поэтому системному администратору следует уделять больше внимания работе с пользователями системы. Иначе простой листочек бумаги с паролем, лежащий на рабочем месте забывчивой сотрудницы, сделает бесполезной тщательную настройку вашего сервера.

А.Трахтман, 'Скорая компьютерная помощь',

http://www.03.dn.ua