Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"

Автор книги: Линда Маккарти

сообщить о нарушении

Текущая страница: 10 (всего у книги 22 страниц)

Мы пойдем другой дорогой…

Как и в других видах повседневной технической поддержки, в обучении безопасности не много романтики. Тем не менее оно столь же необходимо для долгой поездки, как и проверка тормозов или уровня масла в вашей машине. Игнорируя этот факт, InterMint чуть-чуть не оказалась выброшенной на обочину информационного хайвэя.

Вот что им следовало бы сделать во избежание этого.

Просвещать высшее руководство

Если руководство поднимет тревогу, что у них не все в порядке с безопасностью, то большинство в компании последует его примеру. Руководство должно обеспечить доступность занятий по безопасности для сотрудников всех уровней – это касается и высшего руководства.

Хотя все руководители должны проходить обучение безопасности, но не всегда можно на этом настаивать. По самой меньшей мере, высшее руководство должно представлять себе, почему безопасность важна.

Причина этого проста. Мало кто из генеральных директоров выделит средства, если ему непонятна важность цели. Ему нужно объяснить существующий риск. Подумайте об этом. Будете ли вы покупать страховку на случай землетрясения, если вы живете в Уэст-Бенд, штат Индиана?[33]33
  В районе оз. Мичиган, т. е. в зоне слабой сейсмической активности. – Примеч. пер.


[Закрыть] Вряд ли. Купите ли вы эту страховку, если ваш дом высится над разломом Сан-Андреас в штате Калифорния? Вы ответите «Да» (если только вы не законченный глупец), потому что вы осознаете риск. По моему опыту, руководители, осознавшие риски, более склонны выписывать чеки на обучение.

Отстаивать бюджет обучения безопасности

Не позволяйте выбрасывать в первую очередь статью на обучение безопасности из напряженного годового бюджета. Иначе придется заплатить позднее. Создаваемая сегодня безопасность требуется для скрепления всех последующих частей. Ведь вам не придет в голову вложить все средства в разработку нового продукта, а затем не запереть двери лабораторий? Конечно нет. Но, оставляя открытыми ваши корпоративные сети, вы с большой вероятностью можете подвергнуться такому же риску.

Включать вопросы безопасности в обязанности руководства

Некоторые из руководителей ловят случай для продвижения по служебной лестнице. Иначе говоря, они прыгают от одних денег к другим. Для того чтобы чеки к ним поступали, им нужно их заслужить, выполняя поставленные перед ними цели. Чтобы при таком продвижении руководители не забывали о вопросах безопасности, постарайтесь, чтобы в поставленные перед ними цели была включена безопасность. Включите награду за достижение цели по обеспечению безопасности в план премий.

Когда система генерального директора InterMint была взломана, то перед одним из руководителей сразу же возникла цель по решению этой проблемы. Но то, что один из менеджеров имеет цель в вопросах безопасности, не много значит, если вся остальная цепочка управления не имеет таких целей. Если бы перед начальником Смиты была поставлена цель в отношении безопасности, то мне пришлось бы гораздо больше потрудиться для взлома систем операционного зала.

Делать обязательным обучение системных администраторов

Системные администраторы чрезвычайно занятые люди. Очень легко составить для системного администратора общий учебный план, а затем в конце года убедиться в том, что по нему ничего не сделано.

Часто системные администраторы так заняты, что не могут оставить свои сети или клиентов. Не создавайте ситуацию, в которой системные администраторы не могут оставить свою работу хотя бы на неделю. Например, Тия не должна чувствовать, что если она будет отсутствовать неделю, то вся ее сеть обрушится, или же по возвращении ее будет ждать полный беспорядок. Для этого, пока она будет на занятиях, ее начальник должен поручить ее территорию другому сотруднику. Нельзя допускать и того, чтобы после полного учебного дня ваши люди должны были отработать еще шесть часов, делая ваших пользователей счастливыми. Системные администраторы просто сбегут с занятий, если увидят в них дополнительную нагрузку к той работе, которую они обязаны сделать в этот же день. А вы сами стали бы заниматься при таких условиях?

Чтобы заставить системных администраторов вашей компании получить необходимое им обучение, отражайте его в служебной характеристике.

Посещать семинары по безопасности

Семинары по вопросам безопасности – это прекрасное место для распространения и получения информации, которую трудно получить где-либо еще. Выберите некоторые из профессиональных семинаров по безопасности для посещения вашими системными администраторами (такие, как SANS и USENIX). Так как всех туда послать невозможно, то пошлите по одному человеку на каждую конференцию и поручите им поделиться полученными там знаниями. Если возможно, то пусть они сделают краткий доклад по возвращении с семинара.

Те из вас, кто уже имеет большой опыт в вопросах безопасности, могут предложить свои выступления на таких конференциях.

Организовывать деловые ланчи

Большинству из нас крайне не хватает времени. Если вы пытаетесь втиснуть обучение в ваш перегруженный дневной график, то вспомните о том, что почти всем нужно есть! Попытайтесь проводить ежемесячно или ежеквартально доклады во время ланча. Выберите важные темы по безопасности и распределите намеченный материал между своими и приглашенными докладчиками. Это хороший способ держать ваших системных администраторов в курсе важных вопросов безопасности и эффективно использовать ценное время.

Распространять информацию по безопасности

Не заставляйте всех бегать в поисках свежей информации. Поручите одному из сотрудников поддерживать свою осведомленность на современном уровне и передавать остальной группе информацию об ошибках, снижающих безопасность, патчах, новых видах уязвимых мест, продуктах и т. д.

Не пожалейте дать его должности звучное название, а ему самому добавку к заработной плате. Многие работают из убеждений, но даже им деньги не повредят. Работа по поддержанию вашей группы в хорошо информированном состоянии заслуживает вознаграждения. Не пренебрегайте распространением информации. Некоторые люди любят придерживать ее, помня старое изречение: «Информация – это власть». Я лично нахожу таких людей небезопасными. Но их кругом слишком много. Помните об этом, стараясь обеспечить вашу компанию потоком фактов по вопросам безопасности.

Присоединиться к спискам рассылки по вопросам безопасности

Важно вовремя узнавать об очередной угрозе, возникающей в Интернете. Если ваш персонал технической поддержки не будет в курсе новых дыр и проблем в безопасности, то хакеры опередят его на несколько шагов. Добейтесь, чтобы ваши системные администраторы были лидерами в информационной стае, иначе она растопчет их. При сборе информации большую помощь окажут защищенные псевдонимы.

Выпускать «белые статьи»[34]34
  White papers – документы для широкого ознакомления с официальной информацией. – Примеч. пер.


[Закрыть]

Я знаю множество действительно талантливых системных администраторов. Если вы один из них, то поделитесь своим опытом с другими. «Белые статьи» являются отличным способом это сделать.

«Белые статьи» сделают вас более известным за пределами вашей компании. Они будут позитивным посланием, показывающим всему миру стремление вашей компании к открытости технологий и информации.

Писать в периодические издания

Хороший материал ищут многие газеты, журналы и бюллетени, освещающие вопросы безопасности. Если у вас есть что рассказать о технической поддержке, о продуктах, инструментах и т. п., то поделитесь своей информацией с другими. Это прекрасный способ поразить публику.

Превращать инструменты в продукты

Если вы разрабатываете инструменты для поддержки безопасности в вашей среде, то подумайте о превращении их вашей компанией в выпускаемые продукты или выставьте их в Интернете для бесплатного пользования. Может быть, ваши инструменты смогут применять и другие люди.

Контрольный список

Используйте этот список для определения того, как идут дела с обучением в вашей компании. Можете ли вы поставить «Да» против каждого пункта?

– Все ли руководители (сверху донизу) выразили общее стремление к безопасности?

– Подкрепили ли они это стремление финансированием обучения безопасности?

– Имеется ли программа обязательного обучения системных администраторов?

– Включены ли в эту учебную программу темы по настройке и поддержке безопасности?

– Существуют ли политики обучения безопасности?

– Составлены ли они тщательно, отвечают ли современным требованиям и широко ли известны?

– Все ли сотрудники, включая и высшее руководство, обучаются их обязанностям в области безопасности в компании?

– Существует ли инфраструктура для повышения и продолжения образования в сфере безопасности?

Заключительные слова

В мире компьютеров время – это все! Время вычислений процессора, время доступа памяти, время появления на рынке и т. д. – все протекает невероятно быстро. За 30 миллисекунд сигнал, летящий со скоростью света, может пройти расстояние от одного побережья Соединенных Штатов до другого. Иногда мне кажется, что с такой же скоростью некоторые менеджеры меняют одну работу или компанию на другую.

Менеджеры ищут продвижений по службе, больших заработков, доли в акциях и т. д. Правду говоря, их особо не в чем упрекнуть. Я бы и сама не отказалась от места вице-президента или от кучи акций.

Сегодня на деловом рынке большинство людей не работают в одной компании всю свою жизнь. Это ведет к краткосрочному мышлению. Достигли своей цели, получили свою премию и двигайтесь дальше к следующей возможности. По этой причине любая компания, которая действительно заботится о безопасности информации, должна ставить перед сотрудниками цели по вопросам безопасности на год. Чтобы их не затоптали пробегающие через компанию руководители, цели безопасности нужно связывать с остальными служебными целями и получением премий.[35]35
  Stock options – акции, продаваемые компанией своим сотрудникам по фиксированной цене. – Примеч. пер.


[Закрыть]

Одной из таких целей является защита бюджета на обучение. При общем взлете бюджетов на развитие информационных технологий в 2002 году (с увеличением на 92 процента числа фирм, затрачивающих более 1 миллиона долларов на безопасность) основная часть этих расходов идет на старые проекты, отложенные из-за Y2K-кризиса.[36]36
  Кризис, вызвавший переделку программного обеспечения из-за некорректного восприятия двух последних нулей в дате 2000 года. – Примеч. пер.


[Закрыть] Теперь посмотрим, задумаются ли над проблемой обучения компьютерной безопасности при осуществлении инициатив по национальной защите после событий 11 сентября 2001 года. Но мне кажется, что историческим выбором как правительственных органов, так и частных компаний будет вложение средств, скорее, в новое оборудование и развитие технологий, чем в обучение, необходимое для поддержки безопасности.

Глава 6
Безопасность вне плана

Один из моих наставников сказал, что использование технологий безопасности в политических целях является наихудшим видом вынужденного брака. По моему опыту, кроме того, что это правда, еще и дети от такого брака получаются уродливыми.

Ребекка Бейс, исследователь и специалист по стратегии в области безопасности

Представьте себе, что сейчас 6.30 утра и вы пациент больницы, ожидающий операцию. Это обычная операция по удалению желчного пузыря (чего мы только не удаляем) – и всего-то. Но вы не знаете, что компьютерная сеть больницы была недавно переделана по новому проекту. Персонал технической поддержки перенес все критичные[37]37
  То есть жизненно важные для выполнения больницей своих задач. – Примеч. пер.


[Закрыть] приложения из одного большого компьютера в распределенную сетевую среду (для оптимизации работы больницы). Стремясь быстрее перейти с одной платформы на другую, руководство не стало разрабатывать политики и процедуры безопасности для новых систем. Поэтому персонал, обслуживающий компьютеры больницы, не провел настроек безопасности. На внешний взгляд, сеть после такой оптимизации работала гладко. Но если заглянуть внутрь, то каждый мог украсть, изменить или уничтожить информацию о пациентах, хранящуюся на серверах сети.

Вчера при поступлении в больницу вас проверили перед операцией на отсутствие у вас какого-либо сопутствующего заболевания. Вам сделали анализ крови и рентгенографию грудной клетки – стандартные предоперационные процедуры. На следующий день вы проснулись рано, в 4.00 утра, за несколько часов до операции. Вы немного нервничали из-за предстоящего удаления желчного пузыря. Наконец, вспомнив все проблемы, которые он вам создавал, вы решаете, что его лучше удалить. Вы успокоились, заснули и увидели несколько приятных снов.

В шесть утра все закрутилось. Из операционной позвонил доктор и предупредил медсестру, чтобы предоперационные анализы были вместе с вами присланы в операционную. Так как результатов анализов в отделение еще не поступало, то сестра использовала компьютер для их получения. Они были нормальными. Или стали такими.

Ваша медсестра не знала, что сервер был взломан хакером, который изменил результаты ваших анализов с плохих на хорошие. До этого изменения на вашей рентгенограмме легких было видно подозрительное затемнение – может быть, легкий застой, а может быть, пневмония. Это давало повод доктору отложить операцию, чтобы избежать возможных осложнений, которые могли бы вести к остановке дыхания.

Доктор этих результатов не получил и начал операцию. Желчный пузырь был удален так же, как и ваши миндалины много лет назад. Кажется, операция проведена успешно. Но анестезиолог говорит хирургу, что дыхание не восстанавливается. Он просит сделать рентгеноскопию грудной клетки и обнаруживает обширную пневмонию. Затем он просит показать предоперационную рентгенограмму и видит на ней в том же месте затемнение меньших размеров. Он хочет узнать у хирурга, почему тот делал операцию пациенту с пневмонией. Но хирургу некогда, он заполняет ваше свидетельство о смерти. Хотите узнать почему? У вас отказали легкие, и вы умерли.

Это один из случаев, когда информационная безопасность означает не просто защиту информации – она означает защиту жизни. Довольно мрачно, если подумать о том, в какой степени в реальных больницах полагаются на их компьютеры. Рассмотрим другой пример…

План перехода

Как и во многих подобных ей организациях, в больнице Rockland General решили усовершенствовать работу своих компьютерных систем путем оптимизации сети. План был прост. Выкатить за дверь старые системы, установленные на больших компьютерах (мейнфреймах), и вкатить системы с передовой архитектурой, которые перенесут Rockland в 21-й век. Для этого персонал Rockland спроектировал и установил высокопроизводительную распределенную сеть. Затем, как и планировалось, они выкатили старые компьютеры.

У руководства Rockland проект оптимизации пользовался большим успехом. Возглавившие проект специалисты по административным информационным системам Джо Дэвис и Марлен Шмидт были широко известны с лучшей стороны в медицинских кругах. К ним обращались за консультацией по подобным проектам и другие больницы. Дела Джо и Марлен шли хорошо, и они открыли свою компанию глобального масштаба по оказанию услуг больницам в оптимизации их систем.

Когда Мэтт Борланд приступил к руководству этими новыми системами, то вскоре обнаружил, что не все так хорошо, как казалось. Хотя Джо и Марлен покинули больницу героями, потребовалось лишь небольшое время, чтобы у Мэтта возникли проблемы с оставленным ими хозяйством.

До этого Мэтт был системным администратором и знал, как трудно поддерживать системы в рабочем состоянии. Он был доволен своим назначением на пост руководителя технической поддержки компьютеров Rockland General. Он делал карьеру и теперь стал менеджером третьего уровня, что давало ему возможность подняться на следующую ступеньку служебной лестницы компании. За свои усилия по оптимизации системы Джо и Марлен были возведены в герои предыдущим руководством, и Мэтт полагал, что его усердный труд также будет вознагражден.

Но Мэтт вскоре обнаружил, что Джо и Марлен нарисовали лишь декорации. Они оставили после себя компьютерный зал с высоким риском и с тоннами конфиденциальной информации, доступной в сети больницы каждому, кто захочет ее скопировать, изменить или украсть. Так как Мэтт считал, что принял под свое начало первоклассную систему, после такого открытия он почувствовал себя глубоко несчастным.

Если вы недавно сами стали отвечать за техническую поддержку новых систем, то, возможно, лучше поймете затруднения Мэтта. Знаете ли вы, где в вашей сети находятся системы повышенного риска? Не оставили ли вам предшественники кошмар проблем безопасности, с которыми вы не знаете как справиться?

В начале главы я придала проблеме немного мелодраматизма, сделав последствием плохой настройки систем смерть. К сожалению, это действительно может случиться.

Каждый день менеджеры, директора по информационным технологиям и системные администраторы принимают системы, установленные другими людьми. Если при этом они не проводят аудит таких систем (вещь крайне редкая), то просто считают, что системы защищены. Это – рискованное предположение. Трудно обвинять в чем-то предыдущих руководителей и персонал технической поддержки, если вы уже распоряжаетесь системами шесть и более месяцев. Когда вы принимаете новые системы, то нужно немедленно их протестировать, чтобы знать, в каком состоянии они находятся. Независимо от того, что могли в прошлом наделать какие-то Мо, Ларри или Керли под конец рабочего дня, вы должны понять, что это теперь ваша система и работать с ней придется вам. Если вы являетесь системным администратором, то все обвинения будут направлены против вас. В конце концов, разве не вы обеспечиваете техническую поддержку систем?

Мэтт принял руководство технической поддержкой систем, но был так занят проверкой их работоспособности (так как это было его главной целью), что даже не задумывался о том, что могут возникнуть проблемы с безопасностью. К счастью для него, риски были обнаружены при проведении непланового аудита компьютерного зала. Если бы такого не произошло, то он мог бы потерять работу или, по меньшей мере, свою репутацию. И кто-то мог бы потерять свою жизнь.

Лишь случайно руководство Rockland General заглянуло за декорации. И пока вы не взглянете на состояние безопасности вашей сети, вы можете и не испытать такого счастья. Итак, рассмотрим подробнее детали этого аудита.

День 1-й: Тестирование безопасности

Когда Мэтт стал руководить сетью компьютеров больницы, то он начал искать пути улучшения производительности сети и ее технической поддержки. Ему было очень важно поддерживать систему в готовности к применению. Доступность системы была одной из целей Мэтта.

Доступность – это важная цель. Если вы не можете получить доступ к информации о пациентах из-за того, что системы постоянно не работают, то у вас появятся проблемы (и вполне осязаемые). Мэтт постарался обеспечить надежный механизм отчетов о доступности систем. Один из системных администраторов даже отвечал за отправку таких ежедневных и ежемесячных отчетов Мэтту. Таким образом, Мэтт проявлял живой интерес к производительности и доступности сети.

В это же время аудиторы больницы решили провести неплановый аудит безопасности. Аудит был задуман без оповещения кого-либо из персонала, обслуживающего компьютеры, – даже Мэтта.

Довольно занятно работать в компании десятки лет и не знать ее собственных аудиторов. Но. они действительно существуют. И появляются по малейшему сигналу. То есть как только почуют риск на вашем участке работы. Аудиторы – это особая порода людей. Они высматривают риск, докладывают о плохом состоянии дел и стараются риск уменьшить.

Менеджер аудита Rockland General Мария Планк наняла меня для проведения аудита их компьютерного зала. Как и большинство больничных аудиторов, Мария не разбиралась в системах своего заведения. Но это не представляло для нее проблем. Она чуяла риск за милю. Это было в ее крови. До нее дошли разговоры о высоком риске в компьютерном зале, и она решила нанять кого-то для проведения аудита. Ей не нужно было выяснять, каким являлся (если он только был) риск: для нее было достаточно получить результаты от эксперта. В этом месте на сцену вышла я.

Выяснение риска

Из разговора с Марией я не получила много информации. Она говорила лишь о подозрении на риск. Я попросила у нее сетевую схему компьютерного зала и список систем, подозреваемых на риск.

Мария предоставила мне временный офис с телефоном и системой. Она также создала мне в системе учетную запись – на случай, если я захочу здесь писать мой отчет. Это было прекрасно. Я взглянула на сетевую схему. Ого, да здесь тонны серверов баз данных. Меня это не удивило – так бывает после основательной оптимизации. Удивительным было другое: ни одному из этих серверов не был присвоен класс риска. Иначе говоря, ни один из них не был обозначен как критичный, особо критичный или некритичный.

Так как Мария не знала, какие серверы подвергаются большему риску, то я решила определить это сама. Есть два способа получить эту информацию. Вы можете открыть сессию на каждом сервере и осмотреть хранящуюся в них информацию. (Этот способ отнимает много времени при наличии большого количества серверов.) Вы также можете опросить системных администраторов. Я не могла этого сделать, так как их не предполагалось уведомлять об аудите. Оставался первый способ. Теперь я вступала в игру. Ее целью было раскрыть как можно больше информации и рисков прежде, чем меня обнаружат.