В первую очередь ошибка состоит в том, что те, кто полагается на сугубо технологическую защиту (условно назовем их антихакерами), недооценивают интеллект «продвинутой» части злоумышленников. Кевин Митник, знаменитый в прошлом хакер, а ныне глава компании Mitnick Security Consulting, не скрывает, что он активно применял в своей практике методы социальной инженерии — умение влиять на людей (в России подобные методы активно применяют «лохотронщики», политтехнологи, а также всевозможные продавцы и маркетологи). Выступая в середине февраля на конференции по информационной безопасности, организованной издательством «Открытые системы» и компанией IDC, Митник подчеркнул, что никакие технологические средства не могут защитить от проникновения в компьютерные системы, если злоумышленники используют методы социальной инженерии. Эти люди обходят системы защиты, воздействуя на тех, кто обладает правами санкционированного доступа к информационным ресурсам, либо используют порой очевидные организационные просчеты и промахи пользователей и системных администраторов.
Увы, антихакеры не хотят ничего об этом слушать, они уверены в возможностях технологий. Митник называет подобную позицию иллюзией безопасности: есть немало людей, которые считают, что беда может случиться с кем угодно, только не с ними.
Бывший хакер номер один не устает подчеркивать, что самое слабое звено в любой системе безопасности (не только информационной) — это человек. Следовательно, чтобы более надежно защитить организацию или предприятие, необходимо постоянно работать с персоналом: регулярно проводить аудит (включая проверки на воздействие социоинженеров), тренинги, тщательно изучать бизнес-процессы на наличие слабых звеньев, и пр.
Ну и, разумеется, необходимо четко распределить зоны ответственности. К сожалению, далеко не на всяком предприятии (зарубежные — не исключение) имеется персона, отвечающая за обеспечение информационной безопасности. Даже там, где она есть, нередко приходится сталкиваться с тем, что организации эффективной защиты препятствуют барьеры между подразделениями и иерархические пирамиды. Чтобы информационная безопасность была по-настоящему действенной, она должна стать делом всей организации, начиная с акционеров и топ-менеджеров и заканчивая рядовыми сотрудниками.
В некоторых организациях директор по информационной безопасности — самостоятельная фигура в обойме топ-менеджеров. Однако гораздо чаще он находится в прямом подчинении начальника службы безопасности или ИТ-директора. В первом случае политика в области информационной безопасности наверняка приведена в соответствие с политикой общей безопасности предприятия, но нет уверенности в том, что она в полной мере находит отражение в ИТ-инфраструктуре предприятия. Во втором случае информационная безопасность становится неотъемлемой частью инфраструктуры ИТ, но, как правило, слабо связана со стратегией общей безопасности компании и ее реализацией. И то и другое негативно сказывается на эффективности защиты информации. Без использования горизонтальных (не иерархических) связей внутри организации тут не обойтись. Чтобы их задействовать, потребуется талант тонкого политика и умелого организатора. В вашем окружении есть подходящая кандидатура?