Представитель PricewaterhouseCoopers о проблемах безопасности информационных технологий
Грегори Шаффер: «Благодаря появлению вируса ILoveYou ситуация наконец начинает сдвигаться с мертвой точки» |
Грегори Шаффер — директор отделения управления цифровыми рисками и компьютерных расследований компании PricewaterhouseCoopers LLC. Недавно он принял участие в круглом столе конференции Computerworld 100 IT Leaders, посвященном защите информации в организациях. После круглого стола Шаффер побеседовал с репортером еженедельника Computerworld Энн Харрисон о проблемах безопасности информационных технологий.
Почему так много компаний страдают от слабости своих систем защиты информации?
Это сложная и ужасающе запущенная проблема. Для обеспечения безопасности недостаточно внедрения какой-то коробочной программы, например антивирусного экрана. Даже уже функционирующие средства защиты требуют контроля и регулярного обновления, иначе от них не будет толку. Но, кажется, благодаря появлению вируса ILoveYou ситуация наконец начинает сдвигаться с мертвой точки, поскольку разрушения достигли таких масштабов, что их просто невозможно игнорировать.
Почему компании подвергают себя опасности, не устраняя общеизвестные бреши?
Быть в курсе всех вновь появляющихся уязвимых мест и своевременно принимать контрмеры становится все труднее. Во-первых, системы усложняются. Во-вторых, при слияниях компаний появляется необходимость соединения друг с другом систем, для этого не предназначенных.
Новые технологии внедряются чуть ли не одновременно с их появлением, а на то, чтобы обнаружить проблему безопасности и устранить ее, необходимо какое-то время.
Уследить за всеми новшествами трудно даже специалисту по защите информации — чего уж тут говорить о сетевом администраторе сети, вынужденном параллельно с другими вопросами заниматься обеспечением безопасности.
Можно ли всерьез рассматривать возможность аутсорсинга управления корпоративными системами безопасности?
Конечно, в том, чтобы защитой информации занимались специалисты в этой области, смысл есть. Точно так же как задача торговли товарами возлагается на розничные магазины, на специалистов по защите информации можно возложить задачу обеспечения безопасности. Быть в курсе последних новостей и тенденций в своей области — это их прямая обязанность.
Некоторые компании объединяют подразделения защиты информации со службами внутреннего аудита. Насколько хороша подобная идея?
В некоторых случаях это практикуется, для того чтобы повысить степень контроля подразделения защиты информации над операциями компании. Будучи частью отдела ИТ, группа обеспечения безопасности иногда рассматривается как второстепенная и потому недофинансируется и испытывает дефицит необходимых ресурсов.
Однако в конечном счете главную роль играет не то, какой отдел будет выполнять функции защиты информации. Главное, чтобы функции защиты были вплетены в ткань операций, а не добавлены наподобие пристройки. Важно интегрировать эти функции с бизнесом в максимально возможной степени.
Последнее время перед тем, как выдать полис, страховые компании стали проводить проверки качества системы защиты информации, которая реализована у страхователя. Что вы думаете об этой тенденции?
Я думаю, что это имеет смысл только при наличии некоего стандартного набора требований. Но современные сети настолько разнородны и сложны, что придумать единый стандарт будет почти невозможно, разве что только самый общий и в равной степени применимый ко всем.
Кое-что в этом отношении уже делается, по крайней мере намечается список пунктов, которые со временем стоит включить в политику безопасности каждой компании.
Что войдет в этот список? Следует ли включить в него наличие систем обнаружения вторжения, мониторинга, межсетевых экранов и антивирусов?
Не следует забывать, что, по большому счету, речь идет об управлении рисками. Ответ зависит от того, чем предприятие занимается, какие с этим сопряжены риски, что необходимо защитить и каковы последствия в случае определенных инцидентов. Необходима система, учитывающая риски предприятия и не затрудняющая ведение бизнеса настолько, что расходы на безопасность будут съедать всю прибыль. В каждой компании нужного баланса можно достичь с помощью механизмов обнаружения вторжений, установки антивирусов, межсетевых экранов, биометрических устройств, смарт-карт или чего-то еще.
Главное, чтобы применение системы защиты информации имело смысл для предприятия.
Считаете ли вы, что какие-то виды рисков в будущем году возрастут?
Подобные вещи, похоже, происходят волнами; например, в первой половине нынешнего года на компании нахлынула волна Internet-вирусов. Но я не считаю, что в дальнейшем будет нарастать именно эта тенденция. Скорее всего, появится какая-то другая головная боль. Ведь это все равно что гонка вооружений.
Сколь бы хороша ни была защита информации, в стане врага всегда придумают что-то новенькое. Суть в том, чтобы обеспечивать разумный уровень безопасности, достаточный для стоящих перед вами задач.
Следует ли компаниям идентифицировать свои критически важные активы, подлежащие защите?
Нельзя составить рациональную политику защиты информации, не проведя предварительно оценку активов и не определив, какие из них наиболее важны для работы предприятия. Компании просто обязаны делать это.
Генеральный прокурор США Жанет Рино призывает компании, ставшие жертвами компьютерных преступлений, активнее делиться информацией с государственными учреждениями и органами безопасности. Почему компании должны это делать?
В последние годы службам безопасности стали гораздо лучше удаваться слежка и поимка хакеров-злоумышленников. Обществу необходимо преодолеть свое равнодушие. Мы предпочитаем не замечать, что творят хакеры, а если и замечаем, то не думаем, как их поймать. А если и поймаем, то не наказываем... Мы должны выразить свое неодобрение их деятельностью, развеять романтический ореол, заставляющий молодежь стремиться в их сообщество.
Необходимо принимать контрмеры. Мы тратим деньги акционеров на латание дыр в системах безопасности, но не пытаемся преследовать преступления уголовным порядком. Конечно, никто не любит рассказывать об уязвимых местах своих систем безопасности. Но власти могли бы создать специальные форумы, на которых можно было бы выступить анонимно или открыто, но так, чтобы не навредить своей организации. Если делиться подобной информацией, то от этого всем стало бы только лучше.