Не нужно валить все нынешние беды корпоративных пользователей на компанию Microsoft
Пол Страссман убежден в том, что даже устройство, умещающееся на ладони, представляет собой потенциальную угрозу для систем безопасности центров обработки данных. С Полом можно связаться по адресу paul@ strassmann.com |
Недавняя публикация отчета CyberInsecurity: The Cost of Monopoly («Отсутствие электронной безопасности: цена монополии»), в составлении которого помимо прочих принимали участие такие признанные эксперты в области безопасности, как Дэниел Гир, Чарлз Пфлигер и Брюс Шнайер, породила немало живых откликов. А ведь тема, проходящая красной нитью через весь отчет, — уязвимость любой монокультуры — поднималась еще пять лет назад. В документах говорится о том, что в повышении рисков с точки зрения информационной безопасности виновата прежде всего корпорация Microsoft, но это лишь частичное объяснение ситуации, сложившейся на сегодняшний день. Нельзя не упомянуть и о руководителях информационных служб, которые игнорируют растущую угрозу безопасности их систем.
По мере того как ПК становятся все мощнее, перед десятками миллионов любителей открываются возможности, которые ранее были доступны только профессиональным программистам. В результате именно проблема безопасности данных становится главным тормозом дальнейшего развития компьютеризации. В определенной степени ответственность за это лежит и на руководителях информационных служб, которым я предъявил бы следующие обвинения.
1. Отказ от полномочий. Когда в мире появились настольные компьютеры, директора информационных служб были весьма рады тому, что теперь могут переложить с себя часть забот по удовлетворению растущих потребностей пользователей на энтузиастов-любителей и что все затраты на это растворятся в административных расходах. Жалобы на плохой уровень сервиса передавались туда, откуда они уже не могли оказывать какое-либо влияние на и без того полную «невероятных трудностей работу ИТ-директоров по внедрению новых технологий». Итоги такой политики оказались плачевны. К примеру, в ходе проверки бесконтрольных настольных компьютеров в службах ВМФ США вместо ожидаемых 2 тыс. было обнаружено свыше 100 тыс. «унаследованных» приложений. И полностью восстановить контроль над этими системами крайне затруднительно, поскольку значительная часть полезной работы выполняется с использованием «локальных приложений» и они не относятся к числу ресурсов, за которые отвечает ИТ-департамент.
2. Уклонение от ответственности. Когда компьютеры стали подключать к Internet, ИТ-директора смирились с широко распространенной практикой запуска приложений на локальных машинах практически без принятия каких-либо мер предосторожности. Отказ директоров информационных служб от ответственности за функционирование системы безопасности даже получил одобрение в публикациях ряда компьютерных журналов, авторы которых не особо задумывались о последствиях.
Три года тому назад заметная часть федеральной административной бюрократии внезапно превратилась в разработчиков Web-страниц. Как-то раз я спросил у сотрудников НАСА, сколько Web-адресов принадлежит их организации. Общими усилиями мы насчитали 2904 (плюс еще 4,3 млн. персональных страниц). При этом значительная часть работы (причем наиболее эффективной) по использованию компьютеров в качестве средств связи и взаимодействия была выполнена за пределами организаций, в которых соответствующие вопросы должны были находиться в ведении директора информационной службы.
3. Неосмотрительность и беспечность. За прошедшее десятилетие директора информационных служб, заручившись поддержкой корпоративных служащих-энтузиастов, постепенно отошли от управления совокупной стоимостью компьютерных систем и начали лоббировать растущие расходы на приобретение «модных» технологических решений — клиент-серверных, корпоративных систем, Web-служб. Управление этими проектами осуществлялось в режиме независимых задач, они представлялись руководителям фирм в виде неких «изолированных модулей». Сконцентрировавшись на столь привлекательно выглядящих инновациях, фирмы стали меньше инвестировать в надежность и безопасность ИТ-инфраструктур. Руководители информационных служб недостаточно внимания уделяли проработке вопросов защищенности компьютерных сетей и наведению порядка в этой области в масштабах всей компании. Они, по сути, ограничились только тем, что безусловно относилось к сфере их влияния, но представляло собой лишь малую долю совокупной стоимости ИТ-решений. С ослаблением влияния директора информационной службы терялся и контроль за состоянием настольных компьютеров. Поддерживать должный порядок было слишком сложно, неблагодарно с политической точки зрения и невыгодно с позиций бюджетирования.
Отказ руководителей от предоставляемых им полномочий, уклонение их от ответственности, неосмотрительность и беспечность привели к тому, что сегодня в мире работают миллионы уязвимых настольных, портативных и карманных компьютеров, в каждом из которых таится мощь мэйнфрейма.
Да, Microsoft получает прибыль от распространения программного обеспечения, которое претендует на повсеместную абсолютную гегемонию. Тем не менее я не стал бы валить все только на разработчиков из Редмонда. В ситуации, сложившейся в области обеспечения безопасности ИТ-систем, есть часть вины и директоров информационных служб, не обеспечивших необходимого учета и контроля.
Что делать?
Настало время платить за десятилетия небрежного отношения к обеспечению безопасности компьютерных систем. Руководство компаний должно потребовать, чтобы были приняты следующие меры.
- Учет каждого элемента информационной системы и контроль за его защищенностью, проверка всех возможных точек входа в сеть организации.
- Подтверждение стопроцентной принудительной аутентификации и авторизации в режиме реального времени при осуществлении доступа к файлам, действующему ПО и приложениям.
- Получение государственных сертификатов, свидетельствующих о том, что механизмы хранения записей всех транзакций обеспечивают надежную защиту даже при самом худшем сценарии развития событий.