Задачи обеспечения кибербезопасности не уходят из поля зрения государственных органов США. Но где серьезные дела?
Фрэнк Хэйес — ведущий обозреватель Computerworld. С ним можно связаться по электронной почте по адресу frank_hayes@ computerworld.com |
Конференцию National Cyber Security Summit, прошедшую в конце прошлого года, посетили более 300 руководителей корпоративных информационных служб. Причем, как оказалось, около 97% из них представляли компании, которые сами являются поставщиками ИТ-продуктов. В ходе конференции секретарь по вопросам национальной безопасности США Том Ридж потребовал от представителей ИТ-отрасли сделать все возможное для того, чтобы корпоративные информационные системы стали более защищенными. В противном случае этот вопрос станет предметом жесткого государственного регулирования.
Позволю себе дать комментарий к этим словам: я уверен, что в ближайшем будущем никакого регулирования ожидать не стоит. Компании, не относящиеся к числу ИТ-поставщиков, не принимают участия в этой игре. И если ваша организация выразит желание укрепить свою информационную безопасность, помогать ей в этом никто не станет.
Может быть, кому-то покажется, что это звучит чересчур цинично? Отнюдь. Прошло уже больше года после появления предварительного варианта «Национальной стратегии в области обеспечения безопасности киберпространства» (The National Strategy to Secure Cyberspace), и сложилось вполне ясное представление о том, что хочет и чего не хочет делать американское правительство для укрепления безопасности в сфере ИТ.
Представители федеральных ведомств предпочитают давать расплывчатые обещания и не желают проводить в жизнь конкретные решения.
Посмотрите, что делается для обеспечения безопасности в областях, не связанных с информационными технологиями: проверки в аэропортах, специальные программы регистрации для граждан иностранных государств, усиление всеобщего контроля, вооруженная охрана. Что бы ни говорилось об эффективности подобных усилий, ни у кого не возникает сомнений в том, что правительство твердой рукой стремится навести порядок в деле обеспечения физической безопасности.
Вспомните, какие меры принимались для ликвидации «Проблемы 2000 года»: шумиха вокруг корпоративных рисков, огромные финансовые вложения, зарегистрированные в преддверии 2000 года Комиссией по ценным бумагам и биржам.
Реальная обеспокоенность влечет за собой конкретные действия. Но когда речь заходит о безопасности киберпространства, ничего подобного мы не видим. Все ограничивается только разговорами.
То, что Ридж поднимает вопросы кибербезопасности, безусловно, правильно. Это способствует лучшей информированности, создается дополнительный стимул для выдвижения новых идей. Люди видят, что задачи обеспечения кибербезопасности не уходят из поля зрения государственных органов.
Но где серьезные дела? Где активное продвижение вперед в этом направлении? Ничего этого не происходит.
На самом деле правительство США даже не использует свои огромные ресурсы, связанные с закупкой ИТ-решений, и не поощряет стремление производителей к дальнейшему укреплению информационной безопасности.
При приобретении государственными органами ИТ-продуктов, точно так же как и в частном секторе, определяющую роль чаще всего играют вопросы стоимости. И самому дешевому предложению всегда отдают преимущество перед более безопасным. На практике ни правительство, ни поставщики ИТ не хотят даже слушать представителей корпоративных информационных служб, поднимающих вопросы обеспечения безопасности данных. Поэтому мы действительно предоставлены сами себе.
Что мы можем сделать? Все как обычно: устанавливать заплаты, тщательно проводить тестирование, активизировать средства обеспечения информационной безопасности, отключать ненужные функции, прибегать к шифрованию, строить подсети, ограничивать доверительные отношения между системами (если это возможно), прове?рять системные журналы на каждом уровне, начиная от корпоративных средств обнаружения вторжений и заканчивая ПК индивидуальных пользователей.
Что еще? Начинайте разработку плана перехода на использование протокола IP Version 6. Это, кстати, одно из немногих практических мероприятий, которые достаточно четко просматриваются в декларациях властей.
Давайте возьмем на вооружение правительственный сценарий. Раз уж от федеральных ведомств исходят только разговоры, так почему бы нам его не использовать? Убедитесь в том, что ваше высшее руководство наслышано о говорильне на последней конференции. Распечатайте копию документа The National Strategy to Secure Cyberspace (см. www.whitehouse.gov/pcipb). Подчеркните в нем самые устрашающие моменты. И начинайте борьбу за увеличение средств, которые планируется выделить на укрепление информационной безопасности вашей компании в следующем бюджетном цикле.
Обсуждайте вопросы безопасности с руководителями, не имеющими отношения к сфере информационных технологий. Повышайте степень их осведомленности. Обращайтесь к ним за советами и предложениями. Старайтесь не воевать с пользователями, а заручиться их поддержкой в осуществлении своей политики обеспечения информационной безопасности.
Используйте в своих интересах успехи, достигнутые в деле борьбы с вирусами, червями, несанкционированными проникновениями и DoS-атаками.
Продемонстрируйте пользователям и руководству наличие угроз и успешное противодействие им — это поможет вам получить необходимую помощь и пополнить бюджет.
Конечно, это нельзя сравнивать с полноценной активной поддержкой правительства и ИТ-поставщиков в деле повышения безопасности киберпространства и корпоративных информационных систем. Но на сегодняшний день это все, что вы можете сделать.
Чужой опыт не лишний
После 11 сентября 2001 года Америка помешана на безопасности всего и вся. Но даже и в США, как мы видим, далеко не все специалисты считают достаточными усилия, предпринимаемые для улучшения защищенности информационных систем.
У нас в стране, как мы знаем, спасение утопающих было и остается предметом озабоченности самих утопающих. Поэтому всерьез полагают, что проблема защиты корпоративных информационных систем может быть решена на государственном уровне (например, правительственными постановлениями или законодательными актами), разве что очень наивные руководители информационных служб. Разговоров об электронных угрозах хватает и в России, но практическая польза от них вызывает немало сомнений.
Между тем проблема эта с каждым годом действительно становится острее, что в свою очередь вызывает все большую озабоченность ИТ-специалистов и экспертов в области информационной безопасности. Не может не обращать на себя внимание и тот факт, что проблема носит глобальный характер, ее нельзя назвать ни американской, ни европейской, ни российской. Вопросы защиты информационных систем сейчас вышли на первый план практически во всем мире.
В США, если судить по публикациям в ИТ-прессе, многие продолжают рассчитывать на правительственные усилия, возможно, по инерции. Но и мнения о том, что компаниям нужно предпринимать собственные шаги и формировать собственную стратегию ИТ-защиты, не дожидаясь действий государства, звучат все весомее. В России, думается, многих руководителей ИТ-служб убеждать в этом не требуется.
Вряд ли данным обстоятельством стоит так уж сильно гордиться. Но это не отменяет другой вывод: оперативная реакция на новые угрозы дает шанс успешнее с ними справляться. Естественно, при условии, что реакция будет не только быстрой, но также продуманной и адекватной угрозам. А для этого в свою очередь не грех поучиться на чужом опыте — некоторые советы, которые дают американские специалисты руководителям американских ИТ-подразделений, вполне могут сослужить хорошую службу и их российским коллегам.
— Редакция Computerworld Россия