Несмотря на шум, поднятый средствами массовой информации вокруг очередной
масштабной публикации секретных данных на ресурсе Wikileaks,
практически никто не задумывается или, во всяком случае, не говорит
публично о том, что сайт Джулиана Эссенджа - это лишь своеобразный
симптом, индикатор определенного неблагополучия в сфере информационной
безопасности, и вместо того, чтобы бороться со следствием, неплохо было
бы поискать и причину. Попытку изыскания и рассмотрения последней
предпринял аналитик Джек Голд, краткую статью которого публикует
Интернет-издание eWeek. История
с Wikileaks, по мнению специалиста, наглядно демонстрирует, что
сотрудники правительственных органов Соединенных Штатов либо несерьезно
относятся к вопросам защиты информации, либо попросту некомпетентны в
этой сфере, что еще хуже. Очевидно, что никто не изобретал
принципиально новой схемы хищения данных, к которой эксперты могли бы
быть не готовы; компании различного уровня годами борются с подобными
утечками информации. Г-н Голд отмечает: происшествие в первую
очередь свидетельствует о том, что государственные ведомства США сочли
возможным проигнорировать как сами риски утечек, так и факт
существования множества программно-аппаратных комплексов защиты
конфиденциальных и секретных сведений. Решения, позволяющие отслеживать
доступ сотрудников к документам, задавать разрешения или запреты на те
или иные операции с ними и предотвращать тем самым утечки информации,
предлагаются многими поставщиками - McAfee, Symantec, RSA, Oracle, IBM,
SAP. Кроме того, события вокруг Wikileaks вновь напоминают об
одной из главных проблем безопасности данных, серьезность которой
доводится ощущать не только правительственным учреждениям, но и
предприятиям различного уровня. Формулировка этой проблемы в последнее
время приобретает характер аксиомы: наибольшая угроза утраты или
раскрытия конфиденциальных либо секретных сведений исходит не от
внешних взломщиков, шпионов и прочих злоумышленников, но от собственных
сотрудников организации. Доминирование инсайдерской угрозы лишь
подтверждается тем фактом, что в извлечении информации и ее передаче
редакторам Wikileaks подозревается один-единственный аналитик армейской
разведки, который смог получить доступ к миллионам файлов и скопировать
их на внешние носители информации. Эксперт пишет, что политика
безопасности тайных сведений на предприятиях, несмотря на все
рекомендации, нормативные акты и правила, тоже организована довольно
посредственно, если не сказать - плохо. Руководство компаний нередко
пренебрегает необходимостью внедрения систем управления доступом и
предотвращения утечек информации. В силу этого г-н Голд дает
организациям несколько советов, как не стать новой жертвой Wikileaks. "Главный
урок, который компании следует усвоить благодаря Wikileaks, можно
кратко изложить фразой: "доверяйте своим сотрудникам, но и проверяйте
их". Следите за тем, чтобы они не вели 'подрывную' работу и не
занимались неподобающими делами, которые могут нанести вам ущерб. У
каждого работника есть свой круг обязанностей и привилегий, пределы
которого он не должен покидать. Большинство ваших сотрудников, конечно,
будут соблюдать корпоративную этику, уважать секретность важных данных,
и в силу этого они не станут заниматься воровством тайных сведений с
целью их последующей передачи посторонним лицам; но, как правило, в
любом коллективе может найтись человек, который по тем или иным
причинам забудет и о моральной, и о законодательной ответственности за
подобные действия", - говорится в статье аналитика. - "Именно таким
людям вы и должны противодействовать; от злонамеренных или ошибочных
действий персонала никто не может быть полностью защищен". Г-н Голд предлагает руководителям компаний всех уровней для начала задаться следующими вопросами: 1)
Имеются ли на предприятии документы, в письменном виде закрепляющие
нормы и правила политики безопасности в области обработки и хранения
конфиденциальной информации, и доведено ли их содержание до сведения
персонала? Если нет, то - почему? 2) Организован ли ограниченный доступ к важным данным, в том числе тем, что хранятся в электронном виде? 3) Установлены ли автоматические системы отслеживания доступа к документам? 4) Используются ли средства криптографической защиты информации? 5)
Известно ли сотрудникам предприятия об ответственности за
несанкционированный просмотр или копирование конфиденциальных данных? Все
это - лишь основные элементы плана организации защиты важных сведений.
Подобный план должен быть у каждой компании, которая работает с
персональными данными или владеет информацией, составляющей
коммерческую тайну. В заключение г-н Голд отмечает, что, в то
время как многие предприятия довольно хорошо и успешно защищаются от
внешних угроз, риску инсайдерской активности сотрудников уделяется
гораздо меньше внимания. Именно в этом - в указании на необходимость
более деятельной и эффективной борьбы с внутренними угрозами - и
состоит, по мнению аналитика, основной урок Wikileaks. Выражаясь
фигурально, если вы до сих пор не внедрили у себя систему защиты от
утечек информации, тогда Джулиан Эссендж уже идет к вам.
Виктор Аникеенко
|