Отправляет email-рассылки с помощью сервиса Sendsay

Информационная безопасность: мнения независимых специалистов

Подписаться Бесплатная новостная рассылка Подписчиков 13 RSS
  Январь 2007  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://www.vertex-security.ru
Открыта: 22-01-2007

Автор
Виталий Владимирович

Статистика

13 подписчиков
0 за неделю
  Все выпуски  

Информационная безопасность: мнения независимых специалистов # 2


Считается, что при ограблении банка потери в среднем составляют 19 тысяч долларов, а при компьютерном преступлении - 560 тысяч долларов

Вы, наверно, уже слышали о недавнем громком деле одного из банков. Произошел инцидент. Множество клиентов были скомпрометированы и потеряли довольно крупные суммы денег, если я не ошибаюсь, то пострадала даже не одна сотня владельцев счетов этого банка. Самое неприятное в данном случае то, что, по сути, банк не виновен в инциденте. В банке имеется квалифицированный персонал, который действительно хорошо выполняет свою работу и следит за безопасностью. Виноваты сами клиенты. (Да, без социального инженеринга не обошлось!)

Сегодня контроль за информацией стал обязанностью каждого нетехнического конечного пользователя. Контроль за информацией требует новых знаний и навыков для группы нетехнических служащих. Хороший контроль за информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.

Еще несколько лет назад при работе над одним проектом я услышал от одного специалиста вот о чем:

«Банковская система практически неуязвима и недоступна даже для большинства действительно ‘крутых’ хакеров. Но вот пользователи! Они уязвимы».

Смысл, в моем понимании, в следующем: наверняка все знают о системе «клиент-банк». А каков уровень безопасности клиентской системы? Можно предположить, что есть небольшая фирма, которая оперирует в Интернете некоторыми денежными средствами, используя схему «клиент-банк». Грубо говоря, хакеру нужно всего лишь проникнуть в сеть фирмы, установить кейлоггер (сотруднику, ответственному за работу с деньгами), скопировать ПО для оперирования денежными средствами (себе, естественно), пару сертификатов и все… Для банка он является клиентом, которому нельзя отказать.

Возьмем более распространенную ситуацию: у владельца кошелька Z в системе ВЕБМАНИ нужно увести только сами кошельки, ID, пароль к Webmoney Keeper и почтовому ящику. Думаете это сложно? Для человека, знающего владельца кошелька совершенно несложно. Для человека незнающего владельца это становится задачей посложнее, но все же посильной. Проблема у хакеров часто состоит в том, что он просто не знают человека, у которого 100% были бы хорошие деньги на счету.

А как защитить клиентов, пользователей?! Это сложнее. Дело в том, что, в конце концов, можно всегда всю ответственность оставить им. Но поверьте, к вам больше не обратятся, в ваш банк больше не придут. Вы потеряете доверие.

Соответственно следует принимать во внимание следующее: если есть цель, которую следует защитить, на которой действительно есть конфиденциальная информация, не подлежащая разглашению, то следует защитить и тех, кто с ней взаимодействует.

Как? Это уже другой вопрос.

Обычно, когда меры безопасности повышаются, страдает удобство. Так что тут нужно выбирать ЧТО важнее.

И этих вопросов не избежать. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Этот процесс привел к тому, что произошла "демократизация преступления". Чем больше людей получало доступ к информационной технологии и компьютерному оборудованию, тем больше возникало возможностей для совершения компьютерных преступлений.

Когда человек получает что-то в свои руки для использования, он становится ответственным за это. Так почему не помочь ему в этом?

Вот то, что поможет минимально уменьшить риск возникновения инцидента:

Написать пользователям / сотрудникам / клиентам нормативный документ (соглашение, памятку) в которой описать в вкратце все то, что делать запрещено. Лучше, конечно, описать то, что делать можно, чтобы все остальное запретить. И желательно заставить сотрудника это подписать. Примеру ради, привожу документ, который подписывают сотрудники одной из организаций, с которой мне пришлось сотрудничать (находится в конце рассылки). И это далеко не лучший пример, но иногда и его достаточно!

И нужно заставить их это прочесть (и подписать, если возможно). Заставить нести ответственность, обратить внимание на важность обеспечения безопасности ради бизнеса.

Помню, как как-то я сдавал на один из сертификатов в Microsoft. Так вот когда Вы приступаете к экзамену, то сначала появляется соглашение, где описываются некоторые важные моменты проведения экзамена. Учитывая то, что с условиями я был ознакомлен заранее, я сразу же нажал кнопку «далее» (готов поспорить, что Вам это до боли знакомо). Следующее сообщение вызвало сначала мое удивление, а дальше улыбку. Там было написано: «Вы не могли так быстро прочесть текст. Пожалуйста, прочтите его!». Согласитесь, мелочь, но она действительно заставила меня прочесть текст!

Иногда я уверен, что люди делятся на 2 категории:
1) Считают, что взломы происходят постоянно, что всех и вся можно вскрыть и что любую информацию можно украсть, что и делается постоянно;
2) Считают, что теоретически все можно взломать, но взломы происходят крайне редко ввиду отсутствия настоящих профессионалов или хороших целей для взлома.

(Дальше при употреблении слова «пароль» и буду иметь в виду: логин/пароль+от_чего).

С каждым можно, в принципе, согласиться. Если я задам Вам вопрос:
Наверняка у Вас (обращаюсь непосредственно к читателю) есть свой вебсайт / сервер / почтовый ящик / …

Так вот взламывали ли его (их) когда-нибудь? Мне почему-то кажется, что Вы (ну или по крайней мере 99%) ответите «Нет». И тогда я скажу в ответ: Вы просто об этом еще не знаете. Какой умный человек захочет оставлять следы? Разве хакер при взломе будет неосторожным? Мне кажется это просто Вы (как и я) не обладаете некоторой информацией. Какой? Ну, например, такой:

Ваш пароль от входа в компьютер на работе знают как минимум три человека.
К базе данных Вашего сайта также имеет доступ не один человек.

Откуда я это знаю? Подумайте о человеке, которого Вы хорошо знаете и мала вероятность того, что Вы не знаете хоть одного его пароля. А еще подумайте: сколькими паролями Вы обладаете (не своими) в принципе? А сколько еще паролей (опять же не Ваших) спрятано в глубине Вашего HDD? Просто есть такая пословица: «Люди видят и знают намного больше, чем ты думаешь».

-------------------------

 

Правила безопасности информационных технологий для сотрудников

Компании ООО «ХХХ»

 

1.      Я осознаю, что информационные технологии (ИТ) крайне важны для успешной деятельности нашей компании. Меры безопасности необходимы для защиты информационных систем и данных. Со своей стороны я обязуюсь оказывать содействие в обеспечении эффективности мер безопасности информационных технологий. Я несу ответственность за результаты моего несоблюдения Правил безопасности ИТ.

2.      Я не сообщаю свои пароли другому лицу (лицам) с целью обеспечения того, что мой идентификатор пользователя в системах, приложениях и при работе с данными будет использоваться исключительно законным образом.

3.      Мои пароли состоят как минимум из 8 символов, включая как минимум 2 цифры. Ни один из паролей не представляет собой слово, имя или номер, связанный с моим личным окружением.

4.      Я гарантирую невозможность доступа к моему компьютеру в мое отсутствие. Я блокирую свой компьютер, используя автоматическую экранную заставку с паролем, либо выключаю компьютер в целях предотвращения несанкционированного доступа. Я выключаю компьютер в тех случаях, когда покидаю рабочее место более чем на 2 часа.

5.      Я проверяю служебные электронные письма для того, чтобы убедиться, что я ввел(а) правильный адрес и соответствующую информацию. Прикрепленные файлы не содержат информации, не востребованной получателем. Отправляя письмо на внешний Интернет-адрес, я тщательно проверяю все прикрепленные файлы на наличие дополнительных документов, страниц, а также любых других данных, разглашающих информацию о компании или наших деловых партнерах.

6.      Я никогда не устанавливаю оборудование или программное обеспечение на рабочем месте без одобрения со стороны отдела ИТ. Я никогда не запускаю неизвестные исполняемые файлы, например, загруженные из Интернета, полученные по электронной почте или из любого другого источника.

7.      Я не использую ресурсы компании в личных интересах и использую устройства ИТ компании только в тех случаях, когда такое использование не противоречит деловым интересам компании.

8.      Я бережно обращаюсь со своим оборудованием ИТ и принимаю обоснованные меры предосторожности в целях препятствия хищениям.

9.      Я незамедлительно сообщаю обо всем, что касается безопасности, в отдел информационных технологий и следую полученным инструкциям.

Я прочел (прочла) и понял (поняла) Правила безопасности ИТ и обязуюсь соблюдать вышеуказанные правила. Я осознаю, что мое несоблюдение вышеуказанных правил может нанести финансовый ущерб, а также ущерб репутации моей компании.

 

Дата                                       Фамилия сотрудника                                              Подпись


---------------------------

Анекдот:

Звонок на фирму которая занимается ремонтом компьютеров:
- Мой принтер начал плохо печатать!
- Вероятно его надо просто почистить. Это стоит 50. Но для вас будет лучше если вы прочтете инструкцию и выполните эту работу сами.
Клиент удивленный такой откровенностью спрашивает:
- А ваш босс знает что вы таким образом препятствуете бизнесу?
- На самом деле это его идея.
Мы получаем куда больше прибыли когда позволяем нашим клиентам сначала самим попытаться что-то отремонтировать.

 ----------------

Feel free to write me: im1ant [@] mail.ru

Виталий
В избранное