Поделиться
Информационная безопасность: в сетях самообмана
Информационная безопасность – наиболее мифологизированная область ИТ. К сожалению, мифы не столь безобидны, и следование тому, что "все знают", может привести компанию к банкротству.Миф шестой. Наша организация хакерам неинтересна.
Если Вы не храните в своей сети никакой информации, кража или порча которой могла бы нанести хоть какой-то ущерб вашей фирме, и бизнес вашей организации ни в коей мере не зависит от работоспособности компьютерного оборудования (что уже давно стало редкостью), даже в этом случае ваша компания представляет интерес для хакеров. Ну, хотя бы как площадка для нападений на другие сети. Либо ваши сервера могут использоваться для рассылки спама, для хранения противозаконного материала. В любом случае это приведет к некоторым проблемам. В первом случае сервера вашей компании будете включены в «спам-списки», что создаст проблемы при общения с клиентами и партнерами по e-mail. Во втором - не так просто будет доказать непричастность компании к хранящимся на серверах и компьютерах противозаконным материалам. Любая сеть и компьютерная система (ваша - в том числе) представляет интерес для хакерского сообщества и может быть подвергнута взлому.
Миф седьмой. Хакерами становятся только хорошо подготовленные профессионалы, коих, по счастью, не так уж много на белом свете, поэтому можно спать спокойно.
Хакером стать действительно сложно. Но использовать хакерский инструмент очень просто. Достаточно владеть навыками работы с компьютером на уровне пользователя и прочесть описание, прилагаемое с полученным хакерским инструментом. Известны случаи вполне успешных взломов, которые осуществлялись людьми, не имеющим никакой квалификации и даже подростками, в руки которых попал хакерский инструмент.
Миф восьмой. Зная IP-адрес, всегда можно вычислить источник атаки.
Несмотря на введение строгих правил, обязывающих все организации, предоставляющие услуги связи, хранить всю информацию в течение 5 лет, нет гарантии определения точного места источника атаки. Существует множество способов запутать свои «следы» так, что никто и никогда не сможет до конца распутать эту цепочку. IP адрес, с которого будет производиться атака, окажется адресом какого-нибудь сервера, например, из Южной Кореи, логах которого будет ссылка на IP адрес какого-нибудь сервера, например, из Польши.
 | Учебный курс по теме: Обеспечение информационной безопасности бизнеса (02.03 - 03.03, Москва) |
Чтобы получить информацию из другой страны по официальным каналам, могут уйти недели, а то и месяцы, а от некоторых стран вообще что-либо получить невозможно. И раскрутить подобную цепочку не получится.
Миф Девятый. Системы с открытым исходным кодом лучше и надежней защищены.
Уже давно в умах ИТ-специалистов установился стереотип о совершенном преимуществе систем с открытым исходным кодом над коммерческими продуктами. Но эти достоинства сильно преувеличенны. В данных продуктах достаточно уязвимостей, которые гораздо меньше афишируются и им уделяется меньше внимания, чем обнаруженным уязвимостям в известных коммерческих продуктах.
Если за коммерческий продукт производитель несет хоть какую-то ответственность, и в случае обнаружения уязвимости достаточно обратится в службу поддержки, то в свободно распространяемом ПО все меры по защите придется принимать собственными силами, а модификация открытого ПО потребует привлечений подготовленных и, соответственно, дорогостоящих специалистов.
Миф Десятый. Лучшее решение – полная шифрация!
Иногда на российском рынке наблюдаются интересные перекосы в сторону модных тенденций, когда тратится много средств на внедрение одной системы, позволяющей справиться только с одной угрозой. Подход в таких системах безопасности строится на представлениях: "Безопасность – это криптография" или "Безопасность – это аутентификация". Такая постановка задачи ИБ не соответствует реальному списку вероятностных угроз, от которых действительно стоит защищаться и на которые стоит расходовать средства.
Такова современная российская мифология информационной безопасности. И никто из ИТ-специалистов не застрахован от попадания в сборники российских мифов в качестве персонажа. Единственный разумный выход – смотреть на вещи реально.
Александр Самодуров / CNews
Поделиться
Короткая ссылка
