07 Октября 2003 11:10 | 07 Окт 2003 11:10 | |

Предательство сотрудников — ахиллесова пята систем защиты

На второй конференции «Информационная безопасность корпоративных сетей»,¹ прошедшей в Москве в рамках выставки Softool, специалисты были обеспокоены не столько техническими аспектами защиты, сколько проблемой предательства со стороны своих же сотрудников.

Большинство российских разработчиков средств защиты исповедуют излишне технократический подход к решению проблем своих клиентов. Данный тезис был основным в выступлении Дмитрия Чепчугова, руководителя Управления "К" МВД, занимающегося расследованием преступлений в сфере информационных технологий. С технической точки зрения информационная система предприятия часто бывает защищена превосходно, но без учета факторов «дуракоустойчивости»² и обычного предательства уровень защиты нельзя считать достаточным.

ВИДЕО CNews: Системы защиты в России часто не учитывают фактор «дуракаустойчивости»

В своем выступлении (CNews.ru приводит доклад в видеозаписи) г-н Чепчугов привел несколько реальных примеров из практики ведомства, в которых безответственность персонала и предательство делали техническую систему защиты бессмысленной. Особую известность получил случай с разгильдяйством в информационном агентстве ИТАР ТАСС. По словам руководителя Управления "К", в этот раз безответственность сотрудников «чуть-чуть не довела до беды».

Опыт МВД подтверждает ошибочность использования «бывших хакеров» в качестве специалистов по защите информации в организациях: «Асоциальный тип мышления хакера у такого сотрудника уже сформирован, и брать на работу его нельзя. Хотя, некоторые выросли и стали людьми с изменившейся психикой», — парадоксально высказался г-н Чепчугов.

Поставив во главу угла защиту от внутренних злоумышленников, представитель МВД привел примеры и традиционных преступлений «внешних» мошенников. Особенным стал случай с задержанием подданного Франции, который, будучи разыскиваемым властями своей страны, скрывался в России. С территории нашей страны преступник продолжал осуществлять мошенничества в европейских интернет-магазинах. Общий ущерб от действий француза составил 180 тыс. евро.

Особую озабоченность органов правопорядка вызывает и практика незаконного распространения ведомственных информационных баз. Как сообщил представитель МВД, привлечь к ответственности таких распространителей сегодня нельзя из-за отсутствия соответствующих нормативных актов. Выход из сложившейся ситуации Дмитрий Чепчугов видит в закреплении авторских прав на распространяемые базы за организациями, которые их распространяют. В этом случае злоумышленников можно будет привлекать к ответственности за нарушение авторских прав. Сегодня эти продукты, по словам специалиста, не принадлежат никому.

В ходе конференции, идейным вдохновителем и организатором которой выступила компания Rainbow Technology, выступили специалисты компаний-лидеров российского рынка защиты информации. Интерес к теме согласуется с данными о быстром росте рынка ЗИ, приведенными старшим аналитиком CNews Analytics Максимом Казаком. Видеоверсию его презентации можно посмотреть здесь.

CNews.ru

¹ CNews.ru выступил официальным информационным спонсором "Второй практической конференции «Информационная безопасность корпоративных сетей», проходившей с 30 сентября по 2 октября 2003 г. в рамках выставки «SofTool’2003» на ВВЦ (г. Москва).
Организатор конференции — компания Rainbow Technologies - поставщик решений в области информационной безопасности.
На конференции выступили руководители и специалисты известных отечественных и зарубежных компаний: Microsoft, Computer Associates, Rainbow Technologies, Информзащита, Инфоcистемы Джет, Инфотекс Интернет Траст, BioLink Technologies, Trend Micro, Компьюлинк, Лаборатория Касперского, ЛАН Крипто, Физтех-софт, Актив, Инфотекс, СекьюрИТ, ЭЛВИС-ПЛЮС, IIG, Positive Technologies.
Процентный состав аудитории слушателей конференции: бизнес-руководители — 15%, начальники отделов информационной безопасности и ИТ-служб — 50%, технические специалисты — 35%.
География аудитории: Россия, Украина, Казахстан и Белоруссия.
В работе конференции участвовали представители различных по масштабам предприятий и организаций — от совсем небольших (с сетью от 10 компьютеров) до очень крупных (с сетью свыше 1000 компьютеров) — это: «Алюминий Казахстана», Минэкономразвития России, «Аэрофлот-российские авиалинии», «Башкирэнерго», «Братский целлюлозно-картонный комбинат», «М-Видео» (г. Москва), «Газпром», Компания «Уфаойл», «Москомбанк», «Мотор-Супер» (г. Тольятти), НИИ «Квант», «Связь» Коми, «Северное речное пароходство» (г. Архангельск), «Стройтрансгаз» (г. Самара), «Химпром» (Чувашская Республика), Центральный банк Российской Федерации, «Ростелеком», Банк «Возрождение» и др.