Риск-менеджмент

Многие компании создают относительно безопасные сетевые среды, отслеживают мировые тенденции в области средств безопасности и соответствующим образом модернизируют архитектуру сетей. К сожалению, большинство российских фирм живет по принципу «пока гром не грянет, мужик не перекрестится»: бюджет на развитие средств безопасности IT-подразделения получают лишь после того, как возникнет серьезная проблема.

Построению безопасных сетей мешает и внутрикорпоративная неразбериха. Во многих фирмах департаменты безопасности, телекоммуникаций и сервисных приложений действуют несогласованно. Например, автоматизированную банковскую систему, состоящую из сервера и клиентского программного обеспечения, обслуживают специалисты департамента коммуникаций, которые даже не задаются вопросом, как предотвратить нежелательные внешние воздействия на систему, поскольку считают, что их задача сводится к физическому обеспечению связи. А впоследствии приходят сотрудники службы безопасности и сообщают, что система построена неправильно. К сожалению, многие российские компании зачастую не задумываются о том, что перед запуском нового приложения необходимо проанализировать риски или провести IT-аудит, а департамент безопасности должен предложить набор мер по снижению уровня риска, после чего с участием остальных департаментов необходимо обсудить меры и технические решения по нейтрализации или снижению выявленных рисков.

В России активно развивается широкополосный интернет. К сети ежедневно подключаются миллионы неквалифицированных пользователей – это почва для распространения эпидемии «червей». По нашим оценкам, в московских домовых сетях скорость заражения новичка равняется одной-двум минутам. Рядовые пользователи ПК обычно не устанавливают дополнительных средств защиты, а возможностей встроенных в Windows межсетевых экранов недостаточно для того, чтобы предотвратить внедрение в компьютер сетевого «червя» – программы, содержащей вредоносный код. В результате «черви» проникают в сотни тысяч компьютеров и ожидают команды на исполнение кода от злоумышленников. Группы таких компьютеров, в фоновом режиме выполняющих программы-«черви», получили в среде IT-специалистов название «зомби». По нашим подсчетам, одна из крупнейших «армий зомби» насчитывала полгода назад примерно 990 тысяч компьютеров. Как только злоумышленник дает команду, «черви» с зараженных компьютеров начинают рассылать паразитные пакеты данных в адрес целевых серверов, чтобы забить у них каналы связи либо исчерпать ресурсы производительности и тем самым парализовать работу. Кроме того, «армия зомби» может использоваться для рассылки почтового спама. В результате именно такого типа атаки летом 2004 года без интернета остался весь юг России.

Минувшим летом южные регионы России на продолжительное время остались без доступа к интернету в результате хакерской атаки на крупнейшего местного провайдера – Южную телекоммуникационную компанию. Это лишь один из многочисленных примеров нарастающей зависимости общества от информационных систем.

Ключевой элемент в борьбе с рисками в IT-инфраструктуре – это корпоративная культура информационной безопасности, которая позволяет значительно снизить уровень угроз. К сожалению, судя по тому, что можно наблюдать в крупнейших российских компаниях, процесс формирования корпоративной культуры в России находится на зачаточном уровне: сотрудники не обладают достаточной информацией, чтобы оценить риски, связанные с поведением на рабочем месте. Например, во многих компаниях сотрудники пользуются флэш-накопителями, совершенно не задумываясь о том, что это противоречит корпоративным правилам. Просто потому, что их не поставили в известность о существовании таких правил. Сегодня отечественные компании в основном пытаются защититься от внутренних утечек информации, в связи с этим наблюдается всплеск интереса к решениям DLP (Data leakage prevention).

Многие российские компании организуют поиск сотрудников для выполнения новых задач, например для внедрения комплексной информационной системы или организации работы с ключевыми клиентами. Речь также может идти о ситуации, когда генеральный директор компании или собственник, выполняющий его функции, решает делегировать часть своих полномочий наемному менеджеру. Риск принять на работу кандидата, не соответствующего должности, возможен в первую очередь из-за того, что работодатель неправильно формулирует требования. Приведенная на следующей странице таблица иллюстрирует основные проблемы, возникающие при подборе топа, а также методы их решения.