Профессионалы ИТ-безопасности считают, что при защите своей информации компании должны действовать с упреждением

В эпоху вездесущего Интернета компаниям следует заранее подготовиться к тому, что уже кажется неминуемым, — к потере своих данных. Так, по крайней мере, считает пара главных стражей конфиденциальной информации в крупнейших финансовых организациях.

Их предупреждение прозвучало на конференции по вопросам безопасности Intrusion World Conference and Expo, которая прошла 13 мая в Балтиморе вместе с другим мероприятием сходной тематики — конференцией Web Services Security & SOA Conference and Expo. А высказали его директор по сохранению конфиденциальности информации компании AXA Financial Джоэл Тиец и его коллега из Merrill Lynch & Co. Майкл Дробак, участвовавшие в дискуссии о рисках и цене утраты данных, а также о путях ее предотвращения и локализации.

В своем выступлении Дробак призвал все организации заранее готовить план действий на случай потери данных. “Слабое планирование сродни планированию слабости”, — предупредил он, отметив, что в взаимосвязанном мире утрата данных становится практически неминуемой. При этом докладчик предложил десять способов предупреждения столь неприятного события, чреватого потерей времени, денег, производительности и репутации, и действий в подобных условиях.

Под первым номером в списке значится необходимость жестко придерживаться политики, согласно которой доступ к конкретной информации получают лишь те, кому она действительно нужна. Подчеркнул Дробак и важность контроля над доступом, например, с учетом ролей сотрудников.

Быть наготове

Ниже перечислены восемь мер, которые может предпринять менеджер ИТ для защиты своих баз данных.

  1. Напрямую отслеживать любое непонятное поведение базы данных.
  2. Своевременно вскрывать и устранять слабые места, открывающие несанкционированный доступ к данным.
  3. Контролировать доступ пользователей.
  4. Знать, как пользователи работают с базой данных, чтобы оперативно обнаруживать необычные операции.
  5. Проверять аутентичность транзакций.
  6. Требовать независимой проверки.
  7.  Автоматизировать контроль с целью снижения расходов и устранения ошибок, свойственных ручному аудиту.
  8.  Шифровать данные.

Источник: eWeek.

Из других возможных шагов в этом направлении он считает наиболее важным постоянное отслеживание путей возможной утечки данных, включая электронную почту и одноранговые коммуникационные технологии. Также, полагает он, необходимо взять под контроль все мобильные устройства, которыми пользуются сотрудники, — флэш-накопители, карманные компьютеры, телефоны, iPod — и усилить протоколы аутентификации.

Предупредил Дробак и о том, что компаниям необходимо в обязательном порядке проверять используемую продукцию сторонних разработчиков. Нужно четко знать, насколько строго ее производители следуют стандартам работы с данными, надежны ли у них технологии уничтожения информации, учитываются ли вопросы обеспечения конфиденциальности и безопасности в жизненном цикле решений, участвует ли высшее руководство в процессе предупреждения утраты данных и локализации ее последствий.

Проще всего, по мнению Дробака, классифицировать алгоритмы шифрования или распределить данные по нескольким уровням. “Однако шифрование и защита информации одним только этим не ограничиваются”, — предупреждает он.

Одним из первых шагов к локализации последствий, которые могут возникнуть из-за потери данных, должно стать четкое определение термина “потеря данных” для конкретной организации. Затем настает черед создания централизованного канала для передачи уведомлений о потере данных. На следующем этапе нужно “организовать команду ликвидации последствий с лидером во главе”. В состав такой группы Дробак рекомендует включить членов генерального совета организации, ответственных за поддержку связи с общественностью, представителей отдела сбыта, которые непосредственно контактируют с клиентами, сотрудников аппарата защиты информации и специалистов по расследованию мошенничества.

Когда все перечисленное выше сделано, при наступлении форс-мажорных обстоятельств организации остается только с помощью судебных специалистов собрать факты о свершившейся утечке и, как рекомендует Дробак, “немедленно принять неотложные меры, чтобы не допустить последующего ущерба, — например, закрыть свой сайт; причем всё это нужно делать очень быстро”.

А Тиец добавляет, что подобные шаги могут создать препятствия на пути притекающей прибыли, и поэтому крайне важно, чтобы механизм борьбы с утечкой данных рассматривался на уровне высшего руководства компании.

После принятия первых, самых экстренных мер наступает время подключать к процессу пиарщиков, правоохранительные и регулятивные органы. “Пусть уж лучше они всё узнают от вас, чем из Wall Street Journal”, — уверен Дробак. И конечно же организация просто обязана уведомить о произошедшем своих клиентов и пользователей.

Ключевое значение во всем этом играет готовность к подобному развитию событий. Корпорациям следует прослеживать их вплоть до исходных причин и постоянно докапываться до возможных корней. Без этого, считает Дробак, нечего и говорить о готовности.

Тиец, со своей стороны, перечислил наиболее типичные причины утраты данных. Чаще всего это бывает связано с исчезновением лэптопов, карманных компьютеров и флэш-накопителей, хотя далеко нередко приходится сталкиваться и с сетевыми взломами, вредоносными программами и потерей архивных магнитных лент.

По данным Тиеца, в коммерческом секторе 40% утрат информации связано с кражей лэптопов, 20% — с человеческими ошибками, еще по 15% —с внутренними кражами и мошенничеством, тогда как участие хакеров наблюдается примерно в 10—15% случаев. В университетской же среде в 45% случаев вина ложится на хакеров, а на кражи ноутбуков, внутренние кражи, ошибки и мошенничество приходится от 10 до 15% по каждому направлению.

Опасность потери данных

О чем говорит статистика утраты данных

  • Начиная с 2005 г. жертвами утрат стало более 230 млн. записей о жителях США.
  • В 2007 г. средние потери во всех заявленных случаях потери данных составили 6,3 млн. долл., тогда как в 2006-м не превышали 5 млн.
  • После получения уведомления о потере данных около 20% клиентов разрывают отношения с компанией.
  • На защиту данных в 2007 г. ушло примерно 40% всех новых расходов на безопасность.

Источник: Джоэл Тиец, директор по обеспечению конфиденциальности информации фирмы AXA Financial.

На этой же конференции в ходе другой презентации вице-президент Secure64 Software Джо Герш рассказал, как можно обосновать расходы на безопасность. По его мнению, корпорациям нужна количественная оценка возможных потерь от утраты данных в среднегодовом исчислении. Для расчета такого параметра следует умножить вероятность одиночного случая потери информации на среднее количество таких происшествий за год.

В то же время, как показывает практика, корпоративные расходы на защиту данных не должны превышать 37% вероятного ущерба от их утраты. “Если организация рискует сотней тысяч долларов в год, на эту статью не стоит выделять больше 37 тысяч”, — уверен он.

Вот только количественно оценить окупаемость средств, направленных на защиту информации, не так-то легко, предупредил Герш. Самым эффективным вариантом здесь может оказаться построение “систем с врожденной безопасностью” (его собственный термин), которые зачастую обходятся дешевле традиционных средств защиты и тем более “неприступных крепостей”. Такие системы, по его словам, “имеют архитектуру безопасной операционной системы, которая в полной мере использует возможности аппаратных средств для того, чтобы уберечь приложения от компрометации посредством руткитов и другого вредоносного ПО, а также защититься от сетевых атак”.