Ваша лучшая защита от внутренних хакеров - правильная политика найма сотрудников
Несмотря на все внимание, уделяемое брандмауэрам и теме безопасности Internet, менеджеры по информатизации могут упустить из виду самую серьезную угрозу для сокровищ корпоративной информации это сотрудники, работающие в их компаниях, которые сознательно взламывают корпоративные системы.
Весь арсенал современных способов защиты в состоянии отразить многочисленные попытки вторжения извне. Для защиты же от подобных атак изнутри руководителям информационных отделов все в большей степени следует применять старые добрые процедуры приема на работу, которые позволят выявить потенциальных злоумышленников прежде, чем эти "волки" проникнут внутрь "овчарни". Тщательная проверка их моральных качеств, интенсивное "прощупывание" со стороны будущих коллег и проверка владения навыками, которые предлагают фирме потенциальные сотрудники, вот некоторые из приемов, позволяющих произвести отсев кандидатов, которые могли бы иметь дурные намерения, криминальных хакеров или им подобных личностей.
Это не означает, что менеджеры по информатизации должны проявлять параноидальную подозрительность в отношении каждого нанимаемого. Несмотря на всю шумиху относительно криминальных хакеров, эксперты считают, что большинство внутренних прорывов защиты все-таки происходит вследствие случайности, недосмотра или небрежности. В самом худшем случае преднамеренные вторжения осуществляются недовольными своей фирмой сотрудниками. Между тем "самообразованных" криминальных хакеров не так уж много, а те, которые есть, вряд ли будут добиваться постоянной работы в этих отделах, поскольку легкость доступа к корпоративным сетям лишает их удовольствия от вторжения.
"Криминальные хакеры составляют ничтожное меньшинство среди тех, кто собирается проходить собеседование и получить работу. Гораздо более реальной угрозой является то, что нечистый на руку человек уже находится среди сотрудников", считает М.Э. Кабэй, директор по обучению Национальной ассоциации компьютерной безопасности (National Computer Security Association NCSA) в Вашингтоне.
Хотя NCSA и не терзается бесконечно по поводу просачивания хакеров, она все же недавно провела предварительное исследование вопроса, каким образом решению этой проблемы может помочь серьезная организация собеседования. Так, недавно в ходе разговора с одним, как казалось, образцовым кандидатом на место в ассоциации обнаружилось, что в действительности он ранее был криминальным хакером.
"Только когда мы начали собеседование с ним, мы поняли его скрытые намерения", рассказывает Кабэй. Поскольку претендент заявлял о своем стремлении измениться к лучшему, NCSA продолжила собеседование. Однако вскоре стало очевидным, что кандидату по-прежнему в большой степени присущ менталитет хакера. В результате Кабэй и его коллеги были вынуждены отказать ему.
Эксперты предупреждают, что руководители отделов ИТ, оказывающиеся в аналогичных ситуациях, должны подавить в себе желание перенаправить весьма сомнительные таланты кандидата в области безопасности на благо корпорации и проявлять крайнюю осторожность.
"Прием на работу экс-хакера, как минимум, вызовет вопросы со стороны фирм-страхователей, связанных с корпорацией, и может привлечь к компании нежелательно пристальное внимание публики и средств массовой информации в случае инцидента", утверждает Сэнфорд Шеризен, президент консалтинговой фирмы Data Security Systems (Нидхэм, шт. Массачусетс). Но это не единственная причина, по которой менеджерам по информатизации следует быть очень внимательными и придирчивыми, знакомясь с кандидатами на работу. Несоблюдение соответствующих мер предосторожности при найме работника может привести к тому, что их компания в дальнейшем вынуждена будет нести ответственность за убытки, причиненные неблаговидной деятельностью этого работника.
Менеджеры ИТ также рискуют, если принимают на работу человека, активного в хакерской культуре, даже если он не вовлечен в криминальную хакерскую деятельность. Например, провайдер услуг Internet в одном из крупных городов Среднего Востока США недавно обратился к поддерживаемой NCSA службе IS/RECON (Information Security Reconnaisance разведка информационной безопасности), когда его деятельность вследствие серьезного нарушения безопасности была остановлена на пять дней. Виновником этого оказался только что уволенный и потому рассерженный на компанию сотрудник. Но самое смешное здесь в том, что при найме этого сотрудника компания уже была осведомлена о его активности в хакерских кругах.
Недреманное око
К счастью, нельзя сказать, что подобные инциденты - явление широко распространенное. Поэтому менеджерам ИТ не стоит "зацикливаться" на хакерской угрозе, самое большое, что от них требуется, - это знать об опасности и быть бдительными. Руководителям отделов ИТ следует быть особенно осторожными, например, в том случае, когда они привлекают в свои организации практикантов и сотрудников, работающих по договорам.
По словам Кена Катлера, вице-президента и директора отдела безопасности MIS Training Institute (Фреймингхем, шт. Массачусетс), большинство профессионалов в области ИТ утверждают, что они не могут проконтролировать всех временных работников своих компаний, в результате компании подвергаются огромному риску нарушения безопасности.
"Вы должны быть уверены, что при приеме на работу временных сотрудников надлежащие процедуры выполняются точно так же, как и при приеме на постоянную работу", - считает Катлер, подразделение которого расположено в Сенеке (шт. Южная Каролина). Стандартные меры предосторожности включают в себя тщательную проверку всех программных и аппаратных средств, которые временный работник вносит в вашу организацию. Эти средства должны обязательно пройти физический "карантин". Распространенным источником компьютерных вирусов являются, в частности, практиканты из университетов, утверждает Катлер. Руководителям ИТ следует также быть осторожными с выдачей временным сотрудникам системных привилегий, предоставляющих доступ к корневым серверам в Unix-системах или учетным записям супервизора в NetWare.
"Офицер" безопасности
Дэвид Фут, директор по услугам из фирмы Meta Group (Стамфорд, шт. Коннектикут), полагает, что руководители ИТ должны подумать об учреждении должности корпоративного "офицера" безопасности. Этот служащий мог бы отвечать за мониторинг сетевого доступа сотрудников ОИТ и за выдачу допусков к работе по ключевым проектам. Этот человек также мог бы работать в тесном контакте с отделом кадровых ресурсов, с тем чтобы такие методы собеседования, как, например, проверка моральных качеств нанимаемых, были бы в рамках компании унифицированными процедурами.
Однако соблюдение предосторожностей на переднем крае - а именно при найме работников ИТ - является стоящим делом лишь в том случае, если это составная часть глобального плана обеспечения безопасности, включающего в себя эффективные стратегии и - что наиболее важно - обучение. Катлер из MIS Training Institute утверждает: "В сущности, безопасность - это проблема прежде всего человеческая".
Эрин Коллуэй
К старшему редактору Эрину Коллуэю можно обратиться по адресу: erin_callaway@zd.com.
