На повестке дня - защита личных данных

В фокусе корпоративных забот - безопасность и соблюдение стандартов

Пол  Робертс

Прошлый год, возможно, запомнится многим как время, когда корпоративная Америка наконец-то пробудилась ото сна, осознав проблему существования брешей в безопасности данных и важность защиты личной информации. Утечки данных в Bank of America, в отделении Seisint компании LexisNexis, в фирмах ChoicePoint и CardSystems месяцами обсуждались в печати, порождали бесчисленные иски от пострадавших клиентов и в итоге стали импульсом к подготовке закона США (его еще предстоит доработать и принять) по защите клиентских личных данных. А что принесет 2006 г.?

Корпоративных ИТ-менеджеров в нынешнем году ожидает небывало жаркое сражение на двух фронтах. С одной стороны, им предстоит отражать все более хитрые и целенаправленные атаки организованных онлайновых преступных групп, изобретающих новые, трудно обнаруживаемые способы прощупывания сетей. А с другой - компании, только начавшие осваиваться с нормами таких американских стандартов безопасности, как Sarbanes-Oxley Act, HIPAA (Health Insurance Portability and Accountability Act) и PCI (Payment Card Industry), должны продемонстрировать свою твердость в соблюдении их требований и усилить корпоративный контроль над доступом к засекреченным данным.

По мнению технологического руководителя фирмы CipherTrust Пола Джаджа, в последние месяцы центр тяжести угроз в адрес корпоративных сетей сместился от вирусов, спама и червей к bot-сетям и зомбированным компьютерам. Если год назад клиенты его компании испытывали со стороны “зомби" в общей сложности около 250 тыс. атак в сутки, то теперь эта цифра удвоилась.

Для компании CipherTrust изменение профиля атак привело к тому, что ей пришлось усилить роль предоставляемого ею сервиса интернет-мониторинга TrustedSource по сравнению с ее же фирменной технологией обнаружения спама. Если вначале TrustedSource предназначался для идентификации источников распространения почтового мусора, то теперь, говорит Джадж, он отслеживает армии зомбированных ПК.

В нынешнем году компании наряду с переменами в угрозах почувствуют на себе пресс государственных и отраслевых регламентов. По словам Марри Мейзера, сооснователя и вице-президента фирмы Lumigent Technologies, “...в 2005 г. люди пытались постигнуть, что значит соблюдать законы и отвечать за их исполнение, а теперь компании, усвоившие эту науку, должны реально усиливать контроль за своими закрытыми данными".

Корпорациям необходимо улучшить аудит своих сетей, наладить более строгий контроль над базами данных и развернуть средства непрерывной оценки статуса безопасности, способные выявлять подозрительную активность или проблемные конфигурации систем, работающих в сетях.

Соблюдение требований аудита по стандарту безопасности PCI, а также другим законодательным или нормативным актам поставлено на первые два места в списке приоритетов безопасности Top-10 на 2006 г., который прислал нам по электронной почте Рик Уэнбан, консультант по информационной безопасности из фирмы Michaels Stores. “Я уверен, - пишет он, - что главной задачей компаний должно быть не предотвращение того, что может произойти раз в десять лет, а повышение эффективности повседневной работы и ежемесячный аудит".

По мнению Мейзера, компании стали лучше понимать, какая информация в их сетях является более важной, и начинают искать способы автоматизации сбора данных, уменьшения влияния субъективных ошибок и выявления злоумышленных действий.

Как сообщил Кристофер Кроухерст, президент и главный архитектор Thom-son Learning, ИТ-персонал этого подразделения корпорации Thomson создает спецификацию заголовочной информации SOAP (Simple Object Access Protocol), которая позволит администраторам осуществлять аудит транзакций Web-сервисов в масштабе всего предприятия. “У нас крупная компания, и аудиторам необходимо собирать данные из очень многих мест. Создав же схему, благодаря которой все это будет доступно в одном месте, мы сможем резко уменьшить свои затраты", - уверен Кроухерст.

Такие направления работы, как управление идентификацией пользователей и управление предоставлением ресурсов, занимающие в списке Уэнбана соответственно третье и четвертое места, тоже будут в 2006 г. важными приоритетами многих корпоративных ИТ-отделов.