Какие меры может предпринять компания для того, чтобы повысить безопасность хранимых у нее данных о сотрудниках, клиентах и партнерах? У экспертов нет единого мнения на этот счёт.
Shevron, министерство по делам ветеранов США, Bank of America, Time Warner, Mariott International, Northwestern University… Список компаний, правительственных агентств и академических институтов, которые испытали на себе утрату данных из-за хакерских атак, потери архивных лент, украденных ноутбуков и других упущений в системах безопасности, можно длить бесконечно.
При этом удивительно не то, что перечисленные организации утрачивали данные, а что большинство из них настаивало и продолжает настаивать, будто их информация, хранящаяся на серверах и мэйнфреймах, надежно защищена.
Давайте задумаемся: действительно ли данные, не пересылаемые через компьютерные сети, а мирно покоящиеся во встроенных подсистемах хранения, находятся в безопасности? И в какой степени вообще можно обеспечить защищённость информации в нашем сетевом мире? Сегодня, когда сети, системы хранения и системы обеспечения безопасности все сильнее проникают в любой бизнес, какие меры может предпринять компания для того, чтобы лучше защитить данные о своих продуктах, сотрудниках и клиентах?
Чтобы разобраться в этом непростом вопросе, журнал Baseline обратился к двум известным экспертам в области систем хранения и обеспечения безопасности — Бенджамину Ву, вице-президенту по корпоративным системам хранения IDC, и Полю Проктору, вице-президенту по исследованиям Gartner, — и задал им несколько вопросов о системах хранения и обеспечения безопасности в компаниях.
Baseline: Безопасны ли данные, которые защищены межсетевым экраном?
Бенджамен Ву: Я думаю, да. Такие сервисы, как Active Directory и LDAP, к примеру, обеспечивают все необходимые меры безопасности для большинства компаний и гарантируют, что только авторизованные сотрудники действительно получают в них доступ к информации. А карты LUN поддерживают необходимую безопасность на уровне приложений.
Чего все эти меры не могут предотвратить — так это мобильности данных. Как только к данным получен доступ, ничто не может помешать пользователю скопировать их на CD или DVD и унести в любом направлении. Единственный способ бороться с этим — отключить все USB-порты и снять дисководы. Но даже этого недостаточно, поскольку данные из компании можно просто переслать по электронной почте.
И это, вероятно, самая большая неприятность, которая сопутствует мобильности работников и постоянной возможности доступа к корпоративным данным в любом месте 24 часа в сутки 7 дней в неделю. Такие виртуальные инфраструктуры, как VMWare VDI и Citrix Xen, ограничивают физический доступ, но они никак не могут остановить пересылку информации по электронной почте.
Поль Проктор: На мой взгляд, слово “безопасный” особого смысла не имеет. Можно говорить только о достаточной безопасности или о защите против каких-то конкретных угроз.
Никакая компания не может полностью обезопасить себя, поэтому следует предпринимать продуманные усилия, чтобы защитить себя от предполагаемых рисков. Эти усилия будут различны в зависимости от ценности информации и угроз для нее. Большинство компаний сегодня приходят к выводу, что один только межсетевой экран не является достаточной защитой для информации.
Baseline: Какие тенденции вы бы выделили в стремлении компаний обезопасить свои внутренние данные?
П. П.: Такие нормы, как HIPAA, GLBA, SOX и им подобные требуют несколько типов контроля для защиты информации, находящейся за межсетевым экраном. К этим мерам относятся, например, контроль за администраторами, регулирование доступа, сегментирование сети, предотвращение утери данных, шифрование хранимых данных, антивирусы и четкие правила работы с информацией.
Основные тенденции сегодня сфокусированы на разработку достаточного управления рисками и правильное руководство. Компании постоянно совершенствуют свои программы обеспечения безопасности, стараются по возможности не реагировать на неприятные события, а предвидеть их.
Б. В.: Существующие меры по обеспечению безопасности становятся нормой, при этом делаются значительные инвестиции в рассмотрение вопроса о шифровании как о дополнительном средстве в этой области. Пока я не вижу массового движения к шифрованию, но тем не менее стремление к нему выражено весьма сильно.
Baseline: Что должна делать компания, чтобы гарантировать безопасность своей корпоративной информации?
Б. В.: Внедрение объектного (читай: файлового) шифрования данных в сочетании с ужесточением правил мобильного доступа к ним — это лучшая форма защиты. Гораздо большие усилия предстоит приложить всей отрасли, чтобы разработать и внедрить правила обмена информацией между компаниями.
П. П.: Необходимо правильно оценивать риски для определения угроз и слабых мест в компании, чтобы найти необходимый уровень защиты, а также разработать четкий план восстановления после взлома, если таковой всё-таки случится. Нельзя составить единый список технологий, который все компании должны внедрить у себя и покрыть все возможные ситуации. Компании должны изучать существующие стандарты безопасности и проводить у себя внешний и внутренний аудит.
Baseline: Действительно ли шифрование — лучший способ защитить хранимые данные, или это слишком сильная мера? Какие есть альтернативы?
П. П.: Это безусловно хороший способ обеспечения безопасности хранимой информации. Но он привносит дополнительную сложность в такие процессы, как работа приложений баз данных, управление данными и разработка приложений.
Шифрование — это не панацея ото всех бед. Во многих случаях зашифровать всю информацию в компании — дело очень дорогое и чрезмерное. В качестве альтернативы можно предложить классифицирование и выборочное шифрование особо ценных данных, сокрытие информации в важных местах, управление доступом и контроль за административным доступом.
Есть десятки разновидностей контроля. Один из наиболее популярных сегодня — это технология предотвращения утери, которая определяет важные данные при их поступлении и шифрует их или удаляет при необходимости.
Б. В.: Шифрование возможно на нескольких уровнях. На мой “несетевой и не нацеленный на безопасность” взгляд, лучше всего шифровать объекты/файлы. Однако это приводит к целому ряду издержек, если говорить конкретно, то к издержкам в управлении ключами. В качестве альтернативы можно предложить полное шифрование диска, что обеспечит адекватную безопасность, -- по крайней мере в тех случаях, с которыми я знаком, требуется минимальное управление ключами. Когда вам говорят, что шифровать — это дорого, надо возразить, что не шифровать еще дороже. Если файл зашифрован, то по определению к нему невозможно получить доступ без ключа. Подход простой, но реализовать его сложно.
Наиболее критичная вещь для всей отрасли — это конвергенция сети, систем хранения и функций обеспечения безопасности, и мы должны адаптироваться к такой конвергенции. Современная тенденция к виртуализации только добавляет дополнительные уровни сложности и запутанности.
К сожалению, единого волшебного средства для решения проблемы безопасности данных не существует. Каждая компания должна серьезно проанализировать возможный ущерб от утраты той или иной информации и по результатам этого анализа предпринимать меры по обеспечению информационной безопасности.