Годами важнейшей угрозой для предприятий самого разного калибра был раскол между ИТ-отделом и службой безопасности, которые частенько соперничали за зоны влияния и финансирование.
Ходят многочисленные легенды о принципиальном разобщении, наметившемся во многих компаниях между ИТ-персоналом и специалистами по безопасности. Эти легенды исходят из того, что ИТ-отдел пытается решить проблемы сотрудников компании, а служба безопасности старается сохранить все в безопасности. В результате, с позиций айтишников это выглядит так, как будто безопасники мешают им выполнять свою работу.
А с точки зрения безопасников, конечно же, айтишники представляют собой сборище неисправимых авантюристов. К счастью, это непонимание, похоже, понемногу уходит. Я впервые это осознал, прохаживаясь по выставочной площадке на конференции SpiceWorld в Остине (шт. Техас), где отметил существенное увеличение количества фирм, специализирующихся на безопасности — а ведь на самом деле это конференция и отраслевая выставка для ИТ-компаний. Обратившись за информацией к организаторам, я убедился в том, что на этой конкретной выставке присутствие поставщиков услуг безопасности действительно усилилось.
В связи с этим у меня возник вопрос, не является ли этот факт свидетельством того, что традиционный разрыв между айтишниками и безопасниками начал сокращаться. Я побеседовал с консультантом по вопросам безопасности и автором книг на соответствующую тему Энди Малоуном из Великобритании. Он сказал, что тоже заметил нечто подобное.
Одной из главных причин раскола между айтишниками и безопасниками является отсутствие должного доверия, считает Малоун. Каждая из сторон традиционно воспринимала другую как помеху в своей работе, а во многих компаниях между ними добавлялось еще и соперничество за ресурсы и влияние.
Возникавший в связи с этим недостаток сотрудничества не давал компаниям разрабатывать и поддерживать в рабочем состоянии безопасные сети. Что еще хуже, в некоторых компаниях эти распри разжигались представителями высшего руководства, которые либо поощряли конкуренцию между этими подразделениями, либо в отдельных случаях не проявляли понимания по отношению к той или иной стороне, или, скорее, ни к одной из них.
«Доверие — это чрезвычайно важное условие, — говорит Малоун. — Проблема часто упирается в высшее руководство». Он добавляет, что каждая из двух групп на самом деле знает, что нужно сделать для того, чтобы построить исправно функционирующее, безопасное предприятие, но они не получают должной поддержки. Дело усугубляется тем, что зачастую сотрудников вообще не обучают принципам компьютерной безопасности из-за нехватки ресурсов и недостаточного интереса к этой проблеме.
Но теперь ситуация, похоже, стала меняться. «Технологии подобны Дикому Западу, — проводит аналогию Малоун, — на который люди переезжают с новым багажом. В спину им дышат плохие парни-злоумышленники. А потом приходит шериф». Именно шериф помогает восстановить порядок и безопасность как на Диком Западе, так и в диком мире информационных технологий. В роли этого шерифа выступает отдел безопасности.
Проблема в том, что для эффективной работы специалистам по безопасности требуется готовность ИТ-специалистов к сотрудничеству. Побеседовав с Малоуном, я решил поговорить с ребятами, устанавливавшими на выставке SpiceWorld стенды компаний, оказывающих услуги безопасности, и попросить их поделиться своими соображениями по поводу возможности совместной работы двух функциональных подразделений.
Топ-менеджер Kaspersky Lab Андрей Пожогин считает, что компании в целом уже осознали, что ИТ-отделы и отделы безопасности на предприятиях должны работать сообща в силу характера тех угроз, с которыми сталкиваются их компании. В качестве примера он привел ужесточившуюся борьбу с программами-вымогателями, в связи с которой до айтишников дошло, что без помощи безопасников они не смогут ни предотвратить атаки программ-вымогателей, ни восстановиться после них, случись они на самом деле.
Тем не менее, периодически разногласия между ИТ-специалистами и экспертами по безопасности все еще возникают, когда одна часть этого уравнения забывает о том, что ее действия влияют на другую часть. В качестве прекрасной иллюстрации этого явления приведу историю, рассказанную Кевином Коффи, старшим директором по бизнес-развитию фирмы Censornet. Он говорит, что столкнулся в своей практике с компанией, ставшей жертвой атаки с утечкой данных, в ходе которой хакеры смогли собрать огромные объемы данных из торговой статистики компании.
Произошло это потому, рассказывает Коффи, что компания установила у себя новый автомат по продаже безалкогольных напитков. Так как автомат был оснащен устройством для считывания кредитных карт и имел функцию автоматического заказа недостающих продуктов, он был подключен к внутренней сети компании. И никто не удосужился подумать о том, что в автомате для продажи шипучки, как и в большинстве IoT-устройств, отсутствовала какая бы то ни было защита.
Обнаружив, что у компании кто-то крадет данные, отдел безопасности выяснил, что данные сначала копировались с серверов компании на устройство внутри автомата с напитками, после чего хакеры могли переносить эти данные на свои собственные серверы.
Это произошло из-за того, что при подключении автомата в сеть никто друг с другом не посоветовался и никому и в голову не пришло, что его нужно ставить за пределами брандмауэра компании, отдельно от корпоративной сети. И, разумеется, никто не отслеживал поток данных с этого автомата, потому что это, в конце концов, была обыкновенная машина по продаже напитков.
И хотя история с «умным» торговым автоматом наглядно демонстрирует прореху в безопасности, она совсем не обязательно сможет побудить руководство компании принять какие-то меры для повышения безопасности. Но это порой могут сделать другие события.
Некоторые из представителей компаний-поставщиков услуг безопасности, с которыми я переговорил, сказали, что заставить их высшее начальство и сотрудников ИТ-отдела поволноваться насчет безопасности данных смогли истории о крупномасштабных распределенных DoS-атаках, вроде недавней атаки DynDNS, или бесконечные, казалось бы, истории об атаках программ-вымогателей, особенно те из них, в которых злоумышленники деньги забрали, а ключ для расшифровки не предоставили, либо неоднократно атаковали одну и ту же компанию, зная, что она готова каждый раз платить выкуп.
Несмотря на то, что придется приложить еще немало усилий для сокращения пропасти между айтишниками и безопасниками, по крайней мере можно наблюдать появление взаимного понимания относительно того, чтό именно необходимо каждой из групп для выполнения своей работы. Благодаря этому можно выработать тот уровень взаимодействия, который нужен организациям для целенаправленного поддержания своей безопасности. А целенаправленная забота о безопасности — это уже огромный шаг в верном направлении.