Ключи шифрования — отличная вещь, которая позволяет вашей организации без проблем поддерживать защищенные коммуникации. Во всяком случае, до тех пор, пока вы контролируете эти ключи.
Во время нашей беседы за ланчем основатель и генеральный директор компании SSH Communications Security Тату Юлёнен был явно расстроен. «Почему я не могу до них достучаться?» — задал он почти риторический вопрос. Юлёнен выразил ту степень разочарования, которая является обычной для отрасли, занимающейся безопасностью. Заставить высшее руководство вкладывать деньги в безопасность может оказаться нелегкой задачей.
К несчастью для многих менеджеров, в их сознании безопасность остается центром затрат. А это, в свою очередь, служит для них причиной экономить на безопасности. Когда появляются квартальные отчеты, можно легко улучшить итоговый показатель за счет сокращения расходов на безопасность. Это не удивительно для ИТ-подразделений, бюджеты которых часто урезаются до такой степени, что они уже не могут эффективно функционировать.
Менеджеры могут идти на урезание важнейших функций, таких как ИТ-сервисы и безопасность, потому что последствия наступают не сразу. Вы не осознаете, во что обойдется сокращение расходов на безопасность, пока когда-нибудь позднее мощное вторжение в вашу сеть не приведет к хищению или обнародованию учетных записей клиентов, торговых секретов и внутренних финансовых записей.
Еще хуже, если организация пытается защитить данные от кибер-преступников, постоянно шифруя данные и коммуникации, но не выделяет необходимых ресурсов на управление ключами шифрования.
Без должного управления ключи, которые гарантируют шифрование ваших коммуникаций, могут находиться там, где их могут обнаружить кибер-преступники. Что еще хуже, если ими не управлять надлежащим образом, ключи шифрования могут храниться на протяжении многих лет после вывода из эксплуатации устройств, которые они защищали.
Юлёнен пояснил, что ключ шифрования представляет собой строку из 100 с небольшим цифр, которая используется в качестве пароля для доступа к сетевым устройствам. Ключи обычно встроены в ПО, обеспечивающее зашифрованное соединение между защищенными системами.
Один из главных методов шифрования коммуникаций заключается в использовании протокола SSH (secure shell), изобретенного Юлёненом. Его компания SSH Communications Security поставляет ключи шифрования.
Проблема, к несчастью, в том, что при приобретении ключей для защищенных устройств многие компании покупают гораздо больше ключей, чем им необходимо. Если не управлять этими ключами должным образом, хакер может найти их и попытаться применить для взлома инфраструктуры защищенных коммуникаций компании. По словам Юлёнена, такого рода проникновения в сети происходят с удручающей регулярностью.
Решение этой проблемы заключается в использовании какой-нибудь системы управления ключами, которая гарантирует, что ключи шифрования защищены, что они не остаются установленными на устаревшем оборудовании, когда оно выводится из эксплуатации, и которая следит, где используются ключи, чтобы их можно было восстановить.
Юлёнен был расстроен потому, что заставить высшее руководство компаний обратить внимание на необходимость управления ключами сродни подвигу Геркулеса по очистке Авгиевых конюшен. Даже для достижения частичного успеха требуется огромное терпение.
Причина в следующем. Целый ряд законов требует от организаций защищать их данные посредством шифрования, но эти законы не требуют надежного управления ключами. Это означает, что аудит соблюдения требований регуляторов не отметит проблему с управлением ключами до тех пор, пока не произойдет вторжение в сеть. А как мы знаем, многие корпоративные руководители высшего звена уверены, что с их компанией этого случиться не может.
Но, конечно же, может. Чтобы преодолеть сопротивление применению разумного управления ключами SSH Communications Security разработала то, что Юлёнен называет Universal Key Manager. Идея UKM в том, чтобы сделать защиту ключей шифрования простой и эффективной, не требующей большого штата сотрудников.
В ходе нашего разговора Юлёнен пояснил, что хорошая система управления ключами должна определять политики использования и отслеживать местонахождение ключей в ИТ-среде. Кроме того, он сказал, что UKM должен обеспечивать соблюдение требований регуляторов, генерируя достаточно подробные отчеты, чтобы показать, как и где использовались ключи на предприятии. Наконец, он считает, что надлежащее управление ключами включает также качественную оценку риска и составление отчета.
Поскольку SSH Universal Key Manager представляет единый пункт управления, он эффективно помогает сделать коммуникационную среду более защищенной, сокращая затрачиваемое персоналом время. Идея, которая заключается в том, чтобы сравнительно просто и дешево обеспечить компаниям требуемый обычно уровень защиты, означает, что эту систему легко освоить. Предоставление высшему руководящему звену единого и сравнительно простого решения потенциальных проблем безопасности кажется разумным.
Но оно является разумным только в том случае, если директор по информационной безопасности сможет убедить остальных руководителей принять мысль о необходимости укрепления безопасности. Юлёнен опасается, что их не удастся убедить. Я подсказал ему, что необходимо пожертвовать одним человеком, дабы остальные вам поверили.
Жертвой будет тот менеджер компании, который допустит массовое хищение данных после того, как откажется использовать разумный опыт обеспечения безопасности, включая управление ключами. Тогда появится возможность ссылаться на этого менеджера как на плохой пример.
Это сработало несколько лет назад, когда компания Target была атакована и потеряла треть своей рыночной стоимости, в результате чего полетели головы. Потом на протяжении примерно года компании считали, что безопасность, вероятно, важна. Но, похоже, они уже забывают этот урок.
Возможно, теперь, когда управление ключами стало простым и дешевым, появился новый уровень ответственности. Возможно, больше руководителей поверят в необходимость надежной безопасности.