Взгляд вглубь
Компании имеют шанс предстать перед судом за наглые взломы хакеров
Когда Дженнифер Лоутон сообщили по телефону, что сотрудник ее компании взломал компьютерную сеть, она подумала, что это, должно быть, ошибка. Для нее, директора и одного из основателей сетевой поддержки аренды ПО фирмы Net Daemons Associates (Уобен, шт. Массачусетс), консультирующей клиентов по вопросам безопасности в Internet, мысль о том, что нападение было совершено из сети ее компании, казалась абсолютно невероятной.
Net Daemons, одна из тысяч американских фирм, предоставляющих сегодня доступ к Internet, была атакована отнюдь не дружелюбным хакером. Ничего нового в этом, конечно, нет. Однако последствия кражи данных и ее общественный резонанс затмили самую больную тему для менеджеров ИТ - ответственность за сбои при загрузке.
Вот о чем предупреждают юристы. Хакер, воспользовавшись вашей непрочной системой защиты, влезает к вам в сеть и затем под видом ее члена начинает атаковать другие цели. Правдоподобно? А затем, когда ущерб обнаруживается, ответственность возлагают на вашу компанию. "Такие случаи пока нечасты, однако вскоре они станут обычными", - сказал Марк Рэш, директор по информационной защите, праву и политике корпорации Science Applications International (Мак-Лин, шт. Западная Виргиния).
Трейси Бэйр, руководитель программы из корпорации International Data (Фреймингхем, шт. Массачусетс), с этим не согласна: "Подобные вещи случаются сплошь и рядом. Другое дело - сколько человек привлекают к ответственности".
Возьмем пример с Net Daemons. Нарушение защиты в прошлом году было результатом непростительного промаха компании: у нее не оказалось брандмауэра. Это позволило хакеру просочиться в сеть. Оказавшись внутри, взломщик установил и запустил распространенную хакерскую программу "binmap", которая записывала первые строчки приходящих по Telnet сообщений, параметры авторизации удаленных компьютеров и FTP. В результате он успешно добыл пароли всех сотрудников Net Daemons и получил доступ в сети некоторых клиентов компании.
Лоутон рассказала, что клиенты Net Daemons были весьма огорчены, однако не настолько, чтобы принять юридические меры. "Они были признательны, что мы им подробно сообщили, что произошло и какие меры предпринимаются, однако ничего приятного в этом не было", - сказала она. Пережив случившееся, компания приняла соответствующие меры. Теперь она защищена брандмауэром FireWall 1 компании CheckPoint Software Technologies Ltd. (Редвуд-Сити, шт. Калифорния). Кроме того, она стала применять стратегию, исключающую произвольный доступ к клиентским сетям. В целях дополнительной защиты Net Daemons теперь записывает, отслеживает и шифрует все сеансы связи.
Марк Рэш считает, что сегодня такие сценарии разыгрываются со сравнительно небольшим количеством жертв, но их результаты могут оказаться далеко не безобидными: "Отсутствие минимальных средств безопасности (в данном случае брандмауэра) становится неприемлемым и обходится крайне дорого".
До сих пор компании, сети которых подвергались взлому, устраняли проблему, стараясь при этом любой ценой избежать огласки. Исследование, проведенное недавно совместно Институтом компьютерной безопасности (Computer Security Institute) и ФБР, показало, что только около 17% компаний, подвергшихся вторжению в 1995 г., сообщили об этом полиции. Но когда ставки станут значительно выше, обстоятельства изменятся, и в будущем подобные иски станут выгодны - прецедент для такого вида ответственности уже имеется.
"Если вы обнаружите, что ваша система приведена в негодность 16-летним подростком, добравшимся до вас через несколько крупных корпораций, как вы думаете, кого будут преследовать за это по закону?" - спрашивает Фред Рика, главный консультант компании Price Waterhouse LLP (Морристаун, шт. Нью-Йорк), специализирующийся на компьютерной безопасности и выявлении сетевых взломов.
Первое громкое дело наверняка разгорится вокруг какой-нибудь компании с большим капиталом, которую обвинят в преступной халатности и с которой потребуют возмещения убытков. Умные компании уже начали думать о такой возможности. "Мы несколько раз подвергались атакам хакеров и поэтому обсуждали эту проблему, так как не хотим стать мешком с деньгами для кого-то", - сказал Джордж Кук, вице-президент и главный юрисконсульт компании Home Box Office в Нью-Йорке.
Эксперты утверждают: для того чтобы ваша компания не стала пробным камнем подобного юридического прецедента, вы не должны ограничиваться приобретением и установкой охранных продуктов. "Брандмауэры необходимы, но есть и другие не менее важные средства, которым многие компании не придают значения", - поделилась мнением Трейси Бэйр.
Разработка и внедрение стратегии безопасности для всех сотрудников и создание специальной должности для наблюдения за системой охраны будут, по мнению юристов, важными козырями, если вас привлекут к суду. "Вы должны быть способны доказать, что сделали все возможное, чтобы не допустить случившегося", - говорит Трей Барнс, компаньон Pillery, Cavanaug and Barnes (Бэтон-Руж, шт. Луизиана), который занимается растущими юридическими проблемами сотрудников отделов ИТ. Барнс настоятельно рекомендует заключать контракты с поставщиками, консультантами - всеми, кто имеет доступ в вашу сеть, чтобы заранее определить ответственность на случай взлома.
Одно ясно: когда речь зайдет о судебной ответственности, это будет именно тот редкий случай, когда люди из отделов ИТ не захотят быть в первых рядах.
Эйлин Кроули
НЕ ДОПУСТИТЬ
Имеется ли у вас писменная инструкция,
как действовать, чтобы предотврать взлом сети?
Причины (%), по которым компании не заявляют в полицию об атаках хакеров:
+------------------------------------------+--------+
|Не желают огласки | 75 |
+------------------------------------------+--------+
|Информацией может воспользоваться | 72 |
|конкурент | |
+------------------------------------------+--------+
|Не знали, что могут заявить | 53 |
+------------------------------------------+--------+
|Предпочитают несудебные меры | 60 |
+------------------------------------------+--------+