КОНФЕРЕНЦИИ
Кого ни послушай из докладчиков на недавней конференции RSA Security Conference, с э-бизнесом пора заканчивать, поскольку никаких гарантий безопасности здесь нет и быть не может. Ну чем не конец света?
“Наши современные системы обеспечения безопасности катастрофически не способны удовлетворять своему назначению. Перед нами стоит множество технических проблем, и очень многие из них просто вообще неразрешимы при нынешнем состоянии наших знаний и умений”. Такова позиция президента и главного научного специалиста фирмы Cryptography Research (Сан-Франциско, шт. Калифорния) Пола Кочера.
А вот мнение авторитета в области криптографии Брюса Шнейера: “Будущее Интернет-безопасности не слишком обнадеживает. С каждым годом обстановка только усугубляется. Нам не удается переломить ситуацию в свою пользу. Мы проигрываем эту битву”.
Уж если ведущие специалисты индустрии безопасности поддаются таким настроениям, может ли кто из простых смертных позволить себе хоть маленькую надежду на благополучное развитие электронной торговли?
Если одним словом, то да. Однако сначала придется усвоить, что в сфере безопасности не бывает ничего абсолютно надежного. Невозможно добиться тотальной безопасности, без сомнений и неопределенности. В конце концов, все это верно и в отношении физического мира банков, автомобилей и домов точно так же, как в отношении мира электронного. Все об этом знают, и никому это не мешает класть деньги в банки, водить автомобили и жить в домах, не так ли?
С несовершенством физического мира в смысле безопасности нас примиряют специальные приспособления для снижения рисков - такие, как замки, системы сигнализации, полиция и страховые компании. Благодаря им мы можем чувствовать себя достаточно уверенно в своей повседневной жизни. Того же философского подхода следует придерживаться и в отношении Интернет-безопасности. Специалистам по информационным технологиям необходимо раскрывать своим менеджерам глаза на правду реальности.
Полной безопасности не может быть в принципе, но можно добиться приемлемого для любой коммерческой деятельности в Интернете уровня риска. Во-первых, весь персонал предприятия, от конечных пользователей и специалистов ИТ до главного исполнительного директора, должен осознавать значение и необходимость процедур и стратегий предотвращения возможных нарушений защиты. Каждый пользователь - звено в цепи обеспечения безопасности.
Во-вторых, совершенно необходимо вкладывать время и деньги в надежную инфраструктуру безопасности. Пускай пока мы проигрываем гнусному хакерскому элементу, но каждый день появляются все новые, более совершенные технологии. Необходимо их внедрять.
В-третьих, каждой компании имеет смысл подумать о том, чтобы собственные усилия подкрепить внешними услугами по обеспечению безопасности или администрированию имеющихся средств в этой области.
Специалисты, предоставляющие такие услуги, способны осуществлять непрерывный мониторинг систем клиентов круглые сутки, невзирая на праздники и выходные, и оперативно реагировать на попытки вторжения.
Наконец, есть такая возможность, как страхование различных аспектов функционирования инфраструктуры ИТ. Большинство поставщиков услуг администрируемых систем обеспечения безопасности выполняют оценку вычислительных сетей клиентов на предмет их уязвимости, на основе которой затем может быть составлен договор страхования.
Конечно, даже следуя всем изложенным рекомендациям, вы не получите стопроцентной гарантии от угроз безопасности. Однако стремиться к управлению уровнем риска можно и нужно. А большего вы нигде и не найдете.