КОЛОНКА РЕДАКТОРА

По мере обострения проблем кибербезопасности все громче звучат голоса специалистов в этой области, призывающих правительство вмешаться и помочь обуздать волну вирусов, червей и хакерских атак. Однако общая позиция представителей бизнеса, разработчиков ПО и промышленных групп такова: правительству следует оставаться в стороне от всего этого.

Я уже говорил прежде, что значительную долю вины за нарушения безопасности несут создатели вирусов и хакеры, равно как и софтверные компании, не способные написать надежный код. Но нередко я выражал и свое отрицательное отношение к вмешательству правительства в развитие информационных технологий в любой форме. Поэтому я разделяю мнение, что правительству следует держаться подальше от решения этих проблем.

Не могу сказать, что мне нравится, как именно представители бизнеса и технологических компаний "повышают" безопасность.

Мне нравятся некоторые рекомендации, опубликованные промышленными группами в учебных целях и касающиеся основополагающих вопросов. Таков "Анализ информационной безопасности корпорации для генеральных директоров", подготовленный в TechNet (Corporate Information Security Evaluation for CEOs, www.technet.org/resources/security_evaluation_new.pdf). Но многие компании не только игнорируют стандарты вроде упомянутых, но и своей практической деятельностью фактически подрывают общую безопасность.

Специалисты из этой сферы и представители правоохранительных органов часто жалуются на фирмы, которые страдают от серьезных нарушений безопасности, но помалкивают об этом. Теперь же еще и многие компании электронной коммерции вносят свой вклад в пренебрежение вопросами безопасности. В правила использования своих сайтов они вписывают положение, освобождающее их от какой-либо ответственности в случае, если хакер взломает сайт и выкрадет личные данные (даже если администратор сайта заранее знал о существовании проблем).

Получается, что таким путем компании хотят усилить безопасность без вмешательства правительства?

В ноябре прошлого года я писал о законопроекте, подготовленном конгрессменом Адамом Патнемом (республиканец от шт. Флорида), в котором предусматривались минимальные требования к корпоративной безопасности для компаний, чьи акции котируются на бирже ( www.eweek.com/labslinks). Патнем не внес этот законопроект на рассмотрение конгресса. Многие объясняли это тем, что он поддался давлению со стороны промышленников. Но он не забросил свой законопроект, а, напротив, создал рабочую группу из экспертов в области безопасности и представителей промышленности и поручил ей разработать меры, которые корпорации могут принять для повышения информационной безопасности.

Группа, получившая название "Корпоративная информационная безопасность" (Corporate Information Security Working Group), недавно выпустила предварительный отчет о своих рекомендациях ( www.eweek.com/labslinks). Я согласен не со всеми рекомендациями, но думаю, что этот отчет является важным шагом в осознании необходимости повышать информационную безопасность.

Мне понравились рекомендации, касающиеся создания независимых надежных центров выдачи сертификатов безопасности, а также рекомендация о дополнительных гарантиях со стороны страховщиков для компаний, принимающих меры в целях безопасности на должном уровне. Это поощряет компании, движущиеся в правильном направлении, и затрудняет жизнь тем, кто говорит: "Мы не несем ответственности, даже если мы были беспечны".

Возможно, как раз сейчас вы спрашиваете себя: "Эти рекомендации звучат прекрасно, но что с реальными законами?".

Становится понятно, что на самом деле в новых законах нет необходимости. Оказывается, многие действующие акты, которые регулируют деятельность корпораций, уже обязывают компании заботиться о соблюдении безопасности.

Как это уже было с организациями здравоохранения после принятия HIPAA, сейчас компании начинают понимать, что требования, предъявляемые законом Сербейнса - Оксли, означают необходимость совершенствования инфраструктуры безопасности: плохая организация безопасности легко может привести к нарушению требований закона. А многие компании, сотрудничающие с правительством, понимают, что для продолжения своего бизнеса они должны соответствовать минимальным требованиям безопасности.

Можно надеяться, что компании прислушаются к рекомендациям промышленности и правительства и поймут, что соблюдение минимальных требований безопасности - это не только плата за возможность заниматься бизнесом, но и само по себе хороший бизнес.