Статья только в электронной версии журнала
НАЧИСТОТУ
От производителей требуется большее, чтобы держать злоумышленников под контролем
"В безопасности нет абсолютов". Эти разумные слова принадлежат Дарвину Джону, ныне стратегическому советнику Blackwell Consulting Services, а в прошлом руководителю ИТ-служб ФБР. Недавно он выступал на организованной eWeek встрече Security Summit, где и адресовал свой тезис руководителям корпораций, подчас рассматривающим решения в области безопасности как некий абсолют. Для присутствовавших там менеджеров по технологиям эта мысль не нова, но проблема баланса между заботами о безопасности и потребностью в открытых бизнес-операциях с использованием Интернета с каждым годом становится сложнее.
Эрик Ландквист
Когда я спросил участников встречи, сужается ли разрыв в гонке преследования между ИТ и теми, кто покушается на компьютерную безопасность, как это было в прошлом году, они выразили общее мнение, что в самой гонке сохраняется равновесие, но ее темпы значительно возросли. Однако Ричард Кларк, шеф по кибербезопасности в трех прежних президентских администрациях, а ныне центральная фигура в политических дебатах о терроризме, отдал в своем выступлении (я о нем еще скажу ниже) пальму первенства силам зла. И недавние события подкрепляют мнение Кларка.
Через несколько дней после этой встречи Cisco попала в серьезную неприятность, связанную с посягательством на ее фамильные драгоценности. Хотя официальные лица фирмы хранят молчание, похоже, что некто или некая группа нашли способ украсть порядочную порцию исходного кода ее IOS (Internetwork Operating System). Мотивы похитителей не ясны, однако IOS является фундаментом работы многочисленных сетевых устройств Cisco. Для компании, использующей сетевую безопасность как главный элемент своего маркетинга, эта кража - весьма досадное происшествие.
Я согласен с Кларком в том, что на нынешнем этапе гонки за кибербезопасность лидируют злоумышленники. |
В eWeek уже указывалось, что угрозы безопасности все чаще возникают со стороны организованной преступности, а не из-за беспорядочных, нецеленаправленных действий компьютерных хакеров. Как отмечал Джон из Blackwell, ИТ-руководители компаний больше всего боятся такого вторжения, о котором у них никто не будет знать. По словам Кларка, компаниям нужно заниматься как безопасностью в целом, так и ее элементами, иначе они рискуют оказаться в неведении, когда проблема будет разрастаться. Cisco явно ничего не подозревала о случившемся, пока не начала получать сигналы из средств массовой информации.
В мире информационной безопасности дела не улучшаются, а, напротив, становятся хуже, сказал Кларк на встрече. Признаками ухудшающегося состояния, по его мнению, являются увеличивающееся количество уязвимостей и технологий их использования, возрастающие скорости, с которыми эти технологии опоясывают земной шар, и все большая изощренность киберпреступников.
В качестве мер реагирования на нынешнюю ситуацию с безопасностью Кларк назвал ряд инициатив, которые следует предпринять правительству и частному бизнесу: увеличить госфинансирование безопасности на уровне исследований и разработок; пересмотреть законы с целью полного охвата киберпреступности; расширять возможности широкополосного доступа и, что особенно важно, заботиться о его защите; использовать бюджеты государственных организаций для закупок криптотехнологий и ПО, удовлетворяющих стандартам в этой области.
Частный же сектор по мысли Кларка должен относиться к безопасности ПО как неотъемлемому критерию оценки продуктов и рассматривать различные уровни аутентификации как обязательный элемент среды э-коммерции. При этом нужно, чтобы он играл не пассивную, а активную роль в поддержке рациональных многосторонних программ по кибербезопасности, предлагаемых властями местного, регионального и федерального уровня. В каждой компании, считает Кларк, надо назначить конкретное лицо, отвечающее за кибербезопасность.
Проведя целый день на секционных заседаниях и в беседах с участниками встречи, я стал сторонником позиции Кларка, заявившего, что на нынешнем этапе гонки за кибербезопасность лидируют злоумышленники. Умножение числа беспроводных сетей, карманных устройств и высокоскоростных подключений опережает возможности производителей по исправлению и обновлению систем, которые никогда не предназначались для столь широкомасштабного сервиса и общемирового доступа. В запросах пользователей простота доступа по-прежнему превалирует над безопасностью, а производители воздерживаются от установки в свои продукты минимально необходимой двухуровневой аутентификации, боясь уступить свой бизнес конкурентам. Новые волны технологий, например голос поверх IP и цифровая маркировка товаров, предвещают продолжение этой экспансии, и соображения безопасности опять будут плестись в хвосте. Но обнадеживает тот факт, что компании выделяют бюджетные средства и персонал для обеспечения кибербезопасности. Все же я надеюсь, что надлежащее финансирование и распределение ресурсов к следующему году смогут вернуть гонке прежний статус равенства сил.