ПРОРОЧЕСТВА
Как ни прискорбно, но, вероятно, пройдут еще годы, пока все более частые и крупномасштабные кражи персональных данных и все более серьезные бреши в безопасности побудят широкую ИТ-общественность к тем практическим действиям, которые надо предпринимать уже сейчас. Что еще можно сказать на этот счет ввиду явного публичного безразличия к растущему перечню обоснованных рекомендаций по вопросам обеспечения кибербезопасности?
В апреле организация National Cyber Security Partnership (NCSP) опубликовала ряд отчетов, описывающих необходимые меры по защите персональных тайн и прав собственности пользователей Интернета. Создание этого объединения "с целью разработки совместных стратегий и программ для усиления надежности и безопасности критической информационной инфраструктуры Америки" стало реакцией на сформулированную Белым домом Национальную стратегию безопасности киберпространства.
Похвальные усилия организации рискуют разделить судьбу отчетов бесчисленных комитетов и рабочих групп и свестись к накоплению бумажной пыли. При всей разумности ее предложений они еще нуждаются в широком признании и практической реализации, даже на уровне Министерства национальной безопасности.
В одном из важнейших отчетов, опубликованных NCSP, говорится об учреждении строгих норм кибербезопасности в рамках корпоративного управления. "Принятие рациональных мер по защите ИС - должностная обязанность верхнего эшелона управленцев организаций", - отметил в комментирующем отчет заявлении Арт Ковьелло, президент и исполнительный директор RSA Security и сопредседатель рабочей группы Corporate Governance Task Force.
Многие круги, которые должны были поддержать программу, отмалчиваются. |
Однако многие круги, которые должны бы поддержать такую программу, пока отмалчиваются. Это в первую очередь подкомитет по технологической и информационной политике, который возглавляет конгрессмен от штата Флорида Адам Путнам в Палате представителей. Он грозился провести законопроект под названием Corporate Information Security Accountability Act (Закон о корпоративной ответственности в сфере информационной безопасности), требующий от компаний, чьи акции обращаются на открытом рынке, разрабатывать планы в области обеспечения информационной безопасности и публично отчитываться о них. Уже обремененные нормами действующих законов, от HIPAA до Sarbanes-Oxley, корпорации едва ли заинтересованы в соблюдении дополнительных правил. Однако именно это, причем вполне заслуженно, может их ожидать в будущем - если они не предпримут должных усилий по собственной инициативе.
У некоторых корпоративных юристов есть опасения, что если обязательства по информационной безопасности станут частью процедур управления бизнесом, то провалы в этой сфере будут трактоваться как халатность. Однако эти мелкие неприятности несравнимы с ущербом для страны в случае, если компании, составляющие каркас национальной экономики, окажутся парализованными в результате скоординированных атак на ИС.
Вместе с тем существуют эффективные средства обороны. Одно из них -DomainKeys, система аутентификации электронной почты для противодействия "фишингу" (выведывание личных паролей путем заманивания клиентов известных компаний на поддельные сайты). Разработанная Yahoo и находящаяся на рассмотрении как будущий стандарт в Internet Engineering Task Force система DomainKeys реализована в последних версиях программы MTA (mail transfer agent) фирмы Sendmail и к концу года будет встроена в Web-почту Yahoo Mail.
Компании и правительство должны одолеть зло, не менее пагубное, чем киберпреступления, - безразличие и отрицание - и взяться за обеспечение безопасности своих ИТ-инфраструктур.
Нас интересует ваше мнение. Присылайте комментарии по адресу: eweek@ziffdavis.com.