Вообразите себе мир, в котором почти все, что вы делаете в Internet, санкционируется некой программой проверки биологических параметров. При любой электронной покупке, при подписании по электронной почте любого контракта, вообще при каждом выходе на информационную супермагистраль подтверждение вашей личности будет давать устройство, анализирующее отпечатки ваших пальцев, голос или портрет сетчатки, либо устройство, задающее вопросы, правильно ответить на которые можете только вы. Тем самым будет абсолютно точно удостоверено, что вы - это вы.

“Это мой журавль в небе”, - сказал Алан Фридман, вице-президент по технологии и стратегическому планированию компании Bankers Trust (Нью-Йорк).

Бизнес в Internet - оружие обоюдоострое.

Следует планировать затраты на риск

 

А пока такой день еще не настал (придет, возможно, через тысячу лет), занятие коммерцией по Internet - дело рискованное. Даже самые сведущие в области защиты компании должны остерегаться. Иначе корпорация Citicorp не потеряла бы $400 000 и не должна была бы возвращать нелегальных переводов на 12 млн. долларов, когда ее компьютерную сеть взломали сорок раз за пять месяцев. А корпорации Netscape Communications, лидеру в вопросах безопасности в Internet, не пришлось бы в пожарном порядке рассылать исправление к своему широко применяемому браузеру (программе просмотра) Navigator после того, как два студента нашли брешь в системе его защиты.

 

БЕЗГРАНИЧНЫЕ ВОЗМОЖНОСТИ

 

Ни одна корпорация не может считать себя в безопасности. В 1994 году знаменитая “команда скорой помощи” (CERT - Computer Emergency Response Team) университета Carnegie Mellon University получила 29 850 электронных писем и 3 664 вызова по горячей линии с сообщениями об инцидентах с защитой данных или с запросами информации по подобным вопросам. Работники этой команды имели дело с 2 241 случаем нарушения защиты, затронувшим 40 241 установку.

 

Да, конечно, согласно утверждениям консультантов по вопросам безопасности и отвечающих за безопасность менеджеров отделов информационных технологий (ИТ), имеется немного компаний, принимающих все необходимые меры предосторожности против вторжения в их сеть посторонних лиц. Многим из них не удается создать адекватную систему безопасности или выполнить процедуры оценки риска. Один стратег ИТ, использующий Internet для доставки своих услуг потребителю, просто рассмеялся, когда его спросили, приняты ли у них в фирме правила безопасности. “Мы - маленькая фирма”, - сказал этот пользователь, просивший его не называть. - У нас на это нет ни времени, ни ресурсов”.

 

Тем не менее специалисты по безопасности утверждают, что произвести подробную оценку риска и выработать соответствующие правила безопасности, необходимо для компаний независимо от их вида и размера. “Для любого узла самое важное - затратить время и выделить ресурсы на внедрение правил безопасности”, - таково мнение Мишеля Крэбба, аналитика по компьютерной безопасности в фирме Sterling Software, которая в настоящее время помогает в вопросах безопасности National Aeronautical and Space Administration в Ames Research Center (Сан-Хосе, шт. Калифорния).

По мнению Крэбба, стратегия безопасности должна включать в себя обзор принципов безопасности, которых придерживается компания, установление набора приемлемых правил для пользователей, определение прав и ответственности пользователей и системных администраторов, схему выдачи разрешений на доступ, в том числе и для лиц, имеющих полный доступ и право предоставления и утверждения доступа другим. Должны быть также учтены предложения, отвечающие специфике хранимой в системе информации.

 

РОЛЕВАЯ МОДЕЛЬ

 

В области безопасности компьютеров и сетей корпорация Mobil (Фэрфакс, шт. Виргиния) соблюдает все правила. У этой нефтяной компании более шести тысяч из ее пятидесяти тысяч служащих имеют доступ в Internet для пользования электронной почтой, передачи файлов (FTP) и просмотра World-Wide Web. Корпорация Mobil также общается со своими клиентами через узел World-Wide Web (http://www.mobil. com), который содержит приложения для работы с кредитными карточками, руководство Mobil Travel Guide и литературу о дебетовых картах с предоплатой Mobil Go. Вскоре ожидается поддержка узлом World-Wide Web транзакций с кредитной картой прямых продаж товаров Mobil для автомобильных гонок.

 

Но гораздо раньше, чем корпорация Mobil стала таким передовым узлом World-Wide Web, менеджеры информационного отдела в соответствии с указаниями Билла Фесслера, менеджера корпорации Mobil, разработали и опубликовали четырехстраничный документ по планированию телекоммуникаций и работы хост-компьютеров. В этом документе, который можно получить в распечатанном виде или прочесть с сервера World-Wide Web компании, обсуждаются различные вопросы, в том числе: конфиденциальность внутренней информации Mobil, отличия Internet от собственной глобальной сети TCP/IP корпорации MoNet, практические правила проверки на вирусы прочитанных с Internet файлов, система защиты и ее возможности, а также важность работы с программным обеспечением, поддерживаемым информационным отделом корпорации.

 

СНАЧАЛА ПОДУМАЙ, ПОТОМ ПОКУПАЙ

 

По мнению экспертов, Mobil представляет собой счастливое исключение из общего правила. Эта нефтяная компания разработала и довела до своих сотрудников руководство по правилам и процедурам безопасности, внедрила систему защиты между своими внутренними сетями и Internet, а также применила шифрование для дополнительной страховки.

 

Алан Брилл, распорядительный директор консультативной фирмы по вопросам безопасности Kroll Associates (Нью-Йорк), считает: “Компании либо не делают для безопасности ничего, либо становятся ее ревнителями, а нужна как раз золотая середина. Люди набрасываются на аппаратное и программное обеспечение, не задумываясь, а могли бы, потратив время на размышления, избежать лишних затрат.

 

Однако некоторым корпорациям легче так сказать, чем сделать. Использование Internet и проблемы безопасности - это классический вопрос о курице и яйце.

 

Например, Брюс Бонзелл, заместитель директора по защите информации в страховой компании Massachusetts Mutual Life Insurance (Спрингфилд, шт. Массачусетс), заявил: “Мы в своей работе руководствуемся потребностями наших бизнес-направлений, поскольку наши действия диктуются требованиями бизнеса. На защитную систему мы в смете отвели предположительную цифру $50 000. На самом деле может выйти больше или меньше, но нам нужна защита с максимальными возможностями, поскольку мы не знаем, каковы окажутся наши требования”.

 

Тем не менее, как считают консультанты, корпорации могли бы строить политику безопасности на основании некоторых ожиданий. Джоел Мелофф, президент компании The Maloff (Декстер, шт. Мичиган), сказал: “Сначала подумайте, что вы собираетесь защищать. Если у вас есть только электронная почта, вы вряд ли захотите тратить $30 000 в год на ее защиту. А вот на защиту платежной ведомости компании таких денег не жалко”. Далее следует определить, от кого надо защищать информацию. Попытки взлома извне, по утверждению экспертов, довольно редки, а большую часть проблем создают свои же сотрудники - случайно или злонамеренно.

 

И наконец, когда компания закончила оценку риска и анализ соотношения затрат и преимуществ, можно определить соответствующие средства. Мелофф предлагает посылать запрос о предложениях поставщиков, чтобы просмотреть все доступные технологии.

 

“Безопасность стоит денег, - заявил Фридман, - но затраты оправданны стоимостью той информации, которую вы защищаете”.

 

(См. также статью NCSA: Средства разведки на Internet)

        

Энн Ноулс, независимый автор, живет в Бруклине (шт. Массачусетс). Ее адрес электронной почты: anne@knowles.com.

ЭНН НОУЛС