Уроки Wikileaks

Уроки Wikileaks

Несмотря на шум, поднятый средствами массовой информации вокруг очередной масштабной публикации секретных данных на ресурсе Wikileaks, практически никто не задумывается или, во всяком случае, не говорит публично о том, что сайт Джулиана Эссенджа - это лишь своеобразный симптом, индикатор определенного неблагополучия в сфере информационной безопасности, и вместо того, чтобы бороться со следствием, неплохо было бы поискать и причину. Попытку изыскания и рассмотрения последней предпринял аналитик Джек Голд, краткую статью которого публикует Интернет-издание eWeek.

История с Wikileaks, по мнению специалиста, наглядно демонстрирует, что сотрудники правительственных органов Соединенных Штатов либо несерьезно относятся к вопросам защиты информации, либо попросту некомпетентны в этой сфере, что еще хуже. Очевидно, что никто не изобретал принципиально новой схемы хищения данных, к которой эксперты могли бы быть не готовы; компании различного уровня годами борются с подобными утечками информации.

Г-н Голд отмечает: происшествие в первую очередь свидетельствует о том, что государственные ведомства США сочли возможным проигнорировать как сами риски утечек, так и факт существования множества программно-аппаратных комплексов защиты конфиденциальных и секретных сведений. Решения, позволяющие отслеживать доступ сотрудников к документам, задавать разрешения или запреты на те или иные операции с ними и предотвращать тем самым утечки информации, предлагаются многими поставщиками - McAfee, Symantec, RSA, Oracle, IBM, SAP.

Кроме того, события вокруг Wikileaks вновь напоминают об одной из главных проблем безопасности данных, серьезность которой доводится ощущать не только правительственным учреждениям, но и предприятиям различного уровня. Формулировка этой проблемы в последнее время приобретает характер аксиомы: наибольшая угроза утраты или раскрытия конфиденциальных либо секретных сведений исходит не от внешних взломщиков, шпионов и прочих злоумышленников, но от собственных сотрудников организации. Доминирование инсайдерской угрозы лишь подтверждается тем фактом, что в извлечении информации и ее передаче редакторам Wikileaks подозревается один-единственный аналитик армейской разведки, который смог получить доступ к миллионам файлов и скопировать их на внешние носители информации.

Эксперт пишет, что политика безопасности тайных сведений на предприятиях, несмотря на все рекомендации, нормативные акты и правила, тоже организована довольно посредственно, если не сказать - плохо. Руководство компаний нередко пренебрегает необходимостью внедрения систем управления доступом и предотвращения утечек информации. В силу этого г-н Голд дает организациям несколько советов, как не стать новой жертвой Wikileaks.

"Главный урок, который компании следует усвоить благодаря Wikileaks, можно кратко изложить фразой: "доверяйте своим сотрудникам, но и проверяйте их". Следите за тем, чтобы они не вели 'подрывную' работу и не занимались неподобающими делами, которые могут нанести вам ущерб. У каждого работника есть свой круг обязанностей и привилегий, пределы которого он не должен покидать. Большинство ваших сотрудников, конечно, будут соблюдать корпоративную этику, уважать секретность важных данных, и в силу этого они не станут заниматься воровством тайных сведений с целью их последующей передачи посторонним лицам; но, как правило, в любом коллективе может найтись человек, который по тем или иным причинам забудет и о моральной, и о законодательной ответственности за подобные действия", - говорится в статье аналитика. - "Именно таким людям вы и должны противодействовать; от злонамеренных или ошибочных действий персонала никто не может быть полностью защищен".

Г-н Голд предлагает руководителям компаний всех уровней для начала задаться следующими вопросами:

1) Имеются ли на предприятии документы, в письменном виде закрепляющие нормы и правила политики безопасности в области обработки и хранения конфиденциальной информации, и доведено ли их содержание до сведения персонала? Если нет, то - почему?
2) Организован ли ограниченный доступ к важным данным, в том числе тем, что хранятся в электронном виде?
3) Установлены ли автоматические системы отслеживания доступа к документам?
4) Используются ли средства криптографической защиты информации?
5) Известно ли сотрудникам предприятия об ответственности за несанкционированный просмотр или копирование конфиденциальных данных?

Все это - лишь основные элементы плана организации защиты важных сведений. Подобный план должен быть у каждой компании, которая работает с персональными данными или владеет информацией, составляющей коммерческую тайну.

В заключение г-н Голд отмечает, что, в то время как многие предприятия довольно хорошо и успешно защищаются от внешних угроз, риску инсайдерской активности сотрудников уделяется гораздо меньше внимания. Именно в этом - в указании на необходимость более деятельной и эффективной борьбы с внутренними угрозами - и состоит, по мнению аналитика, основной урок Wikileaks. Выражаясь фигурально, если вы до сих пор не внедрили у себя систему защиты от утечек информации, тогда Джулиан Эссендж уже идет к вам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru