Причины возникновения проблем с ИТ-безопасностью
Для того чтобы понять, с чем связаны и из чего вытекают проблемы безопасности в работе современного предприятия, следует обратиться к рис. 8.1, на котором изображена схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности.
Рис. 8.1. Схема взаимосвязи между нуждами бизнеса, требованиями безопасности и принципами приватности
Очевидно, что нужды бизнеса, безопасности и приватности неизбежно входят в противоречие, ведь в самой природе бизнеса заложена необходимость информационного обмена.
Руководство компании, озабоченное увеличением прибыли компании, вынуждено обеспечивать поставщикам, клиентам и партнерам доступ к корпоративной информации.
Однако корпоративная информация имеет конфиденциальную составляющую, и утечка этой информации, а тем более попадание ее к конкурентам - это потери в бизнесе. Конкуренты всегда будут стараться получать и накапливать информацию о других предприятиях. Очевидно, таким образом, что информация должна передаваться только доверенным лицам, т.е. необходима система авторизации доступа к корпоративной информации - такая, при которой известно, кто получает информацию, и ясно, что получатель информации - именно тот, за кого он себя выдает. В силу необходимости авторизации стали создаваться системы мониторинга действий сотрудников, партнеров и клиентов.
Накапливание информации о партнерах и клиентах позволяет получать о них дополнительную информацию и обеспечивать лучший сервис (а соответственно, и получать большую прибыль). Однако накапливание данных о клиентах и партнерах приводит к нарушению их права приватности. В частности, многие клиенты Интернет-магазинов выражают опасения, что информация о совершенных ими заказах может быть использована третьими лицами. Службы безопасности постоянно вступают в конфликты с сотрудниками и клиентами при внедрении систем управления цифровыми правами, по сути позволяющих шпионить за действиями последних.
Конфликт между работодателем и сотрудником может привести к проблеме так называемых "обиженных сотрудников", которые готовы уйти к конкуренту, что, в свою очередь, может обернуться существенной утечкой информации.
Но проблема не только в подобного рода конфликтах. Например, многие компании пытаются навязать свою рекламу путем использования информационной системы потребителя. И чем больше будет появляться средств массовой рассылки, тем больше будет соблазна у недобросовестных рекламодателей злоупотреблять временем клиента. И наконец, многим свойственно желание просто самоутвердиться за счет разрушения чужой информационной системы, чужого бизнеса, даже если это не сулит прямой прибыли. Яркий пример тому - разного рода вирусы и атаки, которые приносят компаниям миллионные убытки. Как показывает опыт, судебное преследование не истребляет желания хакеров прославиться на ниве создания вирусов. Важно также отметить просто неграмотные действия пользователей в корпоративной сети, в результате которых происходят потери файлов или утечка информации.
Значимость различных проблем ИТ-безопасности
Как показывает статистика, именно ошибки и неграмотные действия персонала (рис. 8.2) становятся причиной наибольших потерь предприятий. Недаром стала расхожей кем-то метко брошенная фраза: "Пользователь еще более непредсказуем, чем хакер".
Рис. 8.2. По данным Computer Security, ошибки персонала составляют более 50% причин потерь на предприятии
Чтобы снизить количество ошибок персонала, необходимо иметь общие представления о безопасных коммуникациях.
Современная сеть - это многокомпонентная структура, включающая рабочие станции, мобильные компьютеры, доступ в Интернет и другие компоненты. Так что универсального решения по обеспечению защиты некой абстрактной организации не существует. Защиту различных компонентов можно строить на разных принципах, и выбор оптимальной стратегии защиты корпоративных данных - задача такая же сложная, как и любая иная задача комплексной информатизации. Сотрудники офиса, не занимающиеся вопросами безопасности профессионально, не обязаны обладать знаниями, достаточными для защиты корпоративной сети, однако должны иметь представление о том, какие системы безопасности применяются, в чем их суть и, главное, как необходимо взаимодействовать с этими системами, чтобы работа в офисе была безопасной.