Сегодня, когда новости полны сообщений о хищениях личных данных, кажется невероятным, что компании до сих пор становятся жертвами этого вида преступлений. Однако по словам д-ра Антона Грешона, специалиста компании «Juniper Networks» по стратегии безопасности по Европе, Ближнему Востоку и Африке, нас не должно это удивлять. Сочетание растущей сложности и динамичности атак и технической сложности многих решений по обеспечению безопасности иногда просто обескураживает. В настоящей статье д-р Грешон подробно рассматривает проблему хищения личных данных и предлагает компаниям пути, с помощью которых можно избежать подобных замешательств.

Последние крупные сбои систем безопасности, такие как случай в Королевской налоговой и таможенной службе Великобритании, сделали опасность хищений личных данных очевидной как для компаний, так и для частных лиц. Только за последний год из государственных учреждений, трастов Государственной службы здравоохранения, банков, страховых и торговых компаний Великобритании было украдено 37 миллионов личных записей. Очевидно, что Великобритания не единственная жертва таких преступлений, и при аналогичных проблемах во всех странах Европы такие сбои систем безопасности, в частности, те, что поначалу кажутся трудно контролируемыми с точки зрения инфраструктуры, должны вызывать серьезную озабоченность. Тем не менее, хотя наибольшее внимание привлекают именно сбои систем безопасности в государственных и общественных учреждениях, нет сомнений в том, что безопасность в целом и защита данных в частности остается нерешенной проблемой коммерческих компаний по всему миру.

Вторые по значимости, после сотрудников компании и наиболее ценными активами организации являются данные. К сожалению, с появлением нелегальных онлайн-аукционов по продаже личной информации, на таких преступлениях можно очень хорошо заработать. Поэтому мы все постоянно находимся под угрозой со стороны мошенников.

Несанкционированный доступ

Любая личная информация, такая как данные для входа в сеть, а также имена и личные данные сотрудников, может позволить осуществить несанкционированный доступ в сеть и открыть перед мошенником двери к любой информации. Эти данные можно продать победителю Интернет-аукциона или использовать непосредственно для получения доступа к важной финансовой информации компании, промышленным базам данных или базам данных клиентов. Вот здесь-то и наносится наибольший ущерб. Сейчас, когда атаки на самые разные компании различной величины стали обычным делом, необходимо внедрять надлежащие меры по предотвращению таких атак.

По мере развития методов атак хищение личных данных становится все более серьезной проблемой для законодателей. Сегодняшние кибер-преступники стали очень умными. Сетевые атаки по принципу «громи и хватай» неизбежно привлекут внимание отдела ИТ и незамедлительно будут блокированы. Гораздо лучше незаметно войти в сеть, собрать ценную финансовую информацию и данные клиентов и скрыться до того, как компания догадается об атаке.

А как легче всего пробраться в сеть? Через сотрудника. Когда ваши сотрудники загружают из Интернета несанкционированную программу, отвечают на электронное письмо с казалось бы обоснованным запросом на выдачу пароля для входа в сеть или просто без должного внимания относятся к такой информации, все это может представлять значительный риск для вашей компании и них самих.

Возьмем, к примеру, недавний случай в Королевской налоговой и таможенной службе Великобритании. Пропали 25 миллионов записей, причем не в результате умышленной атаки, а просто по ошибке: младший сотрудник отослал курьером незащищенный диск, содержащий имена, адреса и банковские реквизиты миллионов британских семей. Этот диск и последующая замена были потеряны при транспортировке, что вызвало шумиху в средствах массовой информации и вынудило более одного миллиона человек сменить пароли от банковских счетов и PIN-коды.

Этот случай выявил недостаток политики безопасности в месте взаимодействия инфраструктуры обработки информации и службы физической передачи данных. В этом контексте следует отметить, что на дисках содержалась и, соответственно, была утрачена вся группа записей (помните, 25 миллионов), поскольку система была неспособна выделить подгруппу данных, которые было необходимо передать. Другими словами, более совершенная политика безопасности позволила бы выбрать только те записи, которые необходимо было извлечь из базы данных и перенести. Таким образом, в случае утраты данных с этой проблемой было бы легче справится, поскольку на дисках не находилась бы информация о многих миллионах людей.

Чтобы подчеркнуть масштаб этой проблемы, отметим, что большинство предприятий сейчас имеют регуляторы, такие, например, как британский Закон о защите данных, требующий, чтобы компании следовали определенным стандартам в области защиты и целостности обработки данных. Неправильное их понимание может привести к печальным последствиям, таким как, утрата репутации и гнев клиентов. В декабре 2007 года страховая фирма «Norwich Union» была обязана выплатить рекордный штраф в размере 1,26 миллиона фунтов стерлингов за сбои в своих телефонных информационных центрах, позволившие мошенникам получить доступ к данным держателей полисов, тем самым подвергая финансовому риску почти семь миллионов клиентов компании.

Конечно, настоящий ущерб от хищения личных данных нельзя измерить обычной стоимостью, хотя, по некоторым оценкам, ущерб от таких преступлений в одной только Великобритании ежегодно составляет 1,7 миллиарда фунтов стерлингов. При таких расчетах следует также учитывать ущерб, наносимый репутации компаний, который сложнее оценить, но который может превратить успешную компанию в банкрота.

При таком большом количестве факторов, которые необходимо учитывать, что же делать компаниям, чтобы защитить себя, своих сотрудников и клиентов? И могут ли компании быть уверены в том, что их инвестиции в инфраструктуру в целях обеспечения полной защиты сети также позволят повысить производительность и эффективность их работы?

Полиция по политике

Эффективная защита «стыков» в сетях является ключевым фактором, и в этом контексте крайне важно внедрять политику, которая освобождала бы сотрудников от обязанности определять, чему «доверять», а чему нет. Контроль доступа может стать хорошим началом, а решение, построенное на основе политики безопасности, способно дать нужный нам ответ.

Необходимость такого решения подчеркивает широкое распространение в современных офисах так называемых коммуникационных приложений, таких как программы мгновенного обмена сообщениями (IM), Web 2.0 и протоколы одноранговой передачи данных (P2P). И хотя системы мгновенного обмена сообщениями трудно контролировать и отслеживать, простая блокировка доступа сотрудников к ним – это игнорирование очевидных преимуществ таких «технологий присутствия» для производительности труда. Приемлемым компромиссом может стать внедрение системы защиты данных на основе политики безопасности – обучение сотрудников избегать ошибок вследствие человеческого фактора, при этом давая владельцу компании средства контроля, которые позволяли бы принудительно реализовывать принятую политику безопасности в корпоративной сети.

Вот почему развертывание единого решения по контролю доступа, позволяющего осуществлять модульный контроль конечных пользователей и контроль на основе идентификации (лица, пытающегося войти в сеть, и целостности используемого им устройства), а также интеграция с межсетевым экраном, устройствами виртуальных частных сетей, коммутаторами и точками доступа таким образом, чтобы они действовали как точки реализации решений в рамках политики безопасности, – это идеальная стратегия.

Кроме того, компании должны иметь способ идентификации сетевых приложений (например, приложений по управлению взаимодействием с клиентами/CRM) и лиц, пытающихся осуществить доступ к ним. Это означает более плотное внимание за вызовами осуществляемыми с использованием протокола VoIP (Voice over IP) и трафиком мгновенного обмена сообщениями, мониторинг активности пользователей в сети и проверка личности перед предоставлением доступа. Усовершенствованные процедуры идентификации позволят компаниям не только лучше контролировать такие приложения, но и налагать на них соответствующие уровни безопасности и качества услуг вместо того, чтобы просто создавать отдельный открытый канал для такого приложения, создавая тем самым потенциальную уязвимость.

Все это в сочетании со шлюзом безопасности на уровне приложений, действующим как решето, пропускающее санкционированный трафик и блокирующее неразрешенный, позволит обеспечить безопасность конвергентных сетей. Тем не менее, предприятиям также не следует забывать о важности шифрования передаваемых данных. Это означает, что данные зашифровываются, так что если их перехватят, они не будут представлять никакой ценности для неавторизованного пользователя.

Компании обязаны защищать своих сотрудников и клиентов путем обеспечения закрытия как можно большего числа уязвимостей. Политика безопасности может быть эффективна лишь в том случае, если она неукоснительно выполняется во всей организации и поддерживается соответствующим уровнем технологии, позволяющей минимизировать риск и возможные последствия «человеческого фактора».

Такие предупредительные меры позволять организациям стать высокоэффективными компаниями, устранив фактор страха и расширив преимущества, получаемые компанией от новых коммуникационных технологий. Тем не менее, для достижения этого требуется обеспечить, чтобы политика безопасности компании не влияла на пропускную способность сети, скорость работы приложений и производительность труда сотрудников компании. Вот почему крайне важно внимательно выбирать решение и его поставщика, чтобы избежать возможных ослаблений системы безопасности компании.

Эффективнее безопасность – эффективнее бизнес

Нет сомнений в том, что сетевые атаки становятся все более частыми и изощренными, и борьба с такими угрозами может казаться сложным бизнесом. Тем не менее, тяжелые последствия бездействия совершенно исключают возможность отказа от такой борьбы. Хорошие решения в области информационной безопасности , то есть решения, которые, несмотря на всю их техническую сложность, легко внедрять и использовать, и которые дают реальные преимущества – существуют, и компаниям следует их использовать.

Например, развертывание решения по единому контролю доступа означает, что компания может стать более эффективной и открытой в сфере коммерческой информации, при этом защищая передаваемые по сети данные от внутренних и внешних атак.

Высокопроизводительные сети позволяют добиваться строгой совместимости, а четкая политика безопасности позволяет сотрудникам концентрироваться на своей работе, а не на дополнительных обязанностях по защите от сетевых мошенников. Когда организация дойдет до этого этапа, её бизнес будет идти быстрее и безопаснее, и компания приблизится к статусу действительно компании использующей высокопроизводительные коммуникации.

Д-р Антон Грешон, специалист компании «Juniper Networks» по стратегии безопасности.

Источник: "Информационный портал Сайберсекьюрити Ру".