Информационная безопасность

Информационная безопасность в организации

Организации собирают, копят и анализируют огромное количество информации. Часть этой информации находится в открытом доступе. Например, телефонный номер, если клиент принял решение разместить его в открытом источнике, не является частной информацией. Каждый может получить ее без особых усилий.

Однако часто субъект информации желает закрыть доступ к ней. Например, лицо может не желать, чтобы стало известно о подаче заявления о банкротстве или о взносе в пользу избирательной кампании определенного политика.

Большая часть информации, однако, в этом смысле публичной не является. Мы можем определить такую информацию как «частную (непубличную)»: информацию о физическом или юридическом лице, которую нельзя законным путем получить из открытых источников. Существуют различные типы частной (непубличной) информации с разным уровнем чувствительности. Например:

  • • информация о личных активах;
  • • факт заражения лица заболеванием, передающимся половым путем;
  • • номер социального страхования;
  • • секретная формула сиропа «Кока-Кола»;
  • • намерение осуществления поглощения компанией;
  • • факт того, что кто-либо является агентом ЦРУ.

Эти и многие другие типы информации характеризуются тем, что все они в той или иной степени защищаются законом от получения их неуполномоченными лицами. Что отличает эти виды информации от информации, которая защиты по закону не получает?

Одной из характеристик является вред, который причиняется или может быть причинен вследствие раскрытия такой информации. Для каждой из таких категорий субъект предпочтет, чтобы данная информация не находилась в открытом доступе. Однако уровень вреда в этих примерах различается: раскрытие информации о личных активах лица может быть смущающей и неудобной, но, возможно, не такой опасной, как раскрытие информации о том, что лицо является агентом ЦРУ.

Другой фактор добавляет весомости. Вред может быть не только следствием раскрытия информации. Закон также учитывает вред, который может быть причинен, если информация не раскрыта. Даже если ущерб от раскрытия информации велик, личная информация подлежит раскрытию в открытых источниках. Например, регистрация лиц, осужденных за сексуальные преступления: несмотря на то что сексуальные преступники предпочитают держать свои прошлые деяния в секрете, в США, например, помещают их имена в специальный открытый реестр.

Решение защищать информацию по закону или, наоборот, разрешать или требовать ее раскрытия имеет как минимум две цели: устранение вреда от раскрытия информации и устранение вреда он нераскрытая таковой. Политика информационной безопасности рассматривает это соотношение в пользу защиты информации, нежели ее раскрытия, проводимого высшими должностными лицами.

С точки зрения закона данные вопросы рассматривались уже давно: какую информацию следует считать конфиденциальной, что можно раскрывать, а что необходимо. Данные вопросы, однако, приобрели существенную важность в последнее время. Причиной тому стал невероятный рост количества информационных хранилищ, поисковых устройств и коммуникативных технологий. Мы живем в век технологий с постоянно снижающейся стоимостью хранения, анализа и поиска информации, и количество доступной информации растет невероятными темпами.

Любой, кто наблюдал за развитием ПК (и большим количеством других устройств), может подтвердить этот факт. Несколько десятилетий назад хранение информации было дорогим и ограниченным; жесткий диск первого персонального компьютера IBM, выпущенного в 1982 г., имел объем в 5 мегабайт (5 млн байтов) и стоил больше 1000 дол. Большие хранилища информации можно было содержать только на громоздких ЭВМ, что было под силу было только крупным компаниям и научным институтам. Сегодня объем информации на обычном ноутбуке или ПК превышает вместимость первых ЭВМ. В 2013 году жесткий диск на 1 терабайт (трлн байтов) подходит настольному компьютеру и стоит меньше сотни долларов. Объем хранилищ коммерческих серверов тем временем измеряется петрабайтами (один квадрильон байтов).

Такой невероятный рост объема памяти (и снижение ее цены) оказал значительное влияние на функционирование предприятий и организаций. Даже маленькие фирмы хранят большое количество информации о своих клиентах и не только. Крупные организации хранят поистине неподъемное количество информации (принимая во внимание тот факт, что такие банки, как JPMorgan Chase, имеют миллионы депозитных клиентов; банки хранят детализированную историю текущих и прошлых сделок по каждому из них). Информация, которую фирма не хранит «внутри», может быть получена другими лицами: обширные базы данных находятся в продаже на многих рынках во многих отраслях.

Феноменальный рост объема хранилищ информации сочетается с небывалой легкостью и быстротой ее передачи. Количество информации, передаваемое через Интернет, и скорость передачи растут с каждым годом. В начале 1990-х гг. единственным доступным подключением к Интернету были диал-ап — технология, которая обеспечивала скорость передачи информации примерно в 1 килобайт в секунду. Скорость диал-ап соединения выросла почти до 50 килобайт в секунду — в 500 раз. С появлением широкополосных каналов скорость передачи увеличилась еще больше; широкополосные каналы в 2000-х гг. достигли скорости в более чем 4 мегабайта (4000 килобайт) в секунду.

Такой поразительный прогресс позволил организациям не только хранить большое количество информации у себя, но и делать информацию доступной для людей во всех уголках планеты (или даже на околоземной орбите). Благодаря такому развитию в 2000-х гг. начинается быстрое развитие технологии «информационного облака» — компьютерной сети, используемой сразу несколькими приложениями и устройствами. Облачные технологии позволяют достичь экономии в масштабе путем размещения на централизованных серверах, предоставляющих приложения из централизованного источника и компьютерные мощности «по требованию» (таким образом, избавляя от необходимости сохранения дополнительной памяти для осуществления операций с информацией по требованию).

Быстрый рост информационных хранилищ, возможностей анализа и коммуникации совершили революцию во многих аспектах повседневной жизни. Но, как и бывает со всеми технологическими новинками, прибыль связана с определенными жертвами. Одной из таких стала угроза частной жизни. Когда информация физически хранилась на бумажных носителях, доступ к ней имели только уполномоченные лица, однако такой доступ был сложен и обременителен. Чего не скажешь про доступ к информации на компьютерах. Если кто-то имеет доступ к файлам на компьютере, он может быстро извлечь большое количество информации, а затем использовать ее в своих целях. Угроза растет, если информация доступна удаленно, поскольку неавторизованным лицам легче проникнуть в хранилища информации или перехватить информацию при отправке. А когда в игру вступают торговцы и третьи лица, риск возрастает еще больше.

Наряду с ростом информационных хранилищ и коммуникаций растут и сопряженные с этим угрозы для компаний. К ним можно отнести:

  • • халатность работника. Современные системы защиты информации крайне сложны и часто подразумевают соответствие целому ряду сложных технических требований. Основной причиной нарушения безопасности является обыкновенная халатность со стороны сотрудников, которые не понимают требуемых процедур и правил безопасности или пренебрегают ими;
  • • системные ошибки. Системы защиты информации периодически дают сбой, даже когда никакой видимой причины для ошибки нет;
  • • вандалы, так называемые хакеры, атакуют системы безопасности организаций не потому, что надеются получить прибыль от своих действий, а просто чтобы бросить вызов, ради удовольствия — пусть и извращенного — причинения вреда другим или по идеологическим причинам, таким как ненависть к банкам и крупным корпорациям;
  • • внутренние враги. У организаций всегда найдутся враги: конкуренты, недовольные работники, неудовлетворенные клиенты. Если эти враги достаточно разозлены (или жадны), им может показаться справедливым и удобным попытаться взломать защитную систему, чтобы получить частную информацию об организации и ее клиентах;
  • • мошенники. За десять лет до 2010 г. количество мошенничеств в Интернете росло скачкообразно. Например, компании и их работники сталкивались с «Нигерийскими письмами» — ассоциируемыми с мошенниками из Нигерии, но не ограничивающими свою деятельность этой страной, в которых вам пишет незнакомый человек и предлагает реалистичную идею для бизнеса — для них она как раз такова. В другом распространенном виде мошенничества задействованы «одинокие сердца», это мошенничество нацелено на одиноких мужчин средних лет, которым красивая иностранка обещает роман или свадьбу при условии, что жертва переведет небольшую сумму, которая помогла бы ей справиться с текущими затруднениями. Мошенники отлично работают в Интернете и обладают неиссякаемым воображением, позволяющим придумать историю, которая не позволит осудить мошенника и вернуть деньги. Мошенники также атакуют учреждения, проверяя на наличие недостатков системы безопасности, которые помогли бы им получить информацию об учреждении и его клиентах;
  • • враждебно настроенные правительства иностранных государств. В наши дни угроза со стороны враждебных иностранных правительств является крупнейшей в области информационной безопасности. В 2013 году бывший председатель комитета начальников штабов описал ситуацию так: «Кибер-безопасность является одной из двух существующих угроз нашей нации; вторя угроза — ядерное оружие, которое, слава Богу, использовали лишь однажды. Но кибер-оружие используется тысячи раз каждый день». Кибер-атаки анонимны и тяжело отслеживаемы;

Для США, например, многие атаки исходят из Китая. Согласно примечательному докладу Mandiant, фирмы-консультанта в сфере кибер-безопасности, вышедшему в апреле 2013 г., они отследили некоторые из этих атак, и это привело их к китайскому военному учреждению, известному как APTI, или «Подразделение 61398». Целью данного учреждения, как оказалось, было перехватывать информацию об американских компаниях. Mandiant заключил, что APTI «украло терабайты информации как минимум у 141 организации из разных сфер промышленности, начиная с 2006 года». Данная деятельность, согласно данным Mandiant, была крайне распространена: Операция имела своей целью десятки организаций одновременно. Как только вторжение было завершено, в течение самой операции можно было «доить» организацию месяцы и годы, получая «копии новых технологий, детали процесса производства, результаты тестов, бизнес-планы, расценки, партнерские соглашения, почту и списки контактов руководства организации-жертвы». Mandiant заключил, что выявленная деятельность лишь малая толика всего шпионажа, который ведется данной организацией.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >