Я также обсудила с руководителем отдела аудита важный вопрос подбора в группу обеспечения сотрудников, которым можно было бы доверять, подчеркнув необходимость тщательной проверки персонала обеспечения безопасности перед их приемом на работу. Я объяснила, что необходимо наличие правильных инструкций для группы обеспечения безопасности. То, что они являются самыми квалифицированными специалистами, вовсе не означает, что им позволено «бродить» по любой из систем без должного уведомления. Так как в нашем случае подозревается их сотрудник, то было бы полезным выработать процедуру передачи расследований в отношении группы безопасности вышестоящему руководству. Такую непредвиденную ситуацию нужно отразить в разделе конфликтов интересов инструкции по реагированию на инцидент.

Эти два вторжения заставили нескольких сотрудников банка потратить много рабочего времени на расследование проблемы хакера, вместо того чтобы заниматься своей работой. Дэйв взял решение проблемы на себя и принял ряд решений, которые поставили под угрозу сеть с ее системами и информацией. Он также решил, что имеет дело с Майком из группы безопасности, не имея для такого обвинения должных оснований.

И хотя мы никогда не узнаем, прав Дэйв или нет, обвиняя Майка, все же он правильно думал, что хакеры могут прийти в сеть изнутри так же, как и снаружи. Как ясно видно на рисунке 1.1, внутренние хакеры представляют собой серьезную угрозу. Но одно дело знать, что внутренние хакеры являются угрозой, и совсем другое — делать с этим что-то. Для защиты ваших данных нужны политика безопасности, процедуры и обучение. Для многих руководителей идея защиты информации от своих же сотрудников выглядит нелепой. Им следовало бы взглянуть на единицы и нули, составляющие эту информацию, как на реальные деньги. У банков не возникает сомнений о надлежащем контроле над денежными хранилищами. Например, никто не оставит сейф широко открытым, так чтобы любой работник банка или зашедший посетитель мог забраться в него и взять деньги. Когда информация будет считаться столь же ценной, как и деньги, контроль над ее безопасностью станет требованием, а не поводом к раздумьям.

На этот раз банку First Fidelity повезло. С неограниченным доступом к сети в течение трех дней хакер мог бы уничтожить информацию, вывести из строя системы или даже изменить настройки аппаратуры. В негодность пришла бы вся сеть или часть ее. Системные администраторы работали бы днями и неделями, запуская вновь системы, при условии, что сохранились текущие резервные копии.

Хакер способен очень быстро заметать свои следы, делая очень трудным и слишком часто невозможным отслеживание пути к исходным точкам атаки. Если не принять незамедлительных мер, то можно даже не узнать, была ли информация украдена, изменена или уничтожена. Только по этой причине каждый, кто владеет компьютерной сетью и обслуживает ее, должен разработать ясные и конкретные процедуры по реагированию на подобные инциденты.

Сохранив свою конфиденциальную информацию, в First Fidelity вздохнули с облегчением. Но, разумеется, полагаться на счастливый случай в деле защиты информации не принято. И вот что они должны были бы сделать вместо этого.

Зная теперь об альтернативных решениях, вы, возможно, удивляетесь, почему в First Fidelity использовалась столь уязвимая конфигурация. Так зачем подвергать и вашу информацию такому риску? Возможен уверенный ответ: «А почему бы и нет?» В конце концов, ведь хакер вторгся не в вашу систему. Поразительно, но во многих компаниях думают именно так.

Во многих компаниях взлом компьютеров считают игрой в лотерею. Они уверены в своем иммунитете от вторжения хакера и пренебрегают даже основными мерами предосторожности. Это никогда не может с ними произойти, поэтому они не тратятся на безопасность. Они не предусматривают процедур реагирования на инцидент, и их сотрудники не имеют навыков такого реагирования.

Как это ни просто звучит, но самое главное в предотвращении взлома — это осознать, что он может случиться у вас! Для его предотвращения используйте самый эффективный инструмент защиты — обучение. Обучайте каждого! От руководителя самого высокого уровня до самого последнего оператора по вводу данных — все должны знать, как защищать информацию от кражи, изменения и уничтожения неавторизованными пользователями. Ведь хакер-злоумышленник, получивший слишком широкий доступ, может всех лишить работы!