журнале мы регулярно обращаемся к теме защиты информации, но на сей раз задались риторическим, как оказалось, вопросом: наполовину полон или наполовину пуст современный пул решений в данной области?
Материалы этого номера позволят читателям составить представление об актуальном балансе решений в сфере обеспечения безопасности. Здесь собраны как статьи по технологическим новинкам в области информационной защиты, так и материалы с изложением концептуальных взглядов на проблемы надежной информационной поддержки бизнеса. Имеются статьи по узкоспециализированным вопросам, например по квантовой криптографии. Не осталась без внимания и более общая тематика, например методики создания надежных программ и механизмы организации безопасного аутсорсинга. Безусловно, были охвачены и практические аспекты работы с конкретными решениями.
Как уже неоднократно говорилось на страницах нашего журнала, построить абсолютно надежную систему безопасности в условиях ограниченных ресурсов невозможно. Кроме того, до сих пор остается открытым вопрос о том, кто конкретно должен отвечать за информационную безопасность предприятия. Методы и технологии (зачастую весьма дорогостоящие), используемые для организации информационной обороны компании, весьма статичны. Не учитываются связи между системами и их изменения — нельзя, например, оперативно автоматически перестроить систему безопасности для противодействия зарождающимся угрозам. Технология Web-сервисов стала первым шагом в направлении учета динамических связей, но в области информационной безопасности она еще не нашла своего применения, и, как следствие, бизнес получает запоздалую реакцию на уже совершенную атаку.
При построении современных сложных систем, в том числе отвечающих за безопасность бизнеса, не следует стремиться к детальному описанию порядка действий каждого их компонента — достаточно лишь задать общее направление с помощью политики защиты. Задумавшись над тем, что первично — идея или практика, установка программы нейтрализации конкретного вируса или мониторинг текущего состояния Сети для выявления векторов активности злоумышленников, — ряд ведущих ИТ-производителей пошли по пути создания альянсов. Это позволяет создавать конфигурации, превентивно реагирующие на возникновение угроз и оперативно меняющие конфигурацию компьютерного ландшафта предприятия.
Борьба с вирусами, шпионскими программами, действиями хакеров — все это, безусловно, важно. Даже в России, по данным IDC, объем рынка услуг, нацеленных на обеспечение безопасности, составит к 2008 году 160 млн. долл. В мире растет число интегрированных решений, позволяющих бороться со многими видами угроз, а современные операционные системы снабжаются все более изощренными встроенными системами защиты. Однако имеется весомый аргумент против затыкания дыр в области информационной безопасности с помощью чисто технологических средств. Увлеченность технологиями может довести до абсурда: например, при наличии строгого биометрического контроля при входе сотрудников компании в офис им предоставляется открытый доступ в Сеть.
Имеется еще и «зверь» по имени «социальная инженерия», способный обойти технологические барьеры на основе простого принципа «пока живут на свете дураки, будут процветать ИТ-злоумышленники». Действительно, огромные средства, потраченные на обеспечение ИТ-безопасности, могут оказаться выброшенными на ветер при использовании социальными инженерами нехитрых способов выманивания паролей и стратегической информации. «Мягкие» методы общения с пользователем вполне способны сломать хитроумную жесткую защиту на основе новейших технологий. «Социальные инженеры», которые вооружены, например, результатами информационной бизнес-разведки, в состоянии «вскрыть человеческий сетевой экран», основываясь на доверчивости потребителей, незнании администраторами реальной ценности тех или иных сведений либо их естественном желании помочь другим. Нам зачастую неудобно сказать собеседнику «нет» (этому, кстати, способствуют даже интерфейсы большинства устройств ввода: клавиши «Да» на них, как правило, намного крупнее остальных).
Весьма незначительному числу людей приходит в голову рыться в урне в поисках интересных находок, но многие пользователи считают в порядке вещей открывать сомнительные файлы в своей почте, даже если текст письма представляет собой абракадабру. В условиях отсутствия баланса между разными методами обеспечения безопасности высокотехнологичные способы контроля будут похожи на бронированные двери посреди поля. Знание — это жизнь, а жизнь нельзя уместить ни в какую методику, книгу или выпуск журнала. Если только искать рецепты лекарств в литературе, а не анализировать баланс жизни больного, его не вылечишь.