подписка
Подписаться
Подготовил Виктор Шишков
11/09/2001

При этом в виртуальности есть масса всякой гадости

Источник: Sec.ru
"Ничего нельзя сказать о глубине лужи, пока не попадешь в нее"

Закон Миллера

Cегодня даже для небольших фирм стало дурным тоном не иметь своего фирменного сайта, выхода в Интернет и электронной почты. Коммерческие структуры быстрее государственных осваивают компьютеризацию – в любой приличной компании несколько десятков или сотен компьютеров объединены в локальную сеть (ЛВС), идет накопление деловой и бухгалтерской информации на серверах, через Интернет связываются со своими партнерами в ближних и дальних регионах. Наверняка в сервере ЛВС уже при ее создании система управления базами данных (СУБД) предусматривала разграничение доступа персонала, защиту почты по открытым сетям и многое другое в интересах информационной безопасности.

Но время проходит, перечень и реальность угроз в виртуальных сетях стремительно меняются, а аппаратно-программные средства компьютерной защиты компании потихоньку и незаметно ветшают. Руководство фирм только вздрагивает при очередном публичном хакерском успехе или при сообщении о размерах нанесенного очередным вирусом типа "I love you"

ущерба где-то "за бугром"…

Охранный бизнес не остался в стороне от внешней и привлекательной стороны компьютеризации, а "по замыслу Создателя" и в этих технологиях должен стоять на страже "всяких утечек". Да, защита телефонных линий, помещений от прослушивания, проверка персонала и ряд других услуг входили и входят в джентльменский набор их рекомендаций своим клиентам. Компьютерные сети не должны были стать исключением. Но автор присутствовал на некоем "круглом столе", где представитель фирмы по защите информации и бывший технарь из cпецслужб для себя "обнаружил", что давно существуют программные методы различения обычного сбоя компьютера и нарушения его работы, спровоцированного атакой злоумышленника.

Может быть, это не его вина, а "общая беда". Если не считать немногочисленной когорты криптоаналитиков и программистов, ушедших "на вольные хлеба", многие силовики покинули свои ведомства в начале 90-х, когда компьютер в квартире или офисе считался "криминогенной зоной", а Интернет был вообще диковинкой. (Для многих до сих пор кажется странным открытие, что аббревиатура www появилась только в 1993 году.) Им было "не до грибов", надо было выживать и строить свой бизнес с учетом имевшихся, "традиционных" знаний. Также понятен и агрессивный маркетинг "чисто" компьютерных фирм в активно развивающемся секторе рынка по системной интеграции средств охраны, где компьютерные технологии достаточно эффективны и имеют неплохую перспективу.

Сейчас специалистов по компьютерным средствам защиты информации (СЗИ) хоть и немного, но готовят в ВУЗах. Но даже привлекаемым в охранные структуры и СБ спецам из молодых "компьютерных волков" нужно грамотно поставить задачу с не всегда афишируемой оперативной составляющей. Видимо поэтому при расследовании утечек информации виртуальные каналы рассматриваются часто как первопричина в последнюю очередь.

И собственно охранные структуры, СБ и их клиенты в экспансии на региональном уровне обречены на развитие компьютерных технологий обработки и передачи БД и на столкновение с существующими при этом рисками и угрозами.

Спрос на защиту канала электронного общения по открытым или выделенным сетям сейчас значителен, технически решаем без больших затрат. Но все равно по лени и из-за копеечной экономии гонят на фирмах по незащищенному каналу e-mail документы, носящие подчас конфиденциальный коммерческий характер.

Взломы серверов компаний тоже для многих как бы далеки. Не поражает воображение даже классический пример с флажком на Капитолии. (Когда на "иконке" сайта американского Белого Дома стал вдруг падать и проламывать крышу этот самый флажок.) А случилось это после начала бомбежек Югославии. Причем американцы обвинили во всем русских хакеров. Они ли это – история умалчивает, но специалисты в области СЗИ могут оценить уровень квалификации "хулиганов".

Системные администраторы в компаниях – т.е. те, кто теоретически должен обеспечивать защиту компьютерной информации от внутренних и внешних недоброжелателей – часто выполняют функции "мальчика на побегушках": поменять картридж, почистить "комп" от вирусов или переустановить новую версию программы. Да, в банковских и финансовых структурах, особенно связанных с Центробанком, соответствующие превентивные меры защиты были предприняты и контролируются ФАПСИ после внедрения компьютерных технологий в практику электронных платежей.

Но здесь все-таки сосредоточены национальные интересы и угрозы макроэкономике. Большинство же коммерческих и торговых компаний, особенно имеющих региональных партнеров, от такой "добровольно-принудительной заботы" избавлены и спохватываются, когда срываются контракты на десятки и сотни тысяч долларов.

По оценкам западных экспертов, 60-70 % компьютерных инцидентов (вирусы, утечка конфиденциальных данных, разглашение паролей и пр.) связано с действиями зарегистрированных пользователей, то есть тех, кому принято доверять. А это иногда достаточно широкий круг: свои сотрудники, партнеры, клиенты. Организационные и кадровые меры недостаточны. К тому же внешние пользователи корпоративной сети многолики и для них посторонние кадровые советы – это как бы "со своим уставом в чужой монастырь…" Но можно договориться об общей политике безопасности и соответствующей защите технологий обработки информации (межсетевые экраны, системы обнаружения атак, системы шифрования трафика, системы контроля "мобильного кода" и т.д.). Хочешь – не хочешь, но этому должны соответствовать специалисты, владеющие "предметом" и "переваривающие" вал непрерывно обновляющейся информации по средствам защиты и нападения.

Еще одним сегментом рынка, на который все больше обращают внимание специалисты по защите компьютерной информации, являются е-бизнес, е-коммерция. Не раскрывая эти разные понятия, достаточно отметить, что для России актуальней пока говорить об е-коммерции, позволяющей наладить отношения продавец-покупатель в сети Интернет, или попросту об интернет-магазинах. Оперативникам из управления "Р" МВД известно о случаях мошенничества и покупках в сетях за чужой счет с использованием потенциала "хакеров". Сами интернет-магазины предпочитают не афишировать такие инциденты, чтобы не отпугнуть клиентов. Правда аналитики утверждают, что большинство из сотен интернет-магазинов по России малоприбыльны, то есть нам еще далеко до западного бума. Вместе с тем, "кто не успел – тот опоздал". Рост числа пользователей, по мнению многих, увеличивается каждый год на 100% от существующих около 2-2,5 миллионов по России.

Несколько привлекательней в России выглядит ситуация с интернет-торговлей в нише B2B, требующей наличия устойчивых групп корпоративных пользователей (потребителей-оптовиков с другой стороны) и отработанной схемы доставки услуг и товаров. Есть конкретные успешные примеры, но, что характерно, только 5% из них используют полную схему е-коммерции с проводкой электронных платежей. Это не только проблема юридической незавершенности данных технологий при судебных конфликтах, но и чисто российское стремление не высвечивать финансовые потоки, в том числе для ухода от налогового бремени.

Охранно-детективный бизнес не остался в стороне от тенденций. Но возникшие, прежде всего в сфере технических средств безопасности, интернет-магазины сейчас больше похожи на доску объявлений ряда случайных и разноплановых фирм. Инициатива в духе времени, но эффективность может быть прогнозируема.

Вместе с тем историческая концентрация профессионалов частного охранно-детективного бизнеса, особенно ее технологической составляющей, в Москве и Санкт-Петербурге, их интеллектуальный потенциал разработок, производства и международных связей, а также насыщение и жесткая конкуренция местного рынка стимулирует их естественное стремление в регионы. С подключением инструмента е-коммерции их успех может быть рассчитан с использованием опыта профессионалов в этой сфере.

Специалисты неназванной, но продвинутой компании по WEВ-торговле предлагают уже сейчас не только провести консалтинг с изучением спроса в регионах, найти дилеров-оптовиков, но и создать с их помощью региональную информационную среду и подключить фирму-партнера по доставке, то есть решить обременительные вопросы логистики. Хотя не исключено, что они же могут убедить отказаться от некоего проекта в связи с его бесперспективностью. Причем все это – после консультаций и ежемесячных расходов порядка 100 долларов и, безусловно, с использованием интернет-технологий.

Любопытно, что попытки отечественных "грандов" компьютерной СЗИ предложить свои дорогостоящие услуги (10-20% от стоимости системы или размера возможных убытков) компаниям по WEB-консалтингу, последние расценивают все-таки несвоевременными. С учетом относительно невысоких денежных потоков в российской интернет-торговле, редкого использования электронных платежей и кредитных карт в регионах, фирмы по WEB – консалтингу предполагают, что ответственность (адекватная стоимости услуг) по защите сделок, клиентской базы и прочего может быть прерогативой выбранного интернет-провайдера. При росте бизнеса и большом обороте возникающие риски могут быть возложены на держателя платежной системы, куда подключается магазин и где могут быть востребованы разработки фирм компьютерных СЗИ.

Суть позиции упомянутых фирм по WEB-консалтингу достойна похвалы – за российских бизнесменов как бы экономят доллары и рубли по статье "накладные расходы за предпринимательский риск". Но рассудит их, как всегда, жизнь.

Прокомментировать
Форматирование текста
Читайте также
Игорь Юргенс, Президент Всероссийского союза страховщиков (ВСС)
Александр Цыганов, к.э.н., советник Президента ВСС

11/09/2001
Новые возможности страхования, связанные с Интернетом
В мире лишь за последние несколько лет появился новый вид страхования, связанный со страхованием рисков электронной коммерции, предлагаемый немногими международными компаниями. Страховое покрытие по данному виду услуг достигает 200 млн долл. США и предусматривает возмещение потерь, вызванных перерывами в работе Интернета или недоступностью сайта страхователя.... Подробнее
09/09/2001
Англичанам не везет с кредитками
В 2000 году английские компании потеряли 292 млн. фунтов из-за участившихся случаев мошенничества с кредитными картами... Подробнее