Несмотря на шум, поднятый средствами массовой информации вокруг очередной масштабной публикации секретных данных на ресурсе Wikileaks, практически никто не задумывается или, во всяком случае, не говорит публично о том, что сайт Джулиана Эссенджа - это лишь своеобразный симптом, индикатор определенного неблагополучия в сфере информационной безопасности, и вместо того, чтобы бороться со следствием, неплохо было бы поискать и причину. Попытку изыскания и рассмотрения последней предпринял аналитик Джек Голд, краткую статью которого публикует Интернет-издание eWeek.
История с Wikileaks, по мнению специалиста, наглядно демонстрирует, что сотрудники правительственных органов Соединенных Штатов либо несерьезно относятся к вопросам защиты информации, либо попросту некомпетентны в этой сфере, что еще хуже. Очевидно, что никто не изобретал принципиально новой схемы хищения данных, к которой эксперты могли бы быть не готовы; компании различного уровня годами борются с подобными утечками информации.
Г-н Голд отмечает: происшествие в первую очередь свидетельствует о том, что государственные ведомства США сочли возможным проигнорировать как сами риски утечек, так и факт существования множества программно-аппаратных комплексов защиты конфиденциальных и секретных сведений. Решения, позволяющие отслеживать доступ сотрудников к документам, задавать разрешения или запреты на те или иные операции с ними и предотвращать тем самым утечки информации, предлагаются многими поставщиками - McAfee, Symantec, RSA, Oracle, IBM, SAP.
Кроме того, события вокруг Wikileaks вновь напоминают об одной из главных проблем безопасности данных, серьезность которой доводится ощущать не только правительственным учреждениям, но и предприятиям различного уровня. Формулировка этой проблемы в последнее время приобретает характер аксиомы: наибольшая угроза утраты или раскрытия конфиденциальных либо секретных сведений исходит не от внешних взломщиков, шпионов и прочих злоумышленников, но от собственных сотрудников организации. Доминирование инсайдерской угрозы лишь подтверждается тем фактом, что в извлечении информации и ее передаче редакторам Wikileaks подозревается один-единственный аналитик армейской разведки, который смог получить доступ к миллионам файлов и скопировать их на внешние носители информации.
Эксперт пишет, что политика безопасности тайных сведений на предприятиях, несмотря на все рекомендации, нормативные акты и правила, тоже организована довольно посредственно, если не сказать - плохо. Руководство компаний нередко пренебрегает необходимостью внедрения систем управления доступом и предотвращения утечек информации. В силу этого г-н Голд дает организациям несколько советов, как не стать новой жертвой Wikileaks.
"Главный урок, который компании следует усвоить благодаря Wikileaks, можно кратко изложить фразой: "доверяйте своим сотрудникам, но и проверяйте их". Следите за тем, чтобы они не вели 'подрывную' работу и не занимались неподобающими делами, которые могут нанести вам ущерб. У каждого работника есть свой круг обязанностей и привилегий, пределы которого он не должен покидать. Большинство ваших сотрудников, конечно, будут соблюдать корпоративную этику, уважать секретность важных данных, и в силу этого они не станут заниматься воровством тайных сведений с целью их последующей передачи посторонним лицам; но, как правило, в любом коллективе может найтись человек, который по тем или иным причинам забудет и о моральной, и о законодательной ответственности за подобные действия", - говорится в статье аналитика. - "Именно таким людям вы и должны противодействовать; от злонамеренных или ошибочных действий персонала никто не может быть полностью защищен".
Г-н Голд предлагает руководителям компаний всех уровней для начала задаться следующими вопросами:
1) Имеются ли на предприятии документы, в письменном виде закрепляющие нормы и правила политики безопасности в области обработки и хранения конфиденциальной информации, и доведено ли их содержание до сведения персонала? Если нет, то - почему?
2) Организован ли ограниченный доступ к важным данным, в том числе тем, что хранятся в электронном виде?
3) Установлены ли автоматические системы отслеживания доступа к документам?
4) Используются ли средства криптографической защиты информации?
5) Известно ли сотрудникам предприятия об ответственности за несанкционированный просмотр или копирование конфиденциальных данных?
Все это - лишь основные элементы плана организации защиты важных сведений. Подобный план должен быть у каждой компании, которая работает с персональными данными или владеет информацией, составляющей коммерческую тайну.
В заключение г-н Голд отмечает, что, в то время как многие предприятия довольно хорошо и успешно защищаются от внешних угроз, риску инсайдерской активности сотрудников уделяется гораздо меньше внимания. Именно в этом - в указании на необходимость более деятельной и эффективной борьбы с внутренними угрозами - и состоит, по мнению аналитика, основной урок Wikileaks. Выражаясь фигурально, если вы до сих пор не внедрили у себя систему защиты от утечек информации, тогда Джулиан Эссендж уже идет к вам.
