Достаточны ли ваши затраты на компьютерную безопасность?
При анализе вопросов компьютерной и сетевой безопасности на первый план выходит проблема скорости распространения угрозы для информационных технологий. Всего за каких-то несколько недель, отделяющих написание этой статьи от ее публикации, существует вероятность очередного компьютерного взлома или появления множества заявлений о том, что компании не предпринимают достаточных усилий для обеспечения гарантий компьютерной безопасности.
Чтобы понять беспокойство, связанное с компьютерной и сетевой безопасностью, которое ощущают компании разного ранга и величины, следует рассмотреть ряд случаев нападений хакеров на сайте SecurityStats.com: так, в частности, незащищенный сервер, созданный в Интернете в середине 2003 г., подвергся 467 атакам в первые же 24 часа. Тот же сервер определил 626 попыток взлома в течение следующих трех недель. Червю SQL Slammer понадобилось всего 10 минут для распространения по всему миру, при этом его размер увеличивался в два раза каждые 8,5 секунд.
В среднем убытки компаний от червя MS Blaster составили 500 000$, в то время как большие компании оценили ущерб в миллионы долларов; в пике активности вируса MyDoom им было разослано по электронной почте каждое двенадцатое сообщение. Вирусы, по некоторым оценкам, обошлись мировому бизнесу в 2003 г. в 55 миллиардов долларов.
Сохраняйте их разделенными
Обычно сетевой экран компании и устройства безопасности защищают внутреннюю сеть организации, включая производственные сети и сети автоматизации. Однако предпочтительней отделить производственные сети и сети автоматизации от сети организации, используя сетевой экран, виртуальные локальные сети (VLAN), или вообще отсоединить их.
Операционные и автоматизированные системы часто являются существенно важными для выполнения работ. Другими словами, для продолжения производства они должны оставаться в рабочем состоянии в любых ситуациях. К сожалению, эти системы работают, подчас, без защиты от вирусов и текущих исправлений. Но в этом, как правило, нет вины производителей. В 2003 году корпорация Microsoft опубликовала 51 предупреждение по использованию защиты по всем продуктам – около одного исправления в неделю, чтобы помочь пользователям противостоять новым вирусам и червям, которые ежедневно порождаются тысячами вандалов.
Все это вызывает вопрос: сколько надо тратить на безопасность и на соответствующую инфраструктуру сети?
Аппаратура, программное обеспечение, персонал
Согласно различным общественным опросам, безопасность компьютерного оборудования, программного обеспечения и персонала составляет около 4% бюджета информационных технологий (ИТ). Некоторые организации, например финансовые компании и университеты с зависящей от целевого назначения структурой ИТ, тратят больше, в среднем – около 7% бюджета ИТ (до 20% в редких случаях). Дополнительно 7% расходуются на сетевую инфраструктуру, часть из этих средств уходит на решение вопросов безопасности.
По оценкам META Group (аналитическая организация в области ИТ) к 2006 г. в США средние капиталовложения в безопасность ИТ достигнут 8–12% от величины бюджета, выделяемого на информационные технологии. Эти вложения делятся примерно на три равные части: безопасность работы компьютерного оборудования (межсетевые экраны, система определения взломов, сканеры электронной почты и т. д.), безопасность работы программного обеспечения и безопасность работы персонала.
Исходя из производственных стандартов, средняя организация, работающая с информационными технологиями, должна тратить на безопасность примерно 5–10% производственного бюджета. Это сравнительно небольшой процент, и его легко забыть или отклонить при принятии основных проектов и ежегодных бюджетов.
Тем не менее издержки на безопасность должны быть включены в общие расходы, так же как и расходы на страхование, потому что эти издержки представляют собой чистые затраты без осязаемой выгоды до тех пор, пока они не станут востребованными.