– Как велики возможные потери?
– Мы не знаем.
– Как может наступить страховой случай?
– Мы не знаем.
– Сколько стоит ваша компания?
– Столько-то.
– Это и будет страховой взнос, можете внести его.
Уже сейчас страховые компании предлагают страхование от хакерства, но я не думаю, что они достаточно хорошо представляют, на что идут. Большинство стратегий сложны и неуправляемы и содержат так много условий, что я не уверен, окупятся ли они когда-нибудь. Преимущество стандартизации процессов безопасности – возможность количественной оценки рисков. Если тысяча компаний используют схожие безопасности, то страховые фирмы могут выработать соответствующую политику. Так работает ADT. Компании покупают обслуживание не потому, что это делает их товарные склады более безопасными, а потому, что имеют возможность оценивать риски.
Со временем появятся два типа страхования сети. Первый тип очевиден: если кто-то вламывается в вашу сеть и причиняет вам ущерб, страховая компания компенсирует его. Но второй тип страхования даже более важен. Представьте, что кто-то проникает в вашу сеть и разоряет ваших клиентов, пользуется их конфиденциальной информацией и наносит непоправимый урон их репутации. Размер компенсации в этом случае может быть огромен. Страхование от угроз подобного типа оказывается рискованным.
Управление риском – будущее цифровой безопасности. Кто научится лучше управлять рисками, тот – победитель. Страхование – важная составляющая управления рисками. С помощью технических решений можно уменьшить риски до такого уровня, что страхование становится оправданным.
Процессы безопасности – это способ уменьшения рисков. Средства защиты сети всегда имеют недостатки: необходимы некоторые процедуры, как для того, чтобы поймать нарушителей, которые используют в преступных целях эти недостатки, так и для исправления найденных ошибок. Если атакующий является посвященным лицом, то необходим процесс, который позволит обнаружить нападение, восстановить систему после нанесенных повреждений и преследовать преступника по закону. В сложных системах обычно присутствует множество уязвимых мест, и это может поставить под угрозу функционирование программ и оказание многих услуг (вспомните сотовые телефоны и DVD); тогда процесс необходим для восстановления системы и укрепления безопасности. Контрразведка – единственный способ быть в курсе того, что действительно происходит. Чтобы управлять остаточным риском, существует страхование.
Все эти процессы сложны, и, чтобы их обеспечить, нужны специалисты. И поскольку уже многие аспекты нашей жизни тем или иным образом связаны с киберпространством, растут требования к компьютерной безопасности, а следовательно, и спрос на специалистов. Единственно правильное решение – привлекать экспертов как можно чаще.
Представим центр, контролирующий безопасность большой сети. Требуется как минимум пять обученных аналитиков для замены одного, работающего в режиме 24 х 7 (часов и дней), а согласованные атаки могут потребовать внимания полдюжины аналитиков. Отдельной организации не выгодно нанимать стольких людей на постоянную работу, поскольку нападения происходят довольно редко, удобнее привлекать этих людей в необходимых случаях. Независимая служба способна обучать своих аналитиков теории и практике. Эта служба может активно испытывать меры противодействия, анализировать способы вторжения, разрабатывать новые способы отыскания уязвимых точек и быть в курсе новых методов взлома. Она также может наблюдать процессы, происходящие в различных зонах Интернета, а не только в сети одной организации.
Я думаю, что в ближайшее время возрастет число действующих в киберпространстве независимых служб безопасности, подобно тому как в физическом мире растет число частных служб охраны, таких как Allied Security и компаний по обслуживанию сигнализации, подобных ADT. Слишком много специальных знаний требуется для обеспечения безопасности киберпространства, и только сотрудники специализированной службы могут в полной мере обладать этими знаниями. Моя консультационная компания Counterpane Systems предлагает разработку и анализ систем безопасности с привлечением средств криптографии. Другие компании предлагают оценку риска, разработку политики безопасности, установку, испытание, обновление оборудования и т. д.
Такие компании оказывают и услуги по защите систем на предприятиях. Кто-то должен постоянно контролировать работу средств защиты и реагировать на все, что происходит. Они (один человек не может находиться на рабочем месте все 24 часа) должны разбираться в нападающих и их методах. Они должны поддерживать средства защиты, приспосабливаясь к постоянным изменениям в сетях и сетевых службах. Компании не могут самостоятельно справиться с этим. Они производят автомобили, продают книги или занимаются чем-либо еще, но не безопасностью сетей. Они привлекают независимые, специализирующиеся в этом компании для управления их сетями, а также для обеспечения безопасности. Конечно, всегда будут специализированные сети (банковские, сети сотовой связи, системы кредитных карточек), которые должны быть закрытыми, и всегда найдутся консультанты безопасности, специализирующиеся в этом. Этим занимается моя новая компания Counterpane Internet Security, Inc.
Это нормальная эволюция служб безопасности. Никто не нанимает свою собственную охрану; ее привлекают. Никто не нанимает своих собственных аудиторов; их привлекают. Даже такая обыденная вещь, как нарезка бумаги для документов, лучше будет сделана в привлеченной компании, специализирующейся в этом.
Кроме выгоды от профессионального подхода и эффективности, практика привлечения специализированных служб способствует тому, что аналитические данные по проблемам безопасности накапливаются. Привлекаемые компании могут заниматься активным сбором информации о новых видах нападений и, возможно, даже вести разведывательную деятельность среди хакеров для предотвращения преступлений. Они сталкиваются с различными моделями нападения и могут их распознавать. И они способны защитить от атак своих многочисленных клиентов: могут обнаружить нападение в Нью Дели и защитить своих клиентов в Нью-Йорке. В реальном мире организации привлекают службы безопасности. Никакая компания не нанимает собственных охранников, каждая обращается в охранную компанию. Банки платят за транспортировку автомобильным компаниям, обеспечивающим вооруженную охрану. Компании приглашают аудиторов для проверки правильности ведения дел. Обеспечение безопасности компьютера от обеспечения безопасности сети ничем не отличается. Оно в той же степени сложно и важно. Безопасность требует бдительности. В цифровом мире привлеченные услуги – единственное, что может обеспечить необходимую бдительность.
Глава 25
Заключение
Марк Лойзокс, президент фирмы «Управляемые Разрушения» (Controlled Demolitions), взрывает старые здания для постройки новых. Жалуясь на «непрофессионализм» современных террористов, он утверждал в журнале Harpers Magazine (июль 1997): «Мы можем взорвать все мосты в Соединенных Штатах за пару дней… Я берусь заехать на грузовике на мост Верразано[75], взорвать мост и уехать обратно на велосипеде. И никто мне не помешает в этом».
Так как технологии усложняются, социологи приобретают более узкую специализацию. Почти для каждой области деятельности характерно, что люди, имеющие знание ее социальной инфраструктуры, также обладают знаниями по ее уничтожению.
Спросите любого врача, как кого-нибудь отравить, он сможет рассказать вам.
