Основы интернет-безопасности

Проблема интернет-безопасности имеет несколько измерений. Это, во-первых, экономическая безопасность операций, совершаемых с помощью Сети (нужно избежать утечки секретных данных, таких как номера вкладов, банковских счетов и т.п.). Во-вторых, безопасность пользования Сетью – недопущения хакерских атак, заражения вирусами. В-третьих, исключение утечки внутренней информации посредством интернет-коммуникаций. В-четвертых, недопущение нанесения ущерба тем, кто посещает ваш сайт, устанавливает с вами партнерские отношения через Интернет (т.е. первый случай, но «наоборот»). Нетрудно заметить, что все эти измерения очень тесно между собой связаны. Конечно, обеспечением безопасности должны заниматься специалисты (как «технари», на которых вся антивирусная и тому подобная специфическая защита, так и «охранники», заботящиеся о внутреннем регламенте коммерческой безопасности – неразглашении и т.п.).

Но и вы, как показывает опыт, находясь на острие внешних корпоративных коммуникаций, можете, вольно или невольно, на общий уровень безопасности повлиять. Так, известно ли вам, что пользование интернет-пейджером ICQ (он же «аська») расценивается специалистами как серьезная угроза безопасности фирмы? Люди самостоятельно скачивают дистрибутивы и устанавливают их на своих компьютерах. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную сеть для любого желающего. А число пользующихся «аськой» или другими сервисами мгновенных сообщений растет, достигая, по некоторым данным, до 75–80% офисных работников...

К сожалению, такие сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. «Аська» и другие сетевые пейджеры изначально были предназначены для тинэйджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту.

По мнению специалистов из фирмы Ferris Research, которая занимается изучением способов защиты сервисов мгновенных сообщений, специальные службы компании должны провести тщательный аудит использования

-300-

интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к «аське» нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую Java-версию ICQ.

Сейчас некоторые отечественные страховые компании начали страховать интернет-риски, однако делают это только при наличии трех условий. Это следование внутреннему протоколу или регламенту фирмы об использовании сотрудниками по отдельности и корпорацией в целом Сети (разумеется, существование таких регламентирующих документов подразумевается!), наличие и неуклонное соблюдение политики внутренней безопасности фирмы и внесение вируса (за поражение которым страховая компания выплатит деньги) в официальные каталоги. В общем, как вы поняли, лучше регламентировать работу с Сетью построже – а уж как это сделать: лимитировать ли личное время каждого сотрудника (учет необходим в любом случае) или, пойдя по «мягкому варианту», так загрузить их работой, чтобы времени на посторонние интернет-контакты не было, – решайте сами вместе с руководством.

Вместе с тем и вам стоит помнить, что помимо безопасности собственно информационной (здесь, как было сказано выше, главной угрозой является утечка информации), существует проблема и безопасности финансовой. То и дело приходится слышать о махинациях с номерами кредитных карт и т.п. Эксперты признают, что соображения безопасности и вызываемое ими недоверие во многом тормозят развитие Рунета. Однако, по мнению исследователей, разработчики Интернета прилагают все усилия для того, чтобы компьютерная сеть воспринималась как надежная среда, и представления общественности об ее недостаточной безопасности не соответствуют реальному положению дел.

Статистически замена шифра кредитной карты в Интернете безопаснее, чем та же самая операция, выполненная низкооплачиваемым банковским клерком. Таким образом, оценка «Всемирной паутины» как зоны повышенного риска сильно преувеличена.

И все же спокойствие потребителя основано в большей степени на личном восприятии, а не на статистических данных. Ведь хотя по статистике безопаснее летать на самолетах, чем ездить по автострадам, страх перед неизвестностью плюс чувство потери контроля питают общественное заблуждение. Нередко преградой для привлечения и удержания потенциальных клиентов в Интернете, если мы имеем дело с бизнес-проектами, являются

-301-

вопросы, связанные с безопасностью финансовых транзакций и передаваемой конфиденциальной информации. И хотя не стоит преувеличивать опасность коммуникации (даже конфиденциальной) в интернет-среде, время от времени появляются свидетельства, что Сеть находится «под колпаком» – прежде всего спецслужб, но, возможно, и преступных группировок.

Так, зимой 2000 г. исследователями были найдены документы, подтверждающие существование системы перехвата электронной информации «Echclon», поддерживаемой такими странами, как США, Великобритания, Австралия и Новая Зеландия. Но столь же регулярно объявляется о создании новейших технологий кодирования данных. Ими мы не должны пренебрегать ни в коем случае! Так, недавно было объявлено, что Британская палата торговли и Королевская почта создают совместное предприятие, которое будет обеспечивать интернет-безопасность фирм, занимающихся электронной торговлей. Защитная система «ChamberSign» станет предоставлять электронные сертификаты для идентификации электронных торговцев за счет системы цифровых подписей. Каждый клиент совместного предприятия будет снабжен личным криптографическим ключом, которым будут «запираться» все документы, пересылаемые через Сеть. Обслуживать эту систему станет электронная служба безопасности ViaCode, принадлежащая Королевской почте.

Пока же вы просто обязаны убедить посетителей, что данные о том, как с ними связаться, останутся в тайне. Если на вашем сайте есть раздел, для входа в который посетители должны зарегистрироваться, необходимо ясно дать понять, что вы не продадите информацию об этих людях компаниям, аккумулирующим списки адресатов. Это в равной степени относится как к подписке на онлайновые информационные бюллетени, так и к любой другой области, где требуется переписка по электронной почте или заполнение опросных анкет.

Если у вас сайт по электронной коммерции или вы собираетесь, пусть даже в будущем, принимать заказы в режиме онлайн, вам потребуется совершенно безопасный, хорошо проверенный, надежный сервер. Это обеспечит саму возможность сделок при оплате с кредитных карт. Данные кредитной карты после их внесения в форму заказа будут затем зашифрованы. Это произойдет до момента их посылки с браузера посетителя на веб-сервер для размещения онлайнового заказа. Если вы этого не сделаете, то многие люди предпочтут ничего у вас не заказывать – да и просто постараются общаться с вами как можно меньше.

-302-

▲