Сегодня стоимость аппаратных средств во много раз меньше, чем стоимость информации, содержащейся на устройстве. Потерянные данные могут привести к потере репутации, потере конкурентоспособности и потенциальным судебным тяжбам.

Во всем мире уже давно вопросы шифрования данных регулируются соответствующими законодательными актами. Так, например, в США, U.S. Government Information Security Reform Act (GISRA) требует шифрование данных для защиты конфиденциальной информации, принадлежащей правительственным органам. В странах ЕС принята Директива European Union Data Privacy Directive. Канада и Япония имеют свои соответствующие инструкции.

Все эти законы предусматривают серьезные штрафы за утрату персональной или корпоративной информации.

Как только ваше устройство похищено (утеряно) – ваши данные могут быть утрачены вместе с ним. Для запрета несанкционированного доступа к данным можно использовать их шифрование. Кроме того, не стоит забывать о такой опасности, как несанкционированный доступ к данным во время ремонта (в том числе гарантийного), либо продажи устройств, бывших в употреблении.

А то, что это не пустые слова, увы, неоднократно подтверждено фактами.

Внештатный сотрудник министерства внутренних дел Великобритании потерял карту памяти с личными данными более чем сотни тысяч преступников, в том числе и отбывающих тюремный срок.  Об этом говорится в сообщении ведомства.

На носителе хранились имена, адреса и, в некоторых случаях, детали обвинений 84 тысяч заключенных, содержащихся в тюрьмах Соединенного Королевства. Также на карте памяти находятся адреса 30 тысяч человек с количеством судимостей от шести и выше.
Как уточнили в министерстве, информация с карты памяти использовалась исследователем из компании РА Consulting.

"Нам стало известно о нарушении правил безопасности, повлекшем за собой потерю сотрудником, находящемся на договоре, личной информации о нарушителях закона из Англии и Уэльса. Сейчас проводится тщательное расследование", - сказал представитель МВД.

С комментарием по этому поводу уже успел выступить министр внутренних дел "теневого" правительства Доминик Грив. Он отметил, что британские налогоплательщики будут "в совершенном шоке" от того, как британское правительство относится к секретной информации.

Это далеко не первый в Великобритании случай потери конфиденциальной информации различными организациями и ведомствами, напомнил Грив.

В апреле крупный британский банк HSBC признался в потере диска, на котором хранились личные данные 370 тысяч его клиентов. В середине февраля стало известно о краже из британской больницы Russels Hall Hospital в городе Дадли (графство Уэст-Мидландс) ноутбука с медицинскими данными 5 тысяч 123 пациентов.

В конце января появилось сообщение, что у британской сети супермаркетов Marks and Spencer украден ноутбук с личными данными 26 тысяч сотрудников.

Глава Минобороны Великобритании Дес Браун 21 января объявил, что у ведомства были украдены три ноутбука с личными данными тысяч человек.

В декабре прошлого года стало известно о том, что частная американская компания потеряла сведения о трех миллионах кандидатов на получение британских водительских прав. Они содержались на жестком диске компьютера. Среди утраченных данных - сведения об именах, адресах и телефонных номерах претендентов на получение водительских прав в период с сентября 2004 по апрель 2007 года.

В конце октября 2007 года два диска, на которых содержалась информация о 25 миллионах получателей детских пособий и их банковских счетах, пропали по дороге между двумя государственными учреждениями. Масштабная операция по поиску дисков, которая обошлась налогоплательщикам в 500 тысяч фунтов, не дала результатов.

Также в июне прошлого года в одном из поездов, следовавших в Лондон, был обнаружен пакет с секретными документами, в которых содержится информация о борьбе с финансированием террористов, контрабандой наркотиков и отмыванием денег. Ранее пакет с секретными документами, которые касаются последней информации о террористической сети Аль-Каида, был обнаружен на сиденье поезда в Лондоне.
Спрашивается, чем думали пользователи, допустившие это?

А вот еще один факт, который должен заставить задуматься владельцев мобильных устройств.

Согласно отчета Ponemon Institute ежегодно в больших и средних аэропортах США теряется около 637 000 ноутбуков Согласно обзора, ноутбуки, как правило, теряются в контрольных точках безопасности.

Около 10 278 ноутбуков теряются еженедельно в 36 больших американских аэропортах, и 65 % из них не возвращаются владельцам. В аэропортах среднего размера регистрируется потеря около 2 000 ноутбуков в аэропортах среднего размера, и 69 % не из них не возвращены. Институт провел опросы в 106 аэропортах 46 государств и опросил 864 человека.

Наиболее часто ноутбуки теряют в следующих пяти аэропортах:

• Los Angeles International
• Miami International
• John F. Kennedy International
• Chicago O'Hare
• Newark Liberty International.

Путешественники не уверены что они возвратят потерянные ноутбуки.
Приблизительно 77 % опрошенных рассказали, что у них нет никакой надежды на возвращение потерянного ноутбука, 16 % говорят, что они ничего не делали бы, если бы потеряли свой ноутбук. Приблизительно 53 % сказали, что ноутбуки содержат конфиденциальную информацию компании, а 65 %, не сделали ничего для защиты информации.
(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

Что этому противопоставить? Только шифрование данных. В этом случае шифрование выступает в роли последней линии физической обороны вашего ПК. Технологий шифрования жесткого диска сегодня – великое множество.

Вместе с тем хотелось бы задать вопрос, а как с этим обстоит дело на Украине? Статистики, как обычно, у нас нет, увы.

И мы имеем плюс ко всему противоречивое законодательство.

С одной стороны - для того чтобы применять криптографическую защиту данных, предприятие должно иметь лицензию. С другой стороны - лицензируются только сертифицированные продукты.

А как быть с IPSec? VPN? Как быть с шифрованием, встроенным в Windows Vista Enterprise и Ultimate? С предстоящим выходом Windows 7?

С одной стороны - покупатель, купив ОС со встроенным шифрованием, может использовать ее как ему захочется, ведь он честный покупатель, верно? С другой стороны - закон о лицензировании никто не отменял? Вот так и живем... Хотелось бы услышать комментарии юристов со ссылками на нормативные документы. Мне хотелось бы, а вам?

К сожалению, на Украине очень мало известно о такой награде (да-да, именно награде) от Microsoft как получение статуса MVP. Что такое MVP - Microsoft Most Valuable Professional?

Дословно это можно перевести как наиболее ценный профессионал. Однако воспользуемся выдержками с сайта русскоязычных MVP  

Прочел весьма интересную новость.

Один из ведущих специалистов McAfee Абишек Карник в официальном блоге McAfee alert labs blog сообщает, что в интернете появился двойник антивируса McAfee, известный как “AntiVirus Pro”.

«Это приложение использует название и иконки McAfee, тем самым вызывая доверие у пользователей. Постоянно выдаёт сообщение о найденных вирусах и настойчиво предлагает обновить программу за деньги. В лучшем случае обманутый пользователь потеряет деньги, в худшем на компьютер будет установлено дополнительное вредоносное ПО», - говорит Абишек Карник.

Специалист McAfee предупреждает об опасности этого приложения и призывает пользователей пользоваться только лицензионным программным обеспечением и не загружать незнакомые подозрительные приложения только на основании того, что их иконка кажется знакомой.

«Это приложение – лишь способ дискредитировать имя компании и использовать его в своих корыстных целях», - пишет Абишек Карник.

Отсюда вывод.

Может пора привыкнуть к тому что использование бесплатного (ворованного) ПО рано или поздно заставляе платить куда больше. Интересно, когда народ начнет понимать, что все же нужно иметь лицензионное ПО, тем более антивирусное!

Грустно осознавать, что положение дел в области информационной безопасности весьма далеко от идеала и удовлетворительным его может считать лишь тот, кто никогда не работал в этой отрасли.

Хозяева компаний если и уделяют время и ресурсы этому вопросу, то только после очередного скандала или напоминания зарубежных инвесторов. Выделенные подразделения практически отсутствуют, специалистов, действительно специалистов можно пересчитать по пальцам, на серьезных мероприятиях из года в год встречаешь одни и те же лица. А выехав за пределы киевской окружной дороги, понимаешь, что все куда хуже, чем раньше себе представлял. Фактически ИБ так и осталась уделом крупных банков и ограниченного числа компаний. Фактически какого-то прорыва в массы, прорыва сознания не происходит.

Почему? На мой взгляд, на то есть несколько причин. Попробуем их рассмотреть.

В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

• законодательного;
• административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурного (меры безопасности, ориентированные на людей);
• программно-технического.

Законодательный уровень

На данном уровне все весьма и весьма запутанно. Законов существует масса, причем весьма часто закон А противоречит закону Б. Какой из них применять – не известно скорее всего и самим законодателям.

Примеров можно привести массу. Однако остановимся всего на двух. Уже не первый год в Уголовном Кодексе Украины есть статьи, относящиеся к преступлениям в сфере ИТ. Однако если вчитаться внимательно, то выясняется, что судить по ним можно любого из нас, ведь текст написан крайне обтекаемо. Хорошо, скажете вы, это ведь Кодекс. Но беда-то в том, что разъяснений к этим статьям я так и не нашел. Нет их, как впрочем и практически нет документов по компьютерной безопасности в нормативных документах по ИБ бывшего ДСТСЗИ СБУ. Количество подобных документов составляет, на мой взгляд, порядка 5% от существующих. Если не меньше. Нет украинского стандарта в области информационной безопасности. А если и есть, то широкому кругу профессионалов просто не доведен. Нет методических рекомендаций для негосударственных компаний. Того, чего нет, на самом деле, можно перечислять очень долго.

Другой пример.

Большинство из нас использует на работе и дома ОС семейства Windows от Microsoft. А теперь вопрос. Я так и не смог разобраться до конца в вопросе. Могу ли я на предприятии или дома использовать встроенное шифрование BitLocker из состава Windows Vista или Windows 7?

С одной стороны – нет. По закону предприятие должно иметь лицензию на право использования криптографической защиты. А сама система защиты должна быть сертифицирована и использовать сертифицированные алгоритмы.

С другой – да. Ведь я законный покупатель и заплатив за Windows Vista Ultimate (Enterprise) или соответственно Windows 7 Ultimate (Enterprise) я уже купил себе право использовать все что включено в  систему, а шифрование BitLocker составная часть операционной системы.

В соответствующих госорганах я так и не получил ответ на свой вопрос.

Административный уровень

Пожалуй самый важный уровень. Почему? Да просто потому что без поддержки руководства компании все ваши инициативы в области ИБ – пустой звук и не более того. Нет поддерки руководства – значит нет и безопасности! И не будет!

Здесь тоже не все так просто. Приказы на предприятиях (не на всех, как я уже говорил) есть. Однако далеко не у всех поддерживается, а вернее наведен, элементарнейший порядок. Т.е. существует список задач, с которыми работают пользователи, определены уровни конфиденциальности, целостности и доступности информации и т.д.

А ведь безопасность это, прежде всего, порядок, организованность и однозначность в проведении тех или иных мероприятий!

Далеко не всегда руководство понимает, собственно, а чего же оно само хочет? И в таком случае говорить о безопасности просто не имеет смысла!

Процедурный уровень

О необходимости доведения процедур в области ИБ до каждого сотрудника сказано не мало. А доведены ли? И до всех ли? Не слышали ли вы о том, что VIP-сотрудники зачастую просят себе привилегии, которые им совершенно не нужны для работы. И что делает ИБ? Выполняет приказ руководства и дает им эти права. Верно? Увы, да.

Программно-технический уровень

На данном уровне тоже не все так просто. Основная причина – общая незрелость ИТ на предприятиях. Сегодня на очень многих предприятиях все еще используется ворованное ПО. Можно сказать, денег нет, кризис. Но используя подобное ПО большинство не осознает тот уровень угроз, которые при этом появляются. И речь не идет об угрозе лицензионной чистоты.

Однако главной причиной, на мой взгляд, является абсолютно наплевательское отношение к законам. Увы, но мы не приучены действовать по закону. Мы делаем так, как нам удобно.

Еще одной немаловажной причиной является низкий уровень специалистов. Сегодня количество людей с дипломами ИБ превышает все разумные пределы. А вот специалистов как не было, так и нет! И это факт!

Ну ладно, все плохо, а что делать, чтобы ИБ стала востребованной?

Кое-кто, прочитав все это, решит, что автор слишком многого хочет. Да! Автор хочет многого! А вы?