Современную жизнь, а тем более современный бизнес невозможно представить без информационных технологий. Мир окутан информационными потоками, имеющими разную среду для ее передачи. Сбор, анализ и хранение информации – это первостепенные задачи не только современного человека, но и общества в целом, в том числе и бизнеса.
Кто владеет информацией…
Автором ставшей крылатой фразы «кто владеет информацией, тот владеет миром» был Натан Ротшильд – основатель английской ветви Ротшильдов, который успешно торговал британским текстилем и через какое-то время основал собственный банк. Самый успешный бизнес Натана Ротшильда начался в 1814 году, когда британское правительство привлекло его банк к финансированию военной кампании против Наполеона.
Крупные суммы золотом (за год свыше 11 млн фунтов) переводились из Англии маршалу Веллингтону и союзникам через этот банк. Натан и его брат Якоб ворочали громадными суммами в неспокойной Европе, избавляя клиентов от рисков перевозки денег и просрочки платежа.
Кроме финансовых забот братья Ротшильды имели одно хобби – они страстно любили голубей. В Средние века хорошо обученный почтовый голубь стоил не дешевле арабского скакуна.
В XIX веке они помогли Ротшильдам сделать самое крупное состояние того времени.
В 1815 году вся Европа была напугана реваншем Наполеона.
После триумфа Ста дней фондовые биржи Англии лихорадило – все с тревогой ждали, чем закончится решающая битва между армиями Наполеона и Веллингтона при Ватерлоо. В начале сражения наблюдателям показалось, что выигрывает Наполеон, о чем срочно сообщили в Лондон. Однако на помощь войскам Веллингтона подоспел прусский корпус Блюхера и решил исход боя в пользу союзников. Наполеон бежал.
Все это время Натан Ротшильд имел в своем распоряжении штат шпионов, которые следовали по пятам за войсками и тотчас же отсылали донесения своему хозяину обо всех важных событиях. Естественно, голубиной почтой. Последние голуби с шифрованными инструкциями, привязанными к лапкам, были немедленно выпущены сразу после битвы.
Утром следующего дня Натан Ротшильд явился на Лондонскую биржу. Он был единственным в Лондоне, кто достоверно знал о поражении Наполеона. Сокрушаясь по поводу успехов Наполеона, он немедленно приступил к массовой продаже своих акций. Все остальные биржевики сразу же последовали его примеру, так как решили, что сражение проиграли англичане.
Поднялась паника. Английские, австрийские и прусские ценные бумаги дешевели с каждой минутой. Лондонская биржа буквально ломилась от обесцененных акций. Их тайно и спешно скупали подставные агенты Ротшильда.
О том, что Наполеон проиграл битву, на бирже узнали лишь через день. Многие держатели ценных бумаг покончили с собой, а Ротшильд за один день заработал 40 млн фунтов стерлингов и овладел большой долей британской экономики. Такую же операцию на Парижской бирже осуществил брат Натана Ротшильда Якоб.-Ротшильды прекрасно ориентировались в информационных потоках. Они подготовили все, чтобы информация попадала в первую очередь к ним. Естественно, Ротшильды нажили немало врагов и завистников. Недоброжелатели даже смогли перехватить деловую переписку братьев.
Каково же было их удивление, когда в письмах обнаружились таинственные, не поддающиеся расшифровке знаки и бессмысленные фразы типа «сушеная рыба» (означавшая, кстати, деньги принца Фридриха Вильгельма). Ротшильды хранили информацию, как самое дорогое сокровище.
Чем хорош пример с Ротшильдом? Он показателен тем, что своевременно полученной информацией воспользовались только те, кому она предназначалась, при этом была предоставлена в неискаженном виде. История имеет много примеров применения средств защиты информации. Криптография и стеганография были известны и в Древнем мире, но с точки зрения финансов и бизнеса этот пример более чем уместен.
Что такое информационная безопасность?
«Как воспользоваться информацией?» – этот вопрос отходит на второй план. Почему? Ведь основой ценности информации является ее достоверность. Именно одной из задач информационной безопасности является сохранение информации в не искаженном виде, а в подлинном.
Какими средствами лучше защитить ту или иную информационную систему? Но постановка этого вопроса не совсем корректна, если ее рассматривать только с позиции аппаратно-программных средств отдельно от мер защиты.
Информационная безопасность – это комплекс организационных мер и технических средств, принятых для предотвращения несанкционированного использования, злоупотребления, изменения сведений, фактов, данных, а также отказа в доступе к ним.
Ключевая фраза – это комплекс организационных мер и технических средств. Нельзя средства рассматривать отдельно мер и наоборот. Поясним на простом примере.
Бизнесмен Иванов тратит на технические средства защиты информации 500 тыс. дол., но сотрудник Петров, распечатав на бумаге эту же информацию, ее теряет. Если же в компании не регламентируется доступ посторонним лицам на территорию офиса, то все эти затраты скорее всего бессмысленны.
Возвращаясь к вышесказанному, можно сказать, что меры в виде соблюдения определенных регламентов, смены паролей, работы с информацией, матриц доступа и прочих организационных мероприятий составляют не меньшую, а, возможно, и в большей степени важность по сравнению с техническими средствами.
Грани информационной безопасности
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
«Доступность», «целостность» и «конфиденциальность» – это основополагающие понятия в сфере информационной безопасности. На Западе к этим «трем китам» обычно принято добавлять идентификацию, которая у нас предстает в виде отдельной службы.
Теперь о каждом из этих «китов» подробнее. Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Служба обеспечения целостности следит за правильностью информации. При должном уровне организации эта служба дает пользователям уверенность в том, что информация является верной и ее не изменил никто из посторонних.
Подобно службе конфиденциальности, служба обеспечения целостности должна работать совместно со службой идентификации, чтобы осуществлять надежную проверку подлинности.
Данная служба является щитом от атак, имеющих своей целью модификацию информации. Данные, которые она защищает, могут быть представлены в виде бумажных распечаток, файлов либо данных, передаваемых по сети.
Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Служба обеспечения целостности также следит за правильностью данных, но немного с другой точки. Ее задача – предоставлять пользователям уверенность в том, что информация является полной и ни одна из ее частей не потеряна.
Подобно службе конфиденциальности, служба обеспечения целостности должна работать совместно со службой идентификации, чтобы осуществлять надежную проверку подлинности.
Информация, которую она защищает, также может быть представлена в виде бумажных распечаток, файлов либо данных, передаваемых по сети.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации. Конфиденциальность обеспечивает секретность информации. Правильно сконфигурированная служба открывает доступ к информации только аутентифицированным пользователям.
Ее надежная работа зависит от службы обеспечения идентификации и однозначного определения подлинности лиц. Выполняя эту функцию, служба конфиденциальности ограждает системы от атак доступа, она должна учитывать различные способы представления информации – в виде распечаток, файлов или пакетов, передающихся по сетям.
Существуют различные способы обеспечения секретности документов в зависимости от их вида. Бумажные документы нужно защищать физически, то есть хранить в отдельном месте, доступ к которому контролируется службой конфиденциальности. Не следует забывать о таких вещах, как запирание картотек и ящиков столов, ограничение доступа в кабинеты внутри офиса или в сам офис.
Про службу идентификации, когда речь идет о безопасности, часто забывают. Главная причина в том, что сама по себе эта служба не позволяет предотвратить атаки. Она должна работать совместно с другими службами, чтобы увеличивать их эффективность. Если рассматривать эту службу отдельно, то мы увидим, что она усложняет систему безопасности и повышает ее стоимость. Однако без работы службы идентификации и служба обеспечения целостности, и служба обеспечения конфиденциальности обречены на неудачу.
Как обеспечить информационную безопасность?
Тему информационной безопасности и средств защиты информации полностью раскрыть невозможно. Но возникает два вопроса: «Нужно ли это?» и «Сколько мне это будет стоить?»
Приведем пример. Топ-менеджмент одной компании, решивший сэкономить на средствах защиты безопасности в период стартапа (открытие сети аптек), пригласил для консультации одного специалиста. Тот предупредил о рисках, но руководство было непреклонно. Уже первые два дня работы показали, что решение топ-менеджмента было неправильным, так как в эти дни одна из аптек не работала в связи с внешними сетевыми атаками. Потери были сопоставимы с ценами на оборудование, которое планировалось к покупке.
Топ-менеджмент, увидев свои просчеты и оценив риски, принял очередное неправильное решение, затратив на безопасность гораздо большие средства, нежели потенциальные риски.
В итоге аптеки не только не принесли прибыли, но и не окупили вложенных в нее средств. Проект полностью провалился, и сеть пришлось продать.
Этот пример показателен: основная ошибка бизнеса – игнорирование информационной безопасности. В итоге платить приходится больше – скупой платит дважды.
Текст: Николай Стадник
