Реагирование на инциденты и судебные разбирательства
Автор этой книги подписался и получает по электронной почте все информационные листки, касающиеся информационной безопасности. В этих сообщениях описываются различные подробности изъянов и других уязвимых мест в защите, которые могут создать проблемы с безопасностью систем и сетей. Некоторые из них представляют интерес для всех, в то время как другие касаются только пользователей продукции конкретного производителя. Большинство из них содержат информацию, представленную пользователями, а некоторые содержат информацию производителя. Автор понимает, что то количество информационных листков, на которое он подписался, чрезмерно для администраторов, но поскольку он работает с клиентами, ему необходимо получать последние сведения в полном объеме.
Однажды, сидя у себя, вы находите просчет в разработанной системе безопасности, и если бы хакер или злонамеренный служащий использовал этот просчет и атаковал систему, то это бы привело к нарушению работы сети организации. Вместо того чтобы забросить эту информацию, постарайтесь опубликовать ее.
Некоторые люди понимают, что информирование об инцидентах является важной службой в сообществе Internet. Поэтому они начинают докладывать о проблемах, которые обнаруживают. Многие организации этого сообщества ввели у себя правило сообщать об инцидентах. Можно отправлять информацию более чем 30 различным организациям, которые занимаются реагированием на инциденты. Чтобы помочь этим службам, ваша организация могла бы проводить политику реагирования на инциденты, поддерживая связь с одной (или несколькими) группой (группами) обработки информации об инцидентах через одного ответственного за эту работу. Возложив ответственность за это дело на одного человека (можно с дублером), можно передавать информацию с единственного официального источника, так что она не будет потеряна в море сообщений.
Координационный центр CERT
Дедушкой всех подразделений реагирования на инциденты является Координационный центр CERT (CERT/CC) в Карнеги Мэллон университете в Питсбурге (Computer Emergency Response Team – группа реагирования на нарушения компьютерной защиты в сети Internet). Основанная в 1988 году как бригада компьютерной "скорой помощи" в кооперации с Департаментом безопасности компании Internet Worm, CERT/CC собирает информацию об инцидентах, касающихся компьютерной безопасности и, проведя исследования, определяет, нужно ли об этой проблеме широко оповещать. Несмотря на то, что методы CERT/CC рассматриваются как несколько спорные, они обеспечивают ценные услуги обществу. CERT/CC является не только службой реагирования на инциденты. В Приложении Б представлен список и других его услуг.
Стратегия реагирования на инциденты
Другой аспект работы с инцидентами заключается в реагировании на них. Реагирование на инциденты необходимо, когда обнаружен несанкционированный доступ в сеть: когда бригада реагирования обращается к организации и сообщает, что возникла проблема, и им нужно войти в компьютеры организации; или когда кто-нибудь обращается в службу связи с общественностью с сообщением, что в операционной системе или программном обеспечении, которым пользуется организация, имеется проблема.
Подобно отчетности об инцидентах, правилами реагирования на инциденты должна быть определена одна точка для контакта. Это контактное лицо должно отвечать за сбор всех сообщений и готовить меры реагирования на них независимо от того, кто их присылает. Естественно, контактное лицо должно определять, имеет ли сообщение об инциденте какое-то отношение к организации. Правилами безопасности этому лицу могут быть определены полномочия на выполнение всех необходимых действий для решения любой проблемы, возникающей на основе этих сообщений, а также дано право привлекать необходимых специалистов к исследованию этой проблемы.
Работа с независимыми бригадами реагирования подобна работе с любыми независимыми службами за исключением того, что исполнитель работ, заключая с вами договор, может потребовать, чтобы ваша организация работала через отдельное контактное лицо. Например, ваша организация может захотеть, чтобы реагированием на инциденты занимался сотрудник безопасности. Ну, а исполнитель работ может пожелать работать непосредственно с системными администраторами организации, минуя сотрудника безопасности. Разрешение на это требует незначительной корректировки правил, и это должно быть сделано, чтобы обеспечить тесное сотрудничество с бригадой реагирования.
Компьютерные преступления
Когда автор писал этот раздел, он просмотрел три различных инструкции для прокуроров, основанные на различных подходах к тому, что подпадает под определение компьютерное преступление. В каждой инструкции делается попытка увязать локальные прецеденты (судебные определения и заключения) с действующим законом. Единственное, в чем они последовательны, это непоследовательность их требований.
Понятие компьютерного преступления в различных судебных округах отличается. Даже в Соединенных Штатах каждый из федеральных судебных округов может по-разному интерпретировать один и тот же закон. Для компании из Нью-Йорка правовые нормы могут быть совсем не те, что для компании в Силиконовой Долине. Способ определить, что дозволено в этой области, заключается в переговорах с окружным судьей, генеральным прокурором или адвокатом. Они знают судей и принятые стандарты доказательств, чтобы успешно выиграть дело.
Однако, правило, по которому компании следует докладывать обо всех случаях криминальной деятельности, может не отвечать интересам компании. Возьмем хотя бы историю банка, в чьи системы проникли хакеры и похитили около 11 миллионов долларов! Этот банк сразу же принял решение не докладывать об инциденте судебным органам, опасаясь негативной реакции прессы. Имея в активах миллиарды долларов, было нетрудно списать 11 миллионов на убытки.
Однажды этот банк должен был доложить о понесенном убытке в связи с другим судебным иском. Как только пресса узнала, каким образом банк потерял 11 миллионов, этой негативной рекламы стало достаточно, чтобы повлиять на курс акций и вызвать дополнительное расследование со стороны федеральных инспекторов. В результате возникла проблема в связях с общественностью, что обошлось довольно дорого.
К определению того, о чем докладывать, а о чем не стоит, нужно относиться серьезно. Правила, устанавливающие порядок в этой сфере, должны обсуждаться на уровне высшего исполнительного руководства, которое несет ответственность за свои решения при возникновении проблем. С другой стороны, запись о том, что руководство должно принимать решения в этом конкретном случае, вынудит их рассмотреть все правила информационной безопасности. По их реакции можно будет определить, насколько серьезно руководство относится к этой проблеме. Па этой стадии разработки правил неплохо бы знать, насколько реальна поддержка руководства.