Интеграция опасности

Не так давно я на 2 дня оказался лишен интернета – традиционная летняя замена труб сопровождалась порванным кабелем. И… выяснилось, что особого толка от компьютера, не подключенного к интернету нет: играть я не играю, а что для развлечений, что для отдыха и работы, нужен интернет: нет почты, новостей, доступа в корпоративную сеть… Нельзя было не только получить новую почту, но и просмотреть старую – уже достаточно давно основным почтовым клиентом для меня является Gmail. Компьютер превратился пусть и в достаточно мощную и самостоятельную, но всё же интернет-приставку. В полной мере реализуется лозунг Web as a Platform.

Подобная интеграция проходит и у домашних пользователей и у корпоративных и порождает новые опасности. Об опасностях, связанных с злонамеренными действиями, с фишингом и вирусами даже на добропорядочных и заслуживающих доверия сайтах – будь то сервисы от Google или просто первая страница РБК – на этой неделе говорилось уже достаточно много. Давайте посмотрим на другой аспект проблемы.

Открытие новых каналов для получения и передачи информации неизбежно подразумевает и появление новых каналов для утечки данных и без всяких вирусов – просто за счет халатности или злонамеренности самих сотрудников компаний.
Веб-приложения уже достаточно давно не являются чем-то необычным и непривычным для корпораций: внутри сетей компаний достаточно долго развивались разнообразнейшие сервисы – веб-мейл, вики, интранет-порталы, системы постановки задач. Изолированность и закрытость этих систем являлась дополнительной, пусть и призрачной, гарантией безопасности. Правда, корпоративные приложения всегда достаточно консервативны – надежность и предсказуемость в данной сфере важнее новых функций и веяний моды.

Побочным следствием подобной консервативности зачастую является некоторое технологическое отставание. Отдельные эксперты заявляют, что современные пользовательские веб-приложения выглядят для компаний как «технологический подарок от продвинутой цивилизации».
Именно поэтому, вопреки всем корпоративным политикам, служащие используют публичные сайты для отсылки, хранения и обработки информации. Выуживание данных, прекрасно описанное Кевином Митником, теперь можно проводить и не общаясь с людьми. К потерянным ноутбукам и незакрытым корпоративным сетям добавляется конфиденциальная информация, которая может стать открыто доступной на публичном интернет-сервисе, скажем, Google Calendar. Даже обычная интернет-почта может стать каналом для утечки конфиденциальной информации.

Но сейчас мы наблюдаем следующий шаг – компании начинают штатно использовать внешние приложения, будь то почта, календари, вики или файловые хранилища. Пожалуй, одним из наиболее ярких примеров является недавно запущенный корпоративный вариант Google Apps. Среди первых же клиентов этой системы были такие компании, как General Electric Co. и Procter & Gamble.

Стандартными доводами в пользу перехода на внешние интернет-приложения обычно называют легкость перехода (большинство пользователей уже знакомо с этими приложениями), высокий уровень функциональности, наличие приложений, которых просто нет в корпорациях и, что, пожалуй, самое главное, отказоустойчивость и безопасность: подразумевается, что уровень безопасности в специализированных компаниях заведомо выше, чем в корпоративных сетях фирм, для которых ИТ не является основным направлением деятельности.

Вопросы отказоустойчивости и безопасности можно опустить – тема эта спорная. Хотя, как будто в насмешку, вскоре после публичного запуска уже упомянутого Google Apps, новый сервис был недоступен достаточно долгое время. Вопрос в том, что безопасность, как и обычно, упирается в самих людей: ни какие файрволы и антивирусы не спасут от человеческой глупости– если секретный файл выложенный в общедоступную папку внутри корпоративной сети еще имеет шансы не попасть не в те руки, то в случае открытых интернет-сервисов такой надежды практически не остается.