Не имея реальной мощи для силовых акций, люди из Национального Центра Защиты
Инфраструктуры ФБР (FBI's National Infrastructure Protection Center) часто
ощущают себя размахивающими руками, надеющимися на привлечение внимания, когда
появляется угроза, подобная вирусу Code Red. Часто предупреждения остаются
незамеченными. Но данная ситуация может вскоре измениться. Уже имеются
федеральные инструкции, обязующие определенные подразделения устанавливать
антивирусные заплаты, причем их становится все больше. "Имеются веские основания
для принятия этих инструкций” - сказал Декан Харви, специализирующийся на
законодательстве для Internet в компании Vinson&Elkins в Далласе. "Имеется
заплата для Code Red, но она установлена все еще лишь на четверти миллиона
серверов. Это факт должен открыть глаза предпринимателям, что они должны
заботиться о безопасности своих систем".
Федеральная Торговая Комиссия (ФТК) в понедельник предложила предписание,
которое предъявляет требование к финансовым сервисным компаниям защиты своих
компьютерных сетей от "ожидаемых угроз", и вообще устанавливает критерии
предохранения информации. Дэвид Медин, руководивший группой безопасности
Федеральной Торговой Комиссии в течение пяти лет и сейчас являющийся адвокатом в
компании Hogan and Hartsen в Вашингтоне, сказал, что предложенные инструкции
могут помочь улучшить глобальный уровень защиты в Internet. "Это означает, что
банковские учреждения будут иметь предписанное законом обязательство
предпринимать шаги к сохранению безопасности их организации", сказал Медин. "Они
теперь будут с большей охотой устанавливать заплатки и дополнения".
Предложенные защитные правила дополняют инструкции Федеральной Торговой Комиссии
по сохранению секретности для финансовых обслуживающих компаний, которые
вступили в силу 1 июля. Эта дата была крайним сроком для банков, брокерских
домов, страховых компаний и других родственных предприятий, чтобы согласовать их
политику обеспечения секретности с клиентами.
Правила секретности и правила обеспечения защиты, введенные в понедельник -
часть вводимого в действие закона Грэхема-Лича-Блилея от 1999 года. Закон был
разработан, чтобы улучшить секретность личной финансовой информации. Группа
федеральных агентств, регулирующих работу банков (ФТК не входит в их число) уже
поместили новые инструкции защиты в соответствии с программой
Грэхема-Лича-Блилея. Также, начиная с 1 июля, группы инспекторов начали
проверку, чтобы удостовериться, что банки имеют нормальную стратегию сетевой
защиты. Новые правила требуют, чтобы были приняты шаги для защиты от "ожидаемой
угрозы".
Индустрия здравоохранения следующая. Министерство Здравоохранения уже пропустило
крайний срок в июне, чтобы опубликовать итоговые рекомендации для больниц и
организаций, предоставляющих медицинские услуги, по защите хранимой в
электронном виде персональной медицинской информации. Рекомендации по защите
будут разработаны для обеспечения медицинской тайны в соответствии с
инструкциями, вступившими в силу в апреле. Все это - часть обширной реформы
здравоохранения, проводимой с 1996, получившей название HIPAA (Health Insurance
Portability and Accountability Act).
И в случае с HIPPA, и с законом Грэхема-Лича-Биллея, усилия по улучшению режима
секретности фактически создают инструкции, которые улучшают защиту повсеместно.
Законодатели и инспекторы пришли к мысли, что ограничение, что некоторые
компании могут совместно использовать некие данные, не имеет смысла, если эта
информация может быть легко потеряна или захвачена.
"Без защиты не имеется никакой секретности" - сказал Джейсон Катлетт, адвокат
группы Junkbusters, - "Важно наложить то требование".
Хотя теперь все упирается в Конгресс, Биль Секретности Сети сенатора Эрнеста
Холлинга (штат Южная Каролина, США) требует улучшения защиты всех данных, в
дополнение к уже имеющимся правилам секретности. Если он пройдет, то тенденция к
улучшению компьютерной защиты, уже ощущающаяся в сфере финансовых услуг и
здравоохранения, проявится в каждом секторе, который собирает и хранит
персональные данные.
Короче говоря, шум относительно секретности может закончиться улучшением защиты
как федеральных агентств, подобных ФТК, так и заставить компании со слабой
защитой привести ее в порядок. Если это произойдет, вирусы типа червя Code Red
будут ограничены в количестве серверов для инфицирования. Очевидно, что
способности вирусов к расползанию по Сети будут снижены, потому что большее
число защитных заплат будет установлено.
Аналитики сетевой защиты говорят, что предприниматели обязаны быстрее
реагировать на вирусы, и новые инструкции по безопасности будут вынуждать их это
делать.
"Это предельно ясно, что имеется серьезная проблема" - говорит Рик Стейнбергер,
эксперт по безопасности в Atomic Tangerine - "Но у многих компаний просто не
хватает ресурсов отреагировать на бюллетени защиты"…
Разбираем кейсы, делимся опытом, учимся на чужих ошибках