Skip to main content
LibreTexts - Ukrayinska

13.1: Вступ

  1. Last updated
  2. Save as PDF
  • Page ID
    9978

    • Anonymous
    • LibreTexts
    \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)

    Цілі навчання

    Після вивчення цього розділу ви зможете зробити наступне:

    1. Визнайте, що порушення інформаційної безпеки зростають.
    2. Зрозумійте потенційно шкідливий вплив порушень безпеки.
    3. Визнайте, що інформаційна безпека повинна бути головним організаційним пріоритетом.

    Сидячи на стоянці Маршалла Міннеаполіса, хакер, озброєний ноутбуком та телескопічною антеною, проникнув у мережу магазину через небезпечну базову станцію Wi-Fi 1. Атака розпочала те, що стане сценарієм кошмару на мільярд доларів для TJX, батьківських торгових мереж, які включають Marshalls, Товари для дому та TJ Maxx. Протягом декількох місяців хакер та його банда вкрали щонайменше 45,7 мільйона номерів кредитних та дебетових карток та викрали водійські посвідчення та іншу приватну інформацію від додаткових 450 000 клієнтів (King, 2009).

    TJX, в той час 17,5 мільярда доларів Fortune 500 фірма, залишилася від інциденту. Атака глибоко пошкодила репутацію фірми. Це обтяжувало клієнтів і банківських партнерів часом і витратами на переоформлення кредитних карт. І TJX зазнав витрат на врегулювання, виплати від реституції, накладених судом, судових зборів тощо. Фірма підрахувала, що витратила понад 150 мільйонів доларів на виправлення проблем із безпекою та врегулювання споживачів, постраждалих від порушення, і це була лише вершина айсберга. Оцінки прив'язують загальні втрати TJX від цього інциденту на рівні між $1,35 млрд і $4.5 млрд (Matwyshyn, 2009).

    Ряд факторів призвели до та посилили тяжкість порушення TJX. Була зрада персоналу: натхненник був передбачуваним інформатором ФБР, який раніше допомагав збити масивну схему крадіжки кредитних карт, але потім двічі перетнув федералів і використовував інсайдерську інформацію, щоб допомогти своїй банді перехитрити закон і здійснити наступні хакі (Goldman, 2009). Відбувся технологічний провал: TJX зробив себе легким знаком, використовуючи WEP, бездротову технологію безпеки, менш безпечну, ніж речі, які багато споживачів використовують у своїх будинках - один, відомий роками, банально скомпрометований видом «drive-by» злому, ініційованого злочинцями. І був процедурний гаф: роздрібні торговці перебували в процесі розгортання рубрики безпеки, відомої як стандарт безпеки даних індустрії платіжних карток. Однак, незважаючи на галузевий термін, TJX запросив і отримав розширення, затримуючи розгортання механізмів, які могли б виявити та затиснути отвір до того, як хакери потрапили (Anthes, 2008).

    Масовий вплив порушення TJX повинен дати зрозуміти, що безпека повинна бути головним організаційним пріоритетом. Напади знаходяться на підйомі. У 2008 році було порушено більше електронних записів, ніж за попередні чотири роки разом узяті (King, 2009). Хоча приклади та сценарії, представлені тут, шокують, хороша новина полягає в тому, що переважну більшість порушень безпеки можна запобігти. Давайте будемо зрозумілими з самого початку: жоден текст не може забезпечити підхід, який гарантуватиме, що ви будете захищені на 100 відсотків. І це не мета цієї глави. Однак питання, порушені в цьому короткому вступі, можуть допомогти вам усвідомити вразливості; покращити критичне мислення щодо поточних та майбутніх питань безпеки; і допомогти вам розглянути, чи є у фірми технології, навчання, політики та процедури для оцінки ризиків, зменшити ймовірність про пошкодження, і реагувати в разі порушення. Постійна пильність щодо безпеки повинна бути частиною вашого індивідуального набору навичок та ключовим компонентом культури вашої організації. Усвідомлення про загрози та підходи, розглянуті в цьому розділі, повинні допомогти зменшити ваші шанси стати жертвою.

    Коли ми вивчаємо питання безпеки, ми спочатку повинні зрозуміти, що відбувається, хто це робить і яка їхня мотивація. Потім ми розглянемо, як відбуваються ці порушення з акцентом на технології та процедури. Нарешті, ми підсумуємо те, що можна зробити, щоб мінімізувати ризики жертви та придушити потенційний збиток порушення як для особи, так і для організації.

    Ключові виноси

    • Інформаційна безпека є справою кожного, і її потрібно зробити головним організаційним пріоритетом.
    • Фірми, які страждають порушенням безпеки, можуть зазнати прямих фінансових втрат, викритої інформації про власність, штрафи, юридичні виплати, судові витрати, пошкоджену репутацію, падіння цін на акції тощо.
    • Інформаційна безпека - це не просто технологічна проблема; безліч кадрових та процедурних факторів може створити та посилити вразливість фірми.

    Питання та вправи

    1. Як окремі особи або групи, призначені вашим інструктором, шукайте в Інтернеті останні звіти про порушення інформаційної безпеки. Приходьте на заняття, підготовлені до обговорення порушення, його потенційного впливу та того, як його можна було уникнути. Якими повинні бути ключові висновки для керівників, які вивчають ваш приклад?
    2. Подумайте про фірми, які ви зробили бізнес з онлайн. Шукайте, щоб перевірити, чи зазнали ці фірми порушення безпеки в минулому. Що ви дізналися? Чи змінює це ваше ставлення до роботи з фірмою? Чому чи чому ні?
    3. Які фактори були відповідальними за порушення TJX? Хто відповідав за порушення? Як, на вашу думку, фірма повинна була відреагувати?

    1 Особлива подяка моєму колезі Бостонського коледжу, професору Сему Рансботаму, чиї поради, вказівки та пропозиції були неоціненними у створенні цієї глави. Будь-які помилки або упущення є повністю моїми власними.

    Посилання

    Anthes, G., «Гриль: Гуру безпеки Іра Вінклер займає гаряче місце», Computerworld, 28 липня 2008.

    Голдман, Д., «Кіберзлочинність: таємна підземна економіка», CNNMoney, 17 вересня 2009 р.

    Кінг, Р., «Уроки порушення даних у Хартленді», BusinessWeek, 6 липня 2009 року.

    Матвишин, А., Харчування даних: інформаційна безпека, право та корпорація (Пало-Альто, Каліфорнія: Stanford University Press, 2009).