Аутсорсинг в области ИТ становится все популярнее. Но пользование «чужими» ресурсами и персоналом несет и немало опасностей, причем нередко далеко не сразу очевидных.
К примеру, на одном юридическом интернетфоруме обсуждалась следующая ситуация. В крупном городе работает небольшая компания. У неё нет своего ИТспециалиста, но заключен договор с фирмой, сотрудник которой по мере необходимости обслуживает сервер, ПК, периферию и сетевое оборудование. Проблема возникла вскоре после подключения к Интернету с использованием широкополосного канала. Компьютер, зараженный «ботом» для рассылки спама, нагенерировал более 1,5 Гбайт трафика. А учитывая, что безлимитные тарифы распространены не слишком широко, такой перерасход трафика вылился в довольно значительную сумму. Кто виноват в этой ситуации и с кого можно взыскать ущерб? Да, эпизод может показаться не вполне типичным, но это лишь простейший пример тех сложностей, которые вносит в обеспечение ИБ аутсорсинг.
У крупных компаний риски, относящиеся к аутсорсингу, связаны прежде всего с кражей информации. Обычно такие кражи бывают на совести инсайдеров, но уже известны громкие случаи, когда подобная утечка происходила через аутсорсинговые фирмы. Так, осенью 2006 года стало известно о том, что индийский аутсорсер Acme Tele Power допустил целый ряд утечек информации своих клиентов из Европы и США, что привело к прямым убыткам в 166 млн. долларов. Утверждается, что таким же образом попал к пиратам весь первый сезон русской версии сериала «Закон и порядок», в результате чего диски оказались в продаже в момент показа уже первых серий.
Понятно, что обращение к аутсорсингу (размещение серверов в стороннем датацентре, ремонт серверов и систем хранения, перевозка и хранение носителей вне офиса, утилизация или продажа оборудования) увеличивает шансы на попадание информации в чужие руки. Заказчик практически лишён возможности повлиять на политику компании, владеющей аутсорсинговым ЦОДом, в области подбора кадров и обеспечения информационной и физической безопасности серверов, хранилищ данных и других систем. Нельзя исключить, по крайней мере теоретически, и того, что в одной стойке могут находиться серверы, принадлежащие разным компаниям. То же самое и с системами хранения, где в одной системе вполне могут располагаться данные разных заказчиков. Естественно, в этих условиях злоумышленнику, если таковой появится, работать намного проще, чем внедрившись непосредственно в саму организацию, которая этими серверами владеет.
В случае ремонта или перевозки оборудования дело обстоит еще хуже. Сервисный центр или транзитный склад просто проходной двор по сравнению с ЦОДом, и тут нужно быть готовым ко всему. Здесь можно, к примеру, снять жесткий диск с ПК либо с сервера на несколько часов или даже дней, и этого никто не заметит. Да и украсть оборудование или носители вряд ли кто помешает. Так, требования авиакомпаний сдавать ноутбуки пассажиров в багаж привели к целому ряду громких скандалов, связанных с пропажей оборудования, причем воспользовались информацией с похищенного компьютера. Более того, установлено, что именно информация составляла предмет кражи, а не сам ноутбук как таковой.
С аналогичными проблемами можно столкнуться и при хранении резервной информации вне офиса. Кстати, соблюдение этого требования одна из мер информационной безопасности, и вполне очевидная. Часто услуги по хранению резервных копий берут на себя аутсорсинговые компании, но не все из них, к сожалению, добросовестны в том, что касается полного выполнения этих мер.
Наконец, при продаже устаревшего оборудования или его утилизации конфидециальная информация тоже может попасть к посторонним. По данным компании Ontrack, в 76% случаев с вышедших из строя жестких дисков удается извлечь данные, причем в полном объеме. Если накопитель работоспособен, но информация удалена, то вероятность извлечения удаленных данных возрастает до 91%. В отношении магнитных лент и RAIDмассивов эти показатели будут различаться, но не принципиально. Причем безалаберность при продаже и утилизации оборудования достигает поразительных размеров. Как показала ревизия одной из структур НАТО, инструкции по уничтожению информации на ПК и серверах, которые отработали положенный срок и отправлялись в продажу или на утилизацию, нарушались в 75% случаев! А на этих компьютерах и серверах часто хранилась информация высокого уровня секретности. Так что стоит внимательно проверить процедуры уничтожения данных с устаревшего оборудования.