По информации Ferris Research, до 70% офисных работников пользуются «аськой» или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы.
http://www.webplanet.ru
По информации
Ferris Research , до 70%
офисных работников пользуются «аськой» или другими
IM-инструментами в деловых целях, целиком полагаясь
на их надежность. Однако сервисы IM представляют собой
огромную угрозу для безопасности фирмы.
Специалисты по безопасности, конечно, знают о рисках,
связанных с использованием IM-сервисов. Они
должны уведомить об этом руководство и разработать комплекс
мер.
ИТ-службы компаний прекрасно знают обо всех
уязвимостях, однако проблема заключается в том, что они
изначально не могут контролировать использование этой
программы пользователями. Люди самостоятельно скачивают
дистрибутивы и устанавливают их на своих компьютерах.
Большинство руководителей даже не знают, какое огромное
число их подчиненных, не спросив разрешения, запустили ICQ
на своих рабочих компьютерах, таким образом самостоятельно
открыв доступ в корпоративную для любого желающего.
Когда ИТ-службы узнают, насколько популярны
IM-сервисы среди пользователей, типичной
реакцией является паника и попытки перекрыть трафик по
известным портам. Это не является лучшим выходом, потому что
может вызвать ненависть офисных работников к специалистам
ИТ-службы.
К сожалению, IM-сервисы в принципе трудно
поддаются защите, потому что в то время, когда они
разрабатывались, никто не думал, что они будут широко
использоваться в деловых целях. «Аська» и другие
интернет-пейджеры изначально были предназначены для
тинейджеров. Поэтому программа проектировалась так, чтобы
она легко устанавливалась и была максимально примитивна
в использовании. Безопасность была излишней. Авторы
программы ICQ, например, ввели чисто символическую парольную
защиту, ограничив длину пароля шестью символами.
Другая проблема — несовместимость систем шифрования.
Сейчас выпускаются специальные корпоративные системы
мгновенных сообщений с установлением зашифрованных
соединений. Например,
Integrity IM Security от Zone Labs. Но при соединении
«защищенного» пользователя с другим абонентом шифрование не
используется и устанавливается обычное незащищенное
соединение.
В данный момент пока не существует идеального решения для
защиты сервисов мгновенных сообщений. Только появляются
первые системы с применением шифрования каналов, шифрования
архивов сообщений и другими мерами по безопасности: это
разработки фирм Akonix
Systems , Cordant ,
Facetime Communications
и WiredRed Software
и др., однако ни одна из них не является абсолютно надежной.
По мнению специалистов из фирмы Ferris Research, которая
специализируется изучении способов защиты сервисов
мгновенных сообщений, ИТ-службы компании должны
провести тщательный аудит использования
интернет-пейджеров на рабочих местах. Если сотрудник
работает с важной информацией, то доступ к «аське» нужно
ограничить. Пусть, например, отправляет сообщения через
веб-интерфейс
или запускает ограниченную, менее уязвимую,
Java-версию ICQ.
Проблеме «аськи» на рабочих местах необходимо уделить
самое пристальное внимание.
