Бурное развитие информационных технологий в конце XX века привело к тому, 
что на сегодняшний день практически все бизнес-процессы любой компании 
основаны на использовании различных автоматизированных систем.
Подобная тенденция к всеобщей автоматизации бизнес-процессов обусловлена 
прежде всего конкурентной борьбой: чем ниже себестоимость продукции, тем 
выше конкурентоспособность компании. Именно поэтому такое широкое 
применение в экономике нашли компьютерные сети, в том числе Интернет, и 
созданные на их базе различные распределенные вычислительные системы, 
позволяющие существенно сократить время, необходимое для выполнения 
различных технологических операций.

Большой бизнес, представленный крупными корпорациями, не имеющими прямого 
отношения к ИТ-сектору, в последние несколько лет также начинает применять
так называемые схемы В2В (Business to Business), Интернет-трейдинг и т.д. 
и активно использовать Интернет как средство заключения сделок. Одним из 
последних примеров такого рода является компания "Ford", которая приняла 
решение продать через Интернет свои облигации на 1 млрд. долларов. 
Онлайновый аукцион будет организован инвестиционным банком 
"WR Hambrecht & Co.", и пройдет на сайте OpenBook.
Это не первые подобные торги в Интернете. Ранее автомобильные компании 
"DaimlerChrysler AG" и "Ford" уже продавали свои облигации на аукционе 
в Сети.
Россия пока существенно отстает в применении этих передовых технологий, 
хотя передовыми их уже назвать сложно - на Западе они стали повседневными. 
Так, например, по мнению вице-президента по продажам и маркетингу компании 
"metals-Russia.corn", российская металлургическая промышленность не готова 
к заключению электронных сделок, так как российские трейдеры не готовы принять 
Интернет как новое средство торговли. Хотя есть и противоположные примеры: 
например, в настоящее время Санкт-Петербургская валютная биржа готовится к 
реализации нового самостоятельного проекта по организации доступа к торговой 
системе биржи через Сеть.
Что же касается непосредственно анализа ситуации рынка информационных технологий, 
то, несмотря на некоторую его инвестиционную "перегретость" и наблюдаемое падение 
акций высокотехнологичных компаний на NASDAQ, очевиден его дальнейший бурный рост 
в ближайшее десятилетие, который обусловлен прежде всего приходом на этот рынок 
корпораций из так называемого реального сектора экономики, которые будут 
вынуждены для оптимизации и ускорения своего бизнеса использовать современные 
ИТ-технологии.
Однако наряду с безусловными позитивными моментами, связанными с всеобщей 
автоматизацией бизнес процессов и выходом корпораций на рынок В2В и 
Интернет-трейдинга, существуют и негативные стороны. К ним прежде всего 
необходимо отнести вновь возникающие проблемы, связанные с безопасностью 
обрабатываемой информации в автоматизированных системах компании и прежде всего 
проблемы, возникающие с безопасностью онлайн-транзакций в схемах В2В. 
Всего существуют три классические угрозы безопасности информации - это угрозы 
раскрытия, целостности и отказа в обслуживании.
Итак, в корпорации принято решение применить одну из схем В2В. Что произойдет, 
если информация (счета, сделки, и т.д.), обрабатываемая в вашей информационной 
системе, попадет к конкурентам или к злоумышленникам, - угроза раскрытия? 
Что случится, если произойдет несанкционированное изменение критично важных для 
вашей компании электронных документов, - угроза целостности? Что произойдет,
если внезапно ваша автоматизированная система будет остановлена, - угроза 
отказа в обслуживании?

Обратимся лишь к некоторым фактам - статистика нарушений информационной 
безопасности на Западе неумолима:

1996 - 1998 - среднегодовые потери составляли 120 млн. долларов;
1999 - в США убытки компаний составили 266 млн. долларов.
По данным Института компьютерной безопасности (Computer Security Institute, CSI)
, Сан-Франциско, число компаний, сообщавших об информационных атаках той или 
иной формы, выросло за последние 3 года почти вдвое (с 17 до 32%). А это только 
официальная статистика! Общий объем убытков от компьютерных вторжений только 
в США оценивается в сотни миллионов долларов каждый год, то есть 
(предположительно) миллиарды долларов в глобальном масштабе. 
И эти цифры продолжают расти.
Исследования Американского общества промышленной безопасности 
(American Society for Industrial Security) и компании "PricewaterhouseCoopers" 
показали, что корпорации, входящие в Top-1000 журнала Fortune, потеряли от краж 
внутренней информации 45 млрд. долларов только в 1999 году.
А что же Россия? В России тема информационной безопасности не менее актуальна. 

Вот некоторые примеры.

• В 1991 году похищено 125,5 тысячи американских долларов во Внешэкономбанке.
• Летом 1992 года представитель одного зарубежного алмазного концерна 
скопировал на свои дискеты информацию из компьютеров сети алмазодобывающего 
объединения России, оцененную как служебная тайна.
• В сентябре 1993 года была осуществлена попытка "электронного мошенничества" 
на сумму более 68 млрд. руб. в Центральном банке Российской федерации.
• В том же месяце 1993 года в одном из коммерческих банков похищено 
программное обеспечение системы электронных платежей, предполагавшей 
применение кредитных карточек.
• В 1993 - 1995 годах выявлено и пресечено более 300 попыток незаконного 
проникновения в компьютерную сеть ЦБ РФ для получения денежных средств,
• Весной 1996 года преступники пытались внедрить 8 банковскую компьютерную 
систему Москвы поддельные векселя с реквизитами Московского сберегательного 
банка с тем, чтобы похитить 375 млрд. руб. и 80 млн, долларов США.
• Осенью 1986 года один из судов Москвы осудил за Мошенничество сотрудника
банка "Российский кредит", совершившего ввод в компьютер банка информации, 
позволившей ему перечислить деньги на собственный счет.

В последнее время в России отмечен существенный рост преступлений в сфере 
высоких технологий. За прошлый год их зарегистрировано 1375. По сравнению 
с 1999 годом эта цифра выросла более чем в 1,6 раза. По данным Управления
по борьбе с преступлениями в сфере высоких технологий МВД РФ, больше всего 
преступлений - 584 от общего количества - относятся к неправомерному доступу 
к компьютерной информации. 258 случаев - это причинение имущественного 
ущерба с использованием компьютерных средств. 172 преступления связаны 
с созданием и распространением различных вирусов, а вернее "вредоносных 
программ для ЭВМ". 101 преступление из серии "незаконное производство или 
приобретение с целью сбыта технических средств для незаконного получения 
информации", 210 - мошенничества с применением компьютерных и 
телекоммуникационных сетей, 44 - нарушение правил эксплуатации ЭВМ 
и их сетей.
Попробуйте теперь оценить возможный ущерб, который принесет вашей 
компании реализация на практике вышеприведенных угроз раскрытия, 
целостности и отказа в обслуживании. Если стоимость возможного ущерба 
составила внушительную цифру, то ответ очевиден: настал момент, когда 
пренебрежение вопросами безопасности информации может привести к 
серьезным убыткам для вашей компании.

(Выступая на заседании Комитета "Безопасность предпринимательства" ЕДК, 
И. Медведовский подробно рассмотрел современные подходы к защите 
корпоративных сетей. Эту специальную часть статьи мы опускаем.)

Безусловно, полное воплощение на практике рассмотренной на заседании 
Комитета архитектуры сетевой безопасности потребует от компании вложения 
значительных средств. Чтобы избежать избыточных расходов, необходимо 
провести комплексный анализ безопасности информационных ресурсов компании
(аудит безопасности), причем желательно силами сторонних независимых 
секьюрити-аудиторов, которые укажут на слабые места в имеющейся системе 
обеспечения безопасности и предложат оптимальный комплекс мер по повышению 
текущего уровня защищенности сети. Почему имеет смысл приглашать стороннего 
аудитора, а не воспользоваться своими специалистами из отдела 
информационной безопасности? Здесь может иметь место та же логика, 
что и в случае приглашения стороннего финансового аудитора. 
Требуется ли получить комплексную оценку состояния безопасности 
автоматизированной системы, которая не зависит от чьих-либо интересов 
в компании? Необходимо ли иметь гарантию, что никто в своих интересах 
не повлияет на вывод сотрудника компании, который будет заниматься
аудитом?
Поэтому, если требуется получить реальную оценку уровня защищенности 
сети корпорации, то ответ заключается в использовании услуг сторонних 
аудиторов либо отдельной аудиторской секьюрити-компании, созданной 
корпорацией именно для подобных целей (если невозможно, с точки зрения 
безопасности, привлечение сторонних аудиторов). Ведь совершенно очевидным 
фактом является бессмысленность аудита самих себя, когда отдел безопасности 
корпорации будет проводить аудит защищаемых им же ресурсов!
В заключение я хотел бы еще раз заострить внимание на том гигантском 
пути, который прошло мировое сообщество за последние несколько лет в 
области информационных технологий и информационной безопасности. 
Сегодня есть информационные ресурсы и технологии, которые действительно 
требуют должного уровня защиты, и пренебрежение вопросами информационной 
безопасности может нанести серьезный урон компании.
Мы также хотели бы внести предложение: в рамках ЕДК создать Центр 
компьютерной безопасности, в задачу которого входил бы анализ последних 
методов вторжений, разработка методик защиты от атак и обучение 
специалистов компаний - членов ЕДК. Создание подобного центра позволило 
бы сделать членство в ЕДК более привлекательным для компаний и принесло 
бы практическую пользу для компаний - членов ЕДК.

Об авторе: Илья Медведовский - кандидат технических наук, генеральный 
директор компании "Безопасные информационные системы". Эксперт по 
информационной безопасности. 
Автор книги "Атака на Internet" (http://www.hackzone.ru/attack).