В своём обзоре по компьютерным преступлениям за 2001 год Институт Компьютерной Безопасности сообщил, что 85% опрашиваемых организаций сталкивались с нарушениями компьютерной безопасности за последние 12 месяцев. Это поразительные данные: только 15 организаций из 100 смогли ответить, что у них не было нарушений безопасности в течение года. Столь же поразительным было число организаций, которые ответили, что имели финансовые потери из‑за компьютерных нарушений: 64%. Более половины организаций понесли финансовые потери. И всего за один год.
Мой собственный опыт подсказывает мне, что числа в отчётах вроде этих несколько раздуты. Я с подозрением отношусь к людям, которые делают обзор. Но это не повод говорить, что ущерб не обширен, он на самом деле огромен. Тот, кто не предвидит инцидента с безопасностью, думает заранее неверно.
Коммерческие продукты по безопасности, применяемые в большинстве компаний, главным образом нацелены на защиту от любительского компьютерного вторжения, вроде тех, совершаемых юнцами, известными как скрипт‑кидди. Фактически, эти дети, скачивающие программное обеспечение и мечтающие стать хакерами, в большинстве случаев просто неприятность. Гораздо большие потери и реальные угрозы происходят от корыстных налётчиков, у которых есть чётко сформулированные цели, и которые мотивируются финансовой выгодой. Эти люди фокусируются на одной цели, в отличие от любителей, которые пытаются просканировать как можно больше систем. В то время как компьютерный налётчик‑любитель работает над количеством, профессионал целится в информацию в зависимости от её ценности и качества.
Технологии, вроде устройств для аутентификации (для проверки идентичности), контроля доступа (для управления доступом к файлам и системным ресурсам), и системы для обнаружения вторжений (электронный эквивалент сигнализации) необходимы для программы корпоративной безопасности. И всё же, на сегодняшний день для компании типичнее потратить больше денег на кофе, чем на развёртывание контрмер для защиты организации против атак на безопасность.
Точно так же, как мозг преступника не может сопротивляться искушению, мозг хакера стремится найти окружной путь вокруг мощных технологических средств защиты. И во многих случаях они этого достигают, целясь в людей, которые пользуются технологиями.