ISBN 978–966–2970–87–6 9 page

Контролювання повинне також охоплювати процедури для звітності контролеру безпеки інформаційних технологій і для керування на постійній основі. Повинен бути підготовлений план щоденного контролювання, щоб забезпечити додатковими інструкціями і процедурами для гарантування поточного функціонування із захисту. Користувачі, операційний персонал і розробники системи повинні періодично консультуватися для гарантування, що всі проблеми безпеки враховано і план захисту інформаційних технологій залишається сучасним.

Одна з причин, чому контролювання є важливою частиною супроводу безпеки інформаційних технологій, – це те, що воно дає змогу знайти впливаючи на захист зміни. Серед положень, що повинні бути перевірені, – матеріальні носії інформації і її значення, загрози та вразливості інформації і засобів захисту, що страхують інформацію. Активи контролюють для виявлення змін їхніх цінностей і відповідних змін цілей безпеки системи інформаційних технологій. Можливими причинами цих варіацій є зміни:

бізнесових цілей організації;

вимог до системи інформаційних технологій;

інформації, оброблюваної в системі інформаційних технологій;

устаткування інформаційних технологій.

Загрози та вразливість контролюють, щоб виявляти зміни їхньої важливості (наприклад, спричинені змінами оточення, інфраструктури чи технічних можливостей) та виявляти на ранньому етапі появу інших загроз чи вразливостей. Зміни загроз і вразливостей можуть спричинятися змінами активів.

Засоби захисту постійно контролюють, щоб перевіряти їхню продуктивність і ефективність. Потрібна гарантія, що вони є дієздатними і захищають системи інформаційних технологій відповідно до необхідного рівня захисту. Можливо, що зміни активів, загроз і вразливостей впливають на ефективність і відповідність засобів захисту. Крім того, коли впроваджують нові системи інформаційних технологій чи коли роблять зміни в наявних системах, необхідно гарантувати, що такі зміни не вплинуть на стан наявних засобів захисту і що нові системи уведені з відповідними засобами захисту.

Коли знайдені аномалії в захисті, необхідно розслідувати і повідомити обставини керівництву для можливого аналізу складу засобів захисту чи, у серйозних обставинах, переглянути політику безпеки системи інформаційних технологій і ініціювати дії з аналізування ризику.

Для забезпечення погодженості з методикою безпеки системи інформаційних технологій потрібно виділити відповідні ресурси для забезпечення відповідного рівня щоденного контролювання:

наявних засобів захисту;

уведених нових систем чи служб;

запланованих змін в наявних системах чи службах.

Щоб вірно зрозуміти природу складного випадку, необхідно взяти інформацію з різних журналів і звести її в єдиний звіт випадку. Ці зведені звіти випадків треба потім аналізувати. Зведення звіту випадків – складне завдання і його найважливіший аспект – визначання умов, які дадуть змогу різні записи в журналі поєднати з потрібним ступенем довіри.

Техніка менеджменту для керування щоденним моніторингом – це підготовка документації оперативних процедур захисту для подальшого використання. Ця документація описує всі дії щодо гарантування необхідного рівня захисту для всієї системи і служб; цього повинні безкомпромісно дотримуватися у всіх системах і службах в подальшому.

Повинні бути задокументовані процедури з модифікації наявної конфігурації захисту. Вони повинні містити відкориговані параметри захисту і всі зміни будь-якої інформації з керування захистом. Ці зміни повинні бути задокументовані і підтверджені процесом керування конфігурацією системи. Мають бути визначені процедури для виконання ручного супроводу, для гарантії, що захист не є під загрозою. Відповідальний розподіл процедур повинен бути описаний для кожної задіяної компоненти захисту.

Необхідно визначити умови і періодичність аналізу журналів безпеки. Повинно бути описано використання методів статистичного аналізування та їх застосування. Керівництво повинно дати інструкції як організувати аудит різних оперативних станів за порогом базового.

Обробляння інцидентів

Практично неможливо уникнути небажаних інцидентів у захисті. Кожний інцидент потрібно досліджувати настільки глибоко, наскільки вагомий збиток він спричинив. Регулювання інциденту дає змогу відповідно реагувати на випадкові або навмисні збої нормального режиму роботи системи інформаційних технологій. Отже, проект звітності і розслідування інцидентів повинні бути придатними для всієї організації і сервісних служб системи інформаційних технологій. Після цього потрібно об’єднати між організаційні плани звітності для глибшого уявлення про місця виявлення інцидентів безпеки інформаційних технологій і пов’язаних з ними загроз, їх впливу на активи інформаційних технологій та ділову активність.

Основними цілями розслідування інцидентів безпеки інформаційних технологій повинні бути виявлення компетентності і ефективності реагування на інцидент, а також формування висновків про інциденти з метою запобігання подібним несприятливим подіям. Підготовлений план дій із наперед визначеними рішеннями дає змогу організації реагувати на прийнятних умовах для припинення подальшого пошкодження і, якщо можливо, продовжувати ділову активність із запасними засобами. План реагування на інциденти повинен включати вимоги хронологічного документування всіх подій і заходів; це повинно допомогти ідентифікувати джерела інцидентів. Це є передумовою для досягнення іншої мети – зменшення ризику в майбутньому через вдосконалення засобів захисту. Інший позитивний наслідок інцидентів – збільшення готовності інвестувати в засоби захисту.

Важливо також проаналізувати здійснення й документування інциденту, керуючись такими питаннями:

що сталося і коли саме?

чи діяв персонал згідно з планом?

чи вчасно необхідна інформація була в розпорядженні персоналу?

що персонал запропонував робити інакше наступного разу?

Відповіді на ці питання допоможуть зрозуміти інцидент. Також це допоможе знизити ризик шляхом збільшення релевантності проектів і методик захисту інформаційних технологій (наприклад, вдосконалення засобів захисту, зменшення уразливості й адаптування програми компетентності в захисті).

Щоб визначити ризики і визначити їх серйозність, треба старанно аналізувати ризики. Для підтримки аналізування ризиків і поліпшення результатів необхідна інформація про інциденти захисту. Потрібно зібрати цю інформацію й проаналізувати надійним способом, і зрозуміти отриману користь. Також важливо, щоб організація належним чином розробила план і організувала дієве аналізування інцидентів інформаційних технологій, і щоб отримана та оброблена інформація була доступна для підтримки аналізування ризику, керування та іншої діяльності, пов'язаної з захистом.

Для успішного виконання вимог дійсних і потенційних користувачів дієвого аналізування інцидентів потрібно створювати на підставі їхніх вимог. Перед виконанням будь-якої операції потрібно здійснювати ґрунтовний опис інциденту в програмі компетентності в захисті, який гарантує, що весь ймовірно задіяний персонал розуміє, що таке дієве аналізування інцидентів, пропонована нею користь і як можна використовувати отримані результати у:

поліпшенні аналізування ризику та оглядах керування;

допомозі в запобіганні інцидентам;

приведенні до необхідного рівня компетентності безпеки інформаційних технологій відповідних інструкцій;

забезпеченні “аварійною” інформацією комп’ютерних груп реакції на надзвичайні обставини.

Відповідні цьому ключові аспекти, що повинні враховуватися в будь-якій дієвий аналіз інцидентів:

випереджуюча розробка планів обробляння небажаних інцидентів, коли вони відбуваються і викликані зовнішньою чи внутрішньою логічною чи фізичною атакою, або випадковою несправністю устаткування чи людською помилкою;

навчання персоналу, призначеного для розслідування випадків, наприклад, щоб сформувати групи реакції на надзвичайні обставини.

Реакції на надзвичайні обставини може бути більш-менш визначена як певна група осіб, що розслідують причини інцидентів інформаційних технологій, вивчають потенційні майбутні прояви чи виконують всі періодичні вивчення і досліджування попередніх подій. Результатом цієї роботи можуть бути відновлювальні заходи. Група реакції на надзвичайні обставини може бути внутрішньою чи зовнішньою щодо організації (наприклад контрактна).

Якщо є план заходів і підготовлений персонал і відбувається небажаний інцидент, то поспішних рішень можна уникнути і будуть збережені свідоцтва, які можна використовувати у відстежуванні та ідентифікуванні джерела інциденту, набагато швидше буде встановлений захист цінних активів, і витрати, пов’язані не тільки з інцидентом, але і з усуненням наслідків будуть скорочені. Надалі будь-який негативний розголос буде мінімізований.

Організації повинні готувати і планувати інциденти відповідно до дієвого аналізування інцидентів, що мають місце, зокрема:

готування – наперед задокументовані попереджувальні заходи, інструкції і процедури обробляння інцидентів (разом зі збереженням свідоцтв ведення журналів реєстрування подій) і контроль зв’язків з громадськістю, інструктивна документація і плани безперервності роботи;

повідомлення – процедури, засоби та обов’язки для звіту про інциденти і їхній вплив;

оцінювання – процедури та обов’язки з досліджування інцидентів і визначання їхньої серйозності;

відновлення – процедури та обов’язки з відновлення нормальної діяльності;

керування – процедури та обов’язки з таких питань: як діяти, щоб обмежити збитки від інциденту, подолати його та повідомити керівництво більш високого рівня;

оглядання – процедури та обов’язки для після інцидентних дій, разом з дослідженнями легального характеру та аналізом тенденцій.

Варто підкреслити, що хоч і є вигода від використання дієвого аналізування інцидентів організаціями індивідуально, але організації можуть одержати більше користі від спільного використання деякої інформації про інциденти; це забезпечить ширшу базу щодо виявлення “тривог”, швидкого визначання тенденцій та їхнього запобігання. Щоб полегшити це, треба використовувати структуру бази даних дієвого аналізування інцидентів, яка повинна бути досить гнучкою, щоб охопити весь діапазон вимог для всього (всіх секторів, типів загроз і уражень) і визначити вимоги сектора/загрози/ураження. Немає значення, чи то розділ чи організація входить до дієвого аналізування інцидентів, вони повинні використовувати подібну топологію, виміри і структуру для реєстрації інформації щодо інцидентів. Це дозволить порівнювати та аналізувати. Використання загальної структури – можливість отримувати всеохоплюючі результати і особливо більш ґрунтовну базу для швидкого розпізнавання “тривог”. Маючи на увазі викладене вище, досягнення взаємодії між дієвим аналізування інцидентів та аналізуванням ризику і методами керування можна істотно поліпшити результати, а отже, збільшити користь від впровадження дієвого аналізування інцидентів.

Інформація щодо появи загроз значно вплине на якість оцінювання загроз і оцінювання ризику. Далі в процесі досліджування інцидентів, імовірно, буде зібрано нову і додаткову інформацію з урахуванням вразливостей і з вказівкою на способи її використання. Супровід дієвого аналізування інцидентів дає можливість користувачу визначити та оцінити вразливість і, отже, забезпечити цінними вихідними даними аналізування ризику. В її основу буде частково введена інформація з урахуванням загроз і, частково, результати розслідувань передумов інциденту, повідомлені комп’ютерними групами реакції на надзвичайні обставини. Наприклад, загроза логічного проникнення (присутність нападника і привабливість оброблюваної інформації) може бути пов’язана з вразливістю до логічного проникнення (недостатність чи відсутність відповідних логічних механізмів контролювання за доступом) і в такий спосіб створювати ризик. Тому використовування дієвого аналізування інцидентів для визначання та оцінювання вразливості використовуванням інформації про загрозу, що занесена до бази даних інцидентів, які вже були розслідувані, разом з інформацією з інших джерел, особливо дослідження реакції інформаційної системи на надзвичайні обставини може розкрити неідентифіковані до цього часу вразливості.

Треба відзначити, що функція дієвого аналізування інцидентів відповідає повідомленням тільки щодо інцидентів, що відбулися. Тому будь-яке дієве аналізування інцидентів не може безпосередньо забезпечувати інформацією про ті вразливості, що можуть існувати, але не були визначені як інциденти інформаційних технологій. Крім того, інформацію від дієвого аналізування інцидентів треба із застереженням використовувати для статистичного аналізування та аналізування тенденцій, тому що вихідні дані можуть бути неповними чи помилково визначеними. Проте результати досліджень групи реакції на надзвичайні обставини може дати деякі уявлення щодо непередбачених вразливостей. У цілому, регулярні вихідні дані дієвого аналізування інцидентів для аналізування ризику та огляду керування можуть допомогти покращити якості оцінювання загроз, ризику і вразливостей.

Запитання для самоконтролю

1. Що таке інформація з обмеженим доступом?

2. На які види поділяється конфіденційна інформація?

3. Які недоліки організаційних заходів дозволяють усувати фізичні і технічні засоби захисту інформації.

4. Що таке фізичний захист інформації з обмеженим доступом?

5. Що таке внутрішньооб’ектовий режим?

6. Що таке технічний захист інформації?

7. Назвіть основні методи і засоби несанкціонованого отримання інформації та її захисту.

8. Назвіть технічні канали витоку інформації і несанкціонованого доступу, які можуть виникати під час обробки інформації в типовому одноповерховій офісній споруді.

9. Опишіть порядок розробки технічного завдання на створення комплексної системи захисту інформації.

10. Назвіть основні етапи робіт етапу формування технічного завдання на комплексну систему захисту інформації.

11. Які розділи повинно включати технічне завдання на створення комплексну систему захисту формації?

12. Які види послуг забезпечують криптографічні засоби захисту інформації.

РОЗДІЛ 4

ОСНОВНІ ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Словосполучення "інформаційна безпека" у різних контекстах може мати різне значення. У даному курсі увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською чи якою-небудь іншою) вона закодована, хто або що є її джерелом та який психологічний вплив вона має на людей. Саме тому термін "інформаційна безпека" використовується тут у вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі.

Підхід до проблем ІБ необхідно починати з виявлення суб’єктів, зацікавлених у забезпеченні своєчасного доступу (за прийнятний для них час) до необхідної ним інформації та конфіденційності (збереження в таємниці) її певної частини, вірогідності (повноти, точності, адекватності, цілісності) інформації та захисту від нав’язування помилкової (недостовірної, перекрученої) інформації (тобто від дезінформації), захисту частини інформації від незаконного її тиражування (захисту авторських прав, прав власника інформації й т.п.), розмежування відповідальності за порушення законних прав (інтересів) інших суб’єктів інформаційних відносин і встановлених правил обігу з інформацією, а також можливості здійснення безперервного контролю й керування процесами обробки й передачі інформації. Очевидно, що забезпечення цих вимог суттєве як для держави в цілому, так і для окремих суспільних або комерційних організацій, як для підприємств (юридичних осіб), так і для окремих громадян (фізичних осіб), які і є суб’єктами інформаційних відносин.

Виходячи з такого під суб’єктом ІБ будемо розуміти активний компонент ІС, що може стати причиною потоку інформації від об’єкта до суб’єкта або зміни стану системи. Під об’єктом – пасивний компонент системи, що зберігає, приймає або передає інформацію. Доступ до об’єкта означає доступ до інформації, що втримується в ньому. Як об’єкти, що підлягають захисту в інтересах забезпечення безпеки суб’єктів інформаційних відносин, необхідно розглядати: особу, інформацію та інформаційні ресурси, носії інформації, а також процеси її обробки. Якщо пріоритет збереження безпеки особи є природним, то пріоритет інформації над матеріальними цінностями вимагає більш докладного розгляду. Це стосується не тільки інформації, що становить державну чи комерційну таємницю, а й відкритої інформації.

На сьогоднішній день термінологія щодо ІБ в основному розроблена, хоча цей процес триває досі. Найбільш поширені і необхідні терміни зафіксовані в Українському стандарті з ТЗІ. При цьому базовими поняттями ІБ є (рис. 4.1):

Рис. 4.1. Основні поняття інформаційної безпеки

інформаційна безпека держави – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації;

інформаційна безпека організації – цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток;

інформаційна безпека особистості – характеризується як стан захищеності особистості, різноманітних соціальних груп та об’єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору;

інформаційна безпека (information security) – захищеність інформації та інфраструктури, яка її підтримує від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятної шкоди суб’єктам інформаційних відносин, у тому числі власникам і користувачам інформації та підтримуючій інфраструктурі.

До головних характеристик інформаційної безпеки, що обумовлюють виникнення загроз відносять об’єктивні, суб’єктивні та випадкові уразливості (рис. 4.2).

Рис. 4.2. Класифікація уразливостей інформаційної безпеки

З викладеного можна вивести два важливих висновки:

1) трактування проблем, пов’язаних з ІБ, для різних категорій суб’єктів може істотно розрізнятися. Для ілюстрації достатньо зіставити режимні державні організації й навчальні інститути. У першому випадку "нехай краще все зламається, ніж ворог довідається хоч один секретний біт", у другому – "так немає в нас ніяких секретів, аби тільки все працювало";

2) ІБ не зводиться винятково до захисту від несанкціонованого доступу (НСД) до інформації, це принципово більш широке поняття. Суб’єкт інформаційних відносин може постраждати (зазнати збитків та/або одержати моральний збиток) не тільки від НСД, але й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організаціях (наприклад, навчальних) власне захист від НСД до інформації стоїть по важливості аж ніяк не на першому місці.

Враховуючи таке вирішення проблеми ІБ має здійснюватися шляхом:

створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;

підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;

вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту ІР, протидії комп’ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;

розгортання та розвитку системи конфіденційного зв’язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація.

4.1. Основні складові інформаційної безпеки

Інформаційна безпека – багатогранна, можна навіть сказати, багатомірна область діяльності, у якій успіх може принести лише систематичний, комплексний підхід. Її складовими або інакше суттєвими властивостями є: конфіденційність (англ. confidentiality, privacy), цілісність (англ. integrity), доступність (англ. availability) – тріада CIA. Іноді в сукупність основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це занадто специфічний аспект із сумнівними шансами на успіх, тому ми не будемо його виділяти.

Пояснимо поняття конфіденційності, цілісності та доступності (рис. 4.3).

Рис. 4.3. Інформація, інформаційні системи та технології як об’єкти інформаційної безпеки

Пояснимо поняття конфіденційності, цілісності та доступності.

Конфіденційність (англ. confidentiality) – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем.

Цілісність (англ. integrity) – означає неможливість модифікації неавторизованим користувачем.

Доступність (англ. availability) – властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час.

Зважаючи на те, що інформаційні системи створюються (купуються) для одержання певних інформаційних послуг, відсутність або несвоєчасність надання яких завдає шкоди всім суб’єктам інформаційних відносин, саме доступність інформації, не протиставляючи її іншим аспектам, доцільно виділити як найважливіший елемент інформаційної безпеки. Особливо яскраво провідна роль доступності виявляється в різного роду системах управління – виробництвом, транспортом і т.п. Зовні менш драматичні, але також досить неприємні наслідки – і матеріальні, і моральні – можуть бути через тривалу недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

Цілісність можна підрозділити на статичну (що розуміється як незмінність інформаційних об’єктів) і динамічну (стосується коректного виконання складних дій – транзакцій). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень із метою виявлення крадіжки, перевпорядкування або дублювання окремих повідомлень. Цілісність є найважливішим аспектом ІБ саме у тих випадках, коли інформація слугує "керівництвом до дії". Рецептура ліків, запропоновані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу – все це приклади інформації, порушення цілісності якої може виявитися в буквальному значенні смертельним. Неприємно й перекручування офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність – найпроблемніший в Україні аспект інформаційної безпеки. На жаль, саме практична реалізація засобів із забезпечення конфіденційності сучасних ІС потерпає в нашій державі серйозних труднощів. По-перше, відомості про технічні канали витоку інформації є закритими, так що більшість користувачів позбавлені можливості скласти уявлення про потенційні ризики. По-друге, на шляху використовуваної криптографії, як основного засобу забезпечення конфіденційності, стоять численні законодавчі перепони й технічні проблеми.

Додатково з позицій ІБ також можуть використовують такі властивості ін-

формації, як:

апелювання (англ. non-repudiation) – можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший;

підзвітність (англ. accountability) – властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об’єктів та однозначно встановлювати авторів певних дій в системі;

достовірність (англ. reliability) – властивість інформації, яка визначає ступінь об’єктивного, точного відображення подій, фактів, що мали місце;

автентичність (англ. authenticity) – властивість, яка гарантує, що суб’єкт або ресурс ідентичні заявленим.

4.2. Важливість і складність проблеми інформаційної безпеки

У своєму розвитку інформаційна безпека та вирішувані нею завдання перетерпіли декілька етапів:

I етап (до 1916 року) – забезпечення захисту відомостей про події, факти, майно, місцезнаходження та інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення;

II етап (1916 – 1935 р.р.) – забезпечення скритності і завадостійкості радіозв’язку шляхом застосування перешкодостійкого кодування власного повідомлення (сигналу) та декодування прийнятого;

III етап (1936 – 1945 р.р.) – забезпечення захищеності радіолокаційних засобів від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючими радіоелектронними перешкодами шляхом поєднання організаційних і технічних заходів;

IV етап (1946 – 1964 р.р.) – обмеження доступу до устаткування засобів добування, переробки і передачі інформації ЕОТ фізичними методами і способами;

V етап (1965 – 1972 р.р.) – обмеження доступу до устаткування засобів добування, переробки і передачі інформації локальних інформаційно-комунікаційних шляхом адміністрування і управління доступом до мережевих ресурсів;

VІ етап (1973 – 1984 р.р.) – забезпечення безпеки інформаційного ресурсу (найважливішої і обов’язкової складової національної безпеки) в комп’ютерних системах з безпровідними мережами передачі даних;

VII етап (починаючи з 1985 року) – створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.

Нині ІБ є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню – національному, галузевому, корпоративному або персональному. Для ілюстрації цього положення обмежимося декількома прикладами. Так, наприклад, у середині липня 1996 року корпорація General Motors відкликала 292860 автомобілів марки Pontiac, Oldsmobile й Buick моделей 1996 й 1997 років, оскільки помилка в програмному забезпеченні двигуна могла спричинити пожежу. У 1998 році американський ракетний крейсер "Йорктаун" був змушений повернутися в порт через численні проблеми із програмним забезпеченням, що функціонувало на платформі Windows NT 4.0 (Government Computer News, липень 1998). Таким виявився побічний ефект програми ВМФ США по максимально широкому використанню комерційного програмного забезпечення з метою зниження вартості військової техніки. У лютому 2001 року двоє колишніх співробітників компанії Commerce One, скориставшись паролем адміністратора, видалили із сервера файли, що становили великий (на кілька мільйонів доларів) проект для іноземного замовника. На щастя, була резервна копія проекту, так що реальні втрати обмежилися витратами на наслідок і засоби захисту від подібних інцидентів у майбутньому. У 2003 році одна зі студенток Мічиганського університету втратила стипендію в 18 тисяч доларів через те, що її сусідка по кімнаті скористалася їх спільним системним паролем і відправила від імені своєї подруги електронний лист із відмовою від стипендії. Зрозуміло, що подібних прикладів є безліч.

Наведемо ще кілька цифр. У березні 1999 року був опублікований черговий, четвертий за рахунком річний звіт "Комп’ютерна злочинність і безпека-1999: проблеми й тенденції" (Issues and Trends: 1999 CS1/FB1 Computer Crime and Security Survey). У звіті відзначається різкий ріст числа звернень до правоохоронних органів із приводу комп’ютерних злочинів (32% із числа опитаних); 30% респондентів повідомили про те, що їхні інформаційні системи були зламані зовнішніми зловмисниками; атакам через Internet піддавалися 57% опитаних; у 55% випадках відзначалися порушення з боку власних співробітників. Примітно, що 33% респондентів на питання " чи були зламані ваші Web-сервери й системи електронної комерції за останні 12 місяців? " відповіли "не знаю". В аналогічному звіті, опублікованому у квітні 2002 року, цифри змінилися, але тенденція залишилася колишньою: 90% респондентів (переважно з великих компаній й урядових структур) повідомили, що за останні 12 місяців у їхніх організаціях мали місце порушення інформаційної безпеки; 80% констатували фінансові втрати від цих порушень; 44% (223 респондента) змогли й/або захотіли оцінити втрати кількісно, загальна сума склала більше 455 млн. доларів. Найбільший збиток нанесли крадіжки й підробки (більше 170 й 115 млн. доларів відповідно). Настільки ж тривожні результати втримуються в огляді information Week, опублікованому 12 липня 1999 року. Лише 22% респондентів заявили про відсутність порушень інформаційної безпеки. Поряд з поширенням вірусів відзначається різкий ріст числа зовнішніх атак.