Киберпреступность называют бичом современного постиндустриального общества. Об информационной безопасности говорят на любом мероприятии, так или иначе посвященном ИТ. В рамках конференции "Информационная безопасность бизнеса и госструктур" обсуждалось, какие тренды в сфере ИБ существуют, как меняется мышление и для кого наиболее важен аспект безопасности: для частных или государственных организаций? Выводы оказались любопытными.
Мир все больше меняется. Мы перешли на третью платформу (первыми двумя называли мейнфреймы и клиент-серверные приложения соответственно) - в трендах мобильность, "облака", неструктурированные данные, виртуализация, принципы BYOD и Self Service BI. Дмитрий Устюжанин, руководитель департамента информационной безопасности оператора "ВымпелКом", полагает, что все это влияет на представление об информационной безопасности. "Информация как будто бы выходит из-под контроля, ее все сложнее защищать. Мы видим две основные проблемы. Во-первых, мир стал суперсвязанным. Появилось огромное количество зависимостей бизнеса и госструктур от партнеров, от аутсорсинговых компаний, от "облаков". Вторая проблема состоит в том, что темп изменений в технологиях и бизнесе приводит к большому количеству изменений в ИТ. Слишком много целей в одно время - это похоже на DDoS".
Площадь, сложность и специализация атак растет, отмечает Андрей Курило, заместитель директора департамента регулирования расчетов "Банка России". При этом универсальных решений проблемы нет, и побороть киберпреступность до конца, по всей видимости, не удастся, но меры противодействия есть, и их нужно реализовывать как можно быстрее. В Европе уже проделаны определенные действия, в связи с чем мы наблюдаем вспышку такого преступления, как скимминг, в России. Андрей Курило связывает это с тем, что западные мошенники перекинули фокус своего внимания на нашу, пока не столь хорошо защищенную, территорию.
Несмотря на то что конференция была посвящена вопросу информационной безопасности бизнеса и госструктур, на мероприятии почти не было представителей второй сферы, кроме упомянутого выше представителя Банка России. Этот факт отметил Александр Шепилов, секретарь Комиссии Совета Федерации по развитию информационного общества, предположив, что либо у государственных органов в этом вопросе все настолько хорошо, что нет никакой нужды обсуждать что-то дополнительно, либо данная проблема еще недостаточно актуализирована в их сознании. Сам Александр Шепилов склонился ко второму тезису и попытался подтвердить его докладом.
Увеличивается количество государственных информационных систем, соответственно, увеличивается и количество обрабатываемой ими информации, а значит, и зависимость от таких систем государства. При этом на сайты госструктур постоянно производятся атаки. Так, например, в течение 2012 г. неоднократно подвергался DDoS-атаке сайт ФГУП "Почта России". Понятно, что в таких условиях обеспечение информационной безопасности становится все более актуальным вопросом. Но существующие нормативно-правовые документы, регулирующие эту сферу, узкоспециализированы и не обеспечивают целостного подхода и широкого вовлечения в процесс экспертного сообщества.
Существуют и другие проблемы в этой сфере. По мнению Александра Шепилова, такая ситуация с ИБ в госструктурах сложилась, во-первых, из-за того, что большое количество чиновников еще не считает информационную безопасность насущным вопросом, так как до сих пор работает по старинке и искренне не верит, что мир в корне изменился. Во-вторых, системами такой сложности, когда в информационный обмен вовлечено большое количество участников, невозможно управлять из какого-то одного центра. В обсуждение ситуации стоит обязательно привлекать гражданское и экспертное общество.
Бизнес под прицелом
Направленная атака - одно из серьезных киберпреступлений, о которых постоянно говорят в СМИ. Мирослав Лучинский, директор по развитию компании "Монитор Безопасности", в своем докладе привел самые интересные недавние случаи. Так, например, канадские власти зафиксировали беспрецедентную кибератаку на свои компьютерные сети, в ходе которой хакеры получили доступ к засекреченным федеральным документам, а два подразделения канадского правительства оказались отрезаны от интернета. Кроме того, на протяжении 2010 г. хакеры как минимум несколько раз получали доступ к интернет-сервису биржи Nasdaq, созданному для компаний-эмитентов для того, чтобы они могли безопасно обмениваться конфиденциальной информацией. Сообщения о подобных атаках поступают из разных стран. Преступников чаще всего интересуют данные о кредитных картах.
В качестве противодействия направленным атакам Мирослав Лучинский рекомендует проводить периодические тесты на проникновение - это, по его мнению, ключ к осознанию реальной ситуации ИБ в организации. Нужно понимать, что противодействие направленным атакам возможно только с использованием комплексного подхода, то есть нельзя доверять только организационным мерам или продуктам обеспечения безопасности по отдельности. При этом 100% безопасность невозможна, но все-таки нужно стремиться сделать взлом организации экономически невыгодным.
"Предъявите ваши коды"
Еще одна мера противодействия киберпреступлениям - тщательная проверка исходных кодов.Захар Федоткин, руководитель направления компании "Информзащита", уверен, что разработчиков ПО меньше всего интересуют вопросы нашей информационной безопасности. Их интересует только собственная репутация. Проприетарный софт, по мнению Захара Федоткина, это "черный ящик", и нет гарантии, что такой "ящик" безопасен и до конца выполняет заданный функционал. С open source, казалось бы, таких проблем не должно быть по определению, но тут возникает второй вопрос: проверяет ли кто-нибудь открытые исходные коды на наличие уязвимостей?
В качестве выхода было предложено тестировать любое ПО: как свободное, так и проприетарное - популярность того или иного приложения не страхует от проблем с безопасностью. Кроме того, следует также проверять и саму организацию-разработчика. Последнее можно сделать, проведя небольшое интервью в подобной компании. Следует узнать, как у них построен цикл разработки, используются ли средства статического и динамического анализа для проверки исходных кодов, есть ли в компании список запрещенных функций. Разработчики не всегда горят желанием показывать свои исходники. Но это, считает Захар Федоткин, лишь вопрос настойчивости заказчика. "Смотря как попросить", - говорит он.
Защита от внутренних угроз
Системы управления доступом сотрудников к той или иной информации тоже должны отвечать требованиям безопасности, говорит Сергей Ступин, менеджер по продукту, Трастверс. Часто бывает так, что подобные системы работают по алгоритму, который легко раскритиковать. "Часть, связанная с постоянным контролем, очень важна, - поясняет Сергей Ступин. - Контроль должен осуществляться постоянно. Если механизм работы таков, что после выдачи сотруднику определенных прав доступа система раз в несколько часов проверяет положение дел, то можно предположить, что в эти несколько часов можно дать несанкционированный доступ, а потом все вернуть к исходному состоянию, и это останется незамеченным".
Жесткую позицию занял Лев Матвеев, генеральный директор SearchInform, представивший собравшимся DLP-систему, коэффициентом успешности которой служит количество уволенных сотрудников через 3-4 месяца работы системы; в процентном соотношении их должно быть около 1% от общего числа сотрудников компании. Если никто не уволен, значит, с системой не работали и купили ее зря.
В качестве примера Лев Матвеев привел самый крупный случай у клиентов компании SearchInform, когда из 40 служащих отдела закупок было уволено 25 человек. "Теория - это хорошо, но мерилом истины остается практика. Нельзя просто запрещать каналы, иначе компьютер превратится в пишущую машинку, а это неэффективно с точки зрения бизнеса. Разрешите все каналы, но строго их контролируйте. Нужно взять под контроль и скайп, и Ipad, и ноутбук, и вообще все, что только можно. Хорошая служба безопасности должна работать на упреждение, поэтому ей необходимо видеть все подводные течения в компании: вычислять неформальных лидеров, понимать связи между сотрудниками - это знание дает очень важную информацию. Кроме того, с помощью нашей системы можно отслеживать, например, махинации менеджеров, вычислять ранимых сотрудников - тех, у кого есть долги, и, следовательно, на которых можно давить извне, тех, у кого есть пристрастие к алкоголю и наркотикам. Отдельная тема, актуальная для больших компаний, - топ-менеджеры дочерних организаций. Тут можно выявить столько интересного!"
Не только человек является внутренней угрозой, но и бизнес-приложения, автоматизирующие деятельность, например, ERP-системы. Об этом предложил вспомнить Николай Здобнов, руководитель отдела корпоративных продаж компании Infowatch. Когда поставляются новые модули к таким приложениям, прием происходит обычно по функционалу, в то время как про тестирование на присутствие недекларированных возможностей забывают. "Мы вынуждены использовать автоматизацию бизнеса, но новые возможности - это всегда новые пути для угроз. При этом мы уже не довольствуемся простой защитой от утечек информации, это видно по развитию рынка".
В качестве противодействия Николай Здобнов предложил классические меры: внедрить специализированные средства защиты от утечек, осуществить категоризацию данных в масштабе компании, провести мониторинг всех внутренних и внешних информационных потоков и сделать аудит безопасности кода бизнес-приложений. Не стоит забывать и о таких субъективных факторах, как настроение и лояльность сотрудников - за этими изменениями тоже стоит следить.
"Облачная" безопасность и ЦОДы
Типичная проблема, с которой на разных местах работы сталкивался Михаил Рыстенко, директор по информационным технологиям компании "Альбатрос Карго", касалась информации. Ее много, она разнородна и неструктурирована, поступает в том числе из нестандартизируемых источников - и всю эту массу нужно охранять, причем сразу же возникает вопрос: а что именно мы так тщательно охраняем? "Если подходить к этому только с точки зрения директора по ИБ или только ИТ-руководителя, то проблема не решается. Мы попытались решить эту проблему с помощью построения модели данных. Затем осуществлялась проверка их целостности. Последний шаг - построение системы представления информации".
Дмитрий Стуров, начальник управления информационной безопасности "Ренессанс Кредит", полагает, что информация настолько важна, что вообще стоит пересмотреть видение проблемы безопасности. Парадигма должна измениться от "защиты периметра" к "защите данных". При защите периметра ресурсы разделяются на внешние и внутренние, причем если внутренняя зона более-менее безопасна, внешняя остается под угрозой. Вся стратегия строится на том, что стараются не пускать данные из внешней зоны во внутреннюю. Основные недостатки такого подхода заключаются в том, что мобильный или удалённый доступ размывают периметр, нет прямой связи между данными и необходимым уровнем защиты, и невозможно защитить данные на всех периодах жизненного цикла.
Смена парадигмы не исключает наличия периметра безопасности. Фокус внимания смещается с инфраструктуры на сами данные, и уже их ценность определяет требования по защите. При этом данные защищаются во всех трех состояниях сразу, на всех этапах жизненного цикла, независимо от расположения.
С тем, что информации, как активу, приносящему прибыль, нужно уделять повышенное внимание, согласен Роман Чаплыгин, директор по информационной безопасности банка DeltaCredit. В его организации была проведена инвентаризация таких информационных активов с целью понять: с какой информацией работают сотрудники, где она находится и кто имеет к ней доступ. Результатом проекта стала группировка информации, введение классификации. Были выполнены требования стандартов, процедуры - формализованы. Как следствие, повышен уровень как информационной безопасности, так и общий уровень осведомленности компании в этой сфере, усовершенствована культура обращения и отношения к информации в целом.