Управляющая компания российского авиационного холдинга «Сухой», обнаружив факт лавинообразного роста Интернет-трафика, провела пилотный проект по проверке информационной безопасности внешнего сегмента сети. Результаты проверки стали поводом для реализации в компании ряда мероприятий по укреплению ИБ.
Предыстория такова. Управляющая компания холдинга «Сухой» была создана в 1996 году, и поначалу число сотрудников и информационных ресурсов в ней было невелико.
При строительстве информационной инфраструктуры, согласно требованиям службы безопасности, ИТ-подразделение полностью физически отделила внутренний сегмент корпоративной сети, обслуживающей ключевые бизнес-процессы компании от внешнего сегмента, имеющего выход в Интернет.
Внешний открытый сегмент, примерно на десять рабочих мест, был организован для поиска аналитической информации и минимальной связи с контрагентами и партнерами холдинга. Для пользователей этой сети были созданы регламентирующие документы, запрещающие использование информации «ограниченного доступа», а системные администраторы без труда осуществляли необходимый контроль. Владимир Феоктистов, начальник управления ИТ-проектов дирекции ИТ авиационного холдинга «Сухой» рассказал: «Мы долго скептически относились к мировой практике, где считалось, что «зло» находится внутри, полагая, что «зло» у нас находится «за забором». Поэтому, развернув этот сегмент, мы сочли, что вполне защитились от внешних угроз с помощью антивирусных решений и предоставили пользователям практически неограниченные полномочия». До 2006 года ИТ-служба холдинга основные усилия сосредотачивала на решении внутренних задач и обслуживанию внутренней корпоративной ИТ-инфраструктуры.
Однако последние два года управляющая компания начала разрастаться. Подобно снежной лавине, стал увеличиваться компьютерный парк с возможностью выхода во всемирную сеть, на порядки вырос трафик. Контроль за тем, что происходит во внешнем сегменте сети прежней численностью «сисадминов» осуществлять стало невозможно.
Вполне естественно встала проблема организации контроля исходящего трафика. Другими словами, требовалась проверка существующей ситуации по информационной безопасности. Чтобы проверка была объективной и беспристрастной, решили обратиться к внешней компании, для чего объявили тендер. Требования к аудитору выдвигались такие: наличие соответствующих лицензий, потому что холдинг «Сухой» работает с государственной тайной и конфиденциальной информацией; наличие опыта аналогичной деятельности, а также владение инструментальным средством для анализа. Тендер выиграла компания LETA IT-company.
Пилотный проект
Примечательно, что проект был инициирован средним менеджментом – руководителями управлений и отделов, которые отвечают перед высшим руководством за то, что творится в компании. Организаторы проверки – ИТ-служба и служба безопасности «Сухого».
В ходе проекта специалисты LETA IT-company проанализировали нормативную базу «Сухого», показали, где имеются недочеты. Затем с помощью InfoWatch Traffic Monitor в течение трех месяцев производился анализ того, что происходит во внешнем сегменте сети заказчика. Проверке, в частности, подвергся SMTP и HTTP трафик компании.
По словам Владимира Феоктистова, одним из значительных достоинств инструмента InfoWatch Traffic Monitor является централизованное управление, которое можно проводить с одного рабочего места. Проект длился с ноября 2007 года по январь 2008-го. «Мы постоянно находились в контакте со специалистами LETA IT-company, вместе анализировали статистические данные, собирали доказательную базу утечек. Оценили трудоемкость – оказалось, что без такого инструмента аналогичный анализ «вручную» потребовал бы порядка пяти тысяч часов рабочего времени».
В ходе проверки был найден ряд нарушений информационной безопасности. Плюс к этому аудиторы выявили огрехи в построении самой инфраструктуры открытого сегмента. В частности, передача в этот сегмент компьютерной техники, выведенной из эксплуатации во внутреннем сегменте сети, проводилась без должного контроля. Никто не задавался вопросом, какие задачи обрабатывались на этих компьютерах, и какого характера информация там осталась.
Ознакомившись с результатами проверки, руководство «Сухого», выделило средства на полномасштабное внедрение InfoWatch Traffic Monitor, убедившись в его высокой эффективности. Второе важное решение руководства – о переработке нормативной базы, включая концепцию безопасности предприятия, а затем, в соответствии с этим, выстраиванию единообразной политики безопасности.
Одним из организаторов пилотного проекта, о котором мы рассказали, был начальник отдела техзащиты и противодействия иностранным техническим разведкам авиационного холдинга «Сухой» Вадим Антонов. Он поделился с нами своими соображениями по поводу того, как, должна быть построена политика безопасности на государственных предприятиях и в коммерческих компаниях.
Intelligent Enterprise: Сегодня, кажется нет предприятия, где не проводились бы мероприятия по защите информации. Однако проблема существует. Как, на ваш взгляд, должна быть организована эффективная защита?
Вадим Антонов: Пожалуй, основное – это понимание, что обеспечение безопасности информации - не разовое мероприятие, а непрерывный бизнес-процесс. Прежде всего, руководитель должен определить, что он считает на своем предприятии информацией закрытой, утечка которой может повлечь за собой ущерб. С гостайной более-менее всё понятно – государство это жестко регламентирует. А степень защиты коммерческой тайны определяет руководитель предприятия – в этом вопросе всё возложено на него.
Нелишне будет провести аудит, анализ существующих и потенциальных каналов утечки, проверки используемых методов и способов защиты. Дело в том, что технические средства промышленного шпионажа, применяемые в конкурентной борьбе, совершенствуются с каждым годом, а сами предприятия развиваются, растет и модернизируется их ИТ-инфраструктура, приходят новые сотрудники.
По заключению аудиторской проверки следует разработать и выпустить внутренние документы, описывающие концепцию или политику информационной безопасности предприятия, где определен перечень конфиденциальной информации (без этого не ясно, что нужно защищать), как она должна защищаться. После всех согласований и подписания документа с ним необходимо ознакомить всех сотрудников организации. И обязательно ежегодно выделять определенную часть бюджета на мероприятия по обеспечению информационной безопасности, внедрение средств защиты, мониторинга, регламентных проверок и так далее.
Словом, если руководитель предприятия понимает, что такое безопасность и не экономит на этом деньги, то на таких предприятиях, как правило, проблем не возникает. Однако это вовсе не означает - чем больше средств вложено, тем лучше. Важен баланс между объемом средств, затраченных на защиту информации и степенью критичности утечки. Для этого следует объективно оценивать возможные угрозы со стороны конкурентов. Конечно, руководителю предприятия нужен рядом человек, который профессионально разбирается в данном вопросе. Очень рекомендую серьезным организациям брать на работу профессионалов в области защиты информации.
Много ли таких профессионалов?
С кадрами, как и везде, проблема. Остались еще выходцы из советских режимных предприятий. Но, к сожалению, их знания уже устарели. В те времена средства технической разведки были настолько несовершенны по сравнению с нынешними! Вся эта сфера развивается семимильными шагами. Те же мобильные телефоны. Ещё 10 лет назад это была массивная трубка, с помощью которой можно было только звонить, а сейчас это изящное коммуникационное устройство, которое может многое. Или, например, подслушивающие устройства – они стали буквально микроскопическими. Их можно оставить где угодно.
А вообще, наука о комплексной защите информации еще очень молодая. Положительный факт: специалистов по информационной безопасности сейчас уже готовят несколько российских вузов – МИФИ, Гуманитарный университет и другие. Студентам этой специальности, конечно, практика нужна – теоретических знаний здесь не достаточно. Ситуация, как с системным администратором – если он ни разу не видел «живой» сети, администрировать ее он не сможет.
Известен такой курьезный случай. Проверку нелинейным локатором (для обнаружения полупроводниковых приборов) проводили сотрудники, не умеющие им пользоваться. Это прибор сложный, и чтением инструкции здесь не обойтись – при неправильном обращении он найдет любые сопряженные железки, даже ржавые гвозди, но не «жучки». Так вот эти ребята, осуществляя проверку, переломали всю дорогую мебель в кабинете у генерального директора компании – они ломали ножки стульев, потому что прибор реагировал на металлический крепёж. А случается такое от нехватки специалистов…
Когда речь заходит об информационной безопасности, многие начинают перечислять средства защиты сетей, антивирусное программное обеспечение – этого достаточно?
Защитой корпоративной сети меры безопасности, конечно, не ограничиваются. Представьте: люди приходят утром на работу, а в серверной прорвало трубу, сервер, на котором хранилась вся важная информация, выведен из строя. Если не было предусмотрено резервное копирование, то фирма не может дальше функционировать. И всё из-за какой-то протекшей трубы… Я уж не говорю про пожары и т.д. То есть безопасность начинается, грубо говоря, с контроля работы сантехника. Влияние человека, отвечающего за безопасность, должно распространяться на все подразделения компании, на каждого человека. И сотруднику хозяйственного отдела следует объяснить, например, что кондиционер, с которого капает вода, нельзя размещать над серверами. И так далее.
Безопасность – это всегда комплексное решение. Причем, нельзя однажды придти, поставить огнетушитель, повесить датчики пожарной сигнализации и на этом успокоиться. Всё это нужно по регламенту проверять, контролировать, чтобы всё в экстренной ситуации сработало, как требуется. Та же пожарная сигнализация должна быть под контролем подразделения по безопасности.
Однако комплексная защита информации стоит немалых денег, и чем дальше, тем более серьёзные вложения требуются в эту сферу. Я уже сказал, что некоторые закладные устройства сегодня представляют собой весьма миниатюрные устройства («шпионская пыль»). Такое устройство, обладая памятью большой емкости, накапливает информацию, в течение, скажем, недели, а затем за полчаса сбрасывает её в эфир. Раз в неделю к зданию подъезжает машина с соответствующей аппаратурой, и оператор принимает весь объем данных. Для обнаружения таких «закладок» существуют комплексы радиомониторинга. Сам процесс их выявления – это один-два месяца проверки – нужно отсканировать в широком диапазоне все радиосигналы, и из всего частотного спектра выявить именно тот, который передаёт закладное устройство – тот самый шпион или открытый канал утечки информации, через который конфиденциальная информация попадает к конкурентам.
И это лишь один из многих видов шпионской техники.
Опять-таки, здесь руководитель должен принять решение, оценить уровень критичности информации, насколько серьезные последствия повлечет ее утечка. Например, нужны ли будут предприятию специалисты, ежедневно проверяющие помещение после визитов делегаций конкурирующих фирм на отсутствие «закладок». Если руководитель понимает проблему и принимает адекватные меры, то предприятие будет работать нормально.
Еще один важный момент. Безопасность начинается с руководителя. Если руководитель понимает всю значимость проблемы – он сам соблюдает принятые на предприятии принятые правила по безопасности и не делает исключений ни для себя, ни для своих подчинённых. Нередки случаи, когда заместители руководителя, топ-менеджмент «пробивают» себе различные послабления в этой области – начиная от пропускного режима и заканчивая открытием USB-портов на своих компьютерах. Между тем заместитель – тот же потенциальный инсайдер, которого можно завербовать, предложив, к примеру, раз в десять более высокую зарплату. Уровень внутренних нарушителей не ограничивается уборщицей и охранником. Встречаются люди довольно высокого полёта.
Инсайдер – самая распространенная угроза информационной безопасности?
Два основных канала утечки информации – инсайдеры и пресса. С прессой всё понятно. Сотрудники иностранной разведки много секретной информации получают из СМИ, просто они умеют её анализировать.
Работа через инсайдеров составляет порядка 60-70% всех методов шпионажа. Сейчас на предприятиях заметна тенденция – платить сотрудникам меньше, а работу с них требовать больше. Вербуется человек, который просто не доволен зарплатой (а такой есть на каждом предприятии). Этот «капиталистический» подход, адаптированный к России, приводит к тому, что злоумышленнику гораздо проще (и дешевле) иметь на интересующем предприятии завербованного агента.
Технические средства применяют в тех случаях, когда подкупить человека не удается. Во-первых, шпионская техника дорого стоит. Во-вторых, объем работ по её установке, организации скрытого съема информации – сложный технический процесс. Затраты по деньгам несоизмеримы с вербовкой.
Как служба безопасности взаимодействует с ИТ-отделом?
На многих предприятиях это извечный конфликт. Причины разные, но основные моменты сходны. В постсоветское время о сохранности информации заботились ИТ-службы. Они основные усилия сосредотачивали на поддержание работоспособности корпоративных сетей и их защите. При образовании служб ИТ-безопасности возник конфликт полномочий. Чтобы его разрешить, на некоторых предприятиях начали разрабатывать регламенты по их разграничению, хотя наличие подобных документов пока еще большая редкость.
Должны ли «безопасники» и «айтишники» быть в подчинении друг у друга – на этот счет существует много разных точек зрения. Я считаю правильным, когда они работают вместе – никогда нельзя всё сосредотачивать в одних руках. Доступ к критичным настройкам сетевого оборудования должен контролировать администратор безопасности. К сожалению, во многих компаниях системные администраторы имеют неограниченные возможности. Представьте последствия, если один такой человек «обидится».
Природа такого взаимодействия очевидна: задача ИТ-службы – предоставить пользователю как можно больше возможностей, чтобы ему было удобно работать. А задача службы ИБ - безопасность информации, причём в рамках не только информационной сети, а всей компании. А ведь безопасность – это всегда ограничения. Вот здесь и важно найти тот самый баланс. Без нормального взаимодействия ИБ и ИТ-служб сделать это невозможно.
С какими еще проблемами приходится сталкиваться службе ИТ-безопасности?
Одна из проблем – падение культуры работы с информацией в стране. Эта тенденция наблюдается последние десять-пятнадцать лет. В «доперестроечные» времена люди относились к информации довольно щепетильно – тогда государство уделяло достаточно внимания защите гостайны.
К слову, о современном законодательстве в сфере защиты информации – оно в нашей стране весьма отсталое. Вышел Федеральный Закон об информатизации, информационных технологиях и о защите информации, который сменил предыдущий. Вышел Федеральный Закон о персональных данных – сейчас по нему разрабатываются документы о том, как эти данные защищать. Закона о служебной тайне до сих пор нет, а положение о ДСП устарело. Очень много неясного. Например, существует перечень конфиденциальной информации, где определено шесть её видов. Но разобраться в этом не могут до сих пор. На одних предприятиях зарплата относится к персональным данным, на других составляет коммерческую тайну предприятия, и так далее. Надо ли говорить, что от несовершенства законодательства страдают службы ИТ-безопасности, да и сама информационная безопасность.
Также могу отметить излишнюю доступность спецаппаратуры, которая продается даже через Интернет, правда в закамуфлированном виде.
Возможна ли стопроцентная защита информации?
На самом деле, всё, что защищено, рано или поздно будет взломано. Развитие средств защиты идет параллельно с развитием средств взлома. Универсального средства не существует, и никогда не будет существовать. Всё так же, как и в антивирусной практике – если не обновлять антивирусную базу, однажды вы получите вирус, который ваша система не обнаружит.
На средства разграничения доступа тоже нельзя полностью полагаться. Безусловно, такие средства проходят у производителя скрупулезное тестирование, затем обкатку, но ведь невозможно дать гарантию, что эти средства – панацея от всех бед, не подлежащая взлому.
Полностью, на сто процентов защититься нельзя, но к этому нужно стремиться. Это лучше удается небольшим компаниям, бизнес которых не привлекает большого количества конкурентов, а также не предвидится изощренных и хорошо технически вооруженных нарушителей. Такая компания малыми средствами может защитить свою информацию практически на 100%. А серьезные крупные компании, где конкуренты могут воспользоваться всеми средствами шпионажа, сложно гарантировать стопроцентную защиту, даже имея полный набор средств защиты и большой бюджет на эти цели.