Но чтобы бороться с теми, кто пытается использовать ИТ‑системы в криминальных целях, необходимо поставить себя на место преступника. Нужно понимать, что может оказаться интересным для криминальных элементов, кто и каким образом может предпринимать такие посягательства. Ниже об этом будет сказано более подробно. Вместе с тем изложенные факты, конечно, не претендуют на полноту и истину в последней инстанции. Тем более что ситуация постоянно меняется.
Информация как товар и товар как информация
Естественно, что украдена будет лишь та информация, которую легко можно сбыть. И многое зависит от конъюнктуры этого пусть и черного, но все же рынка. Так, например, в докризисное время большим спросом пользовались сведения о потенциальных получателях кредитов, например, данные о недобросовестных заемщиках. Однако с появлением Бюро кредитных историй, а также с заметным сужением данного рынка спрос на эту информацию сошел на нет. Из того, что фигурировало в громких делах, связанных с криминальными утечками данных, чаще всего вспоминаются реквизиты банковских счетов и кредитных карт, всевозможная тендерная документация, информация о поставщиках, покупателях и заказчиках, а также различные ноу-хау. Пользуется спросом и все то, что относится к персональным данным. Именно на эту категорию приходится без малого 90% инцидентов, связанных с утечками информации.
Однако и деньги — тоже информация, которая хранится в различных информационных системах. Хороший наглядный пример — всяческие безналичные платежи, которые очень часто становятся мишенью хакеров и всяких махинаторов. Причем первые случаи подобных мошенничеств отмечались еще на заре развития ИТ, в 60‑е годы. К примеру, была довольно «популярна» схема, по которой доллары (фунты, франки, марки) отправлялись по назначению, а центы (пенсы, су, пфенниги) шли на счет злоумышленника. Сейчас, естественно, все стало сложнее и изощреннее.
К тому же в такой вот виртуальной форме существуют не только деньги сами по себе, но и другие товарно-материальные ценности. И они также становятся объектом для преступных посягательств. По мнению экспертов, наиболее рисковыми объектами тут являются нефтепродукты, что связано с объективными сложностями их учета.
Те, кто на той стороне
Как уже было сказано выше, злоумышленники делятся на внутренних и внешних. Какие из них опаснее — вопрос дискуссионный. Так, по мнению Олега Летаева, представителя по продажам систем информационной безопасности IBM в России и СНГ, более опасны внутренние злоумышленники. Они имеют легитимный доступ к данным, и кражу конфиденциальных данных инсайдером гораздо сложнее отследить и предотвратить. Однако с точки зрения количества преобладают инциденты со стороны внешних злоумышленников, что иллюстрируется, к примеру, данными последнего исследования Symantec.
Роман Косичкин, руководитель группы консалтинга и предпродажной поддержки «Лаборатории Касперского», также полагает, что наиболее опасны те злоумышленники, которым легче добраться до объекта нападения и осуществить свои преступные замыслы. Больше ущерба наносят злоумышленники внутренние — так считает и генеральный директор компании LETA IT-company Андрей Конусов. Во-первых, в большинстве компаний осознавать внешние угрозы стали значительно раньше, чем внутренние, а следовательно, и внедряются средства защиты также довольно давно, и можно с уверенностью говорить, что значительная часть компаний уже имеет у себя серьезные системы защиты от внешних угроз. Во-вторых, создание адекватно работающей системы защиты от внутренних угроз — весьма сложная и трудоемкая задача. Прежде всего, очень непросто найти разумный баланс между интересами бизнеса и безопасности, так как между ними есть системное противоречие. В интересах безопасности желательно по максимуму закрыть всем доступ ко всему. Развивающемуся же бизнесу, наоборот, нужен максимально широкий доступ к информации для большинства сотрудников, ничем не сдерживаемый и не ограниченный. Средства защиты от внутренних угроз должны контролировать работу всех сотрудников компании независимо от нашего доверия или недоверия к ним, ведь, по статистике, с намеренной кражей связано менее 10% утечек информации, а более 90% утечек происходит из‑за халатности и ошибок сотрудников, которые не преследовали цели навредить компании. Подобную ошибку может совершить и абсолютно лояльный сотрудник, а вот не дать ему это сделать должна эффективная система борьбы с утечками данных. Ну и конечно, для системы защиты от внутренних угроз важно, чтобы правила безопасности соблюдались всеми сотрудниками компании, а доведение до них этих правил и обеспечение их четкого выполнения — очень сложная организационная задача.
Рустэм Хайретдинов, заместитель генерального директора InfoWatch, также полагает, что потенциально более опасны внутренние нарушители. По его мнению, внутренние угрозы меньше отработаны в технологическом плане, поэтому на рынке нет внятной экспертизы, и многие компании готовы что‑то продать и инсталлировать, но очень мало компаний, готовых сделать проект «под ключ». Две наиболее уязвимые группы — инновационные компании и крупные операторы персональных данных.
У первых все рыночное преимущество находится в ноу-хау, и вопрос защиты секретов (чертежей, формул, программного кода, описания новых продуктов и т. д.) — вопрос существования компании. Деятельность же операторов персональных зарегулирована, при этом они владеют информацией, оборот которой контролируется государством и отраслевыми организациями. Но все же нельзя недооценивать ни одну сторону. Внешних злоумышленников можно разделить на три категории:
- хакеры высокой квалификации;
- традиционная организованная преступность;
- мелкие мошенники низкой квалификации.
Наиболее опасны первые две категории. Хакеры высокой квалификации малочисленны, но они могут нанести самый большой ущерб, при этом долго оставаясь незамеченными. К тому же действуют они, как правило, дистанционно, выбирая для своей атаки объекты в другой стране, что еще больше осложняет их обнаружение.
Традиционная организованная преступность, не важно, будь то мафия, японские якудза, китайские триады, российские ОПГ, опасна вследствие того, что обладает практически неограниченными материальными ресурсами. Это во многом компенсирует отсутствие штатных специалистов в области взлома систем. Кроме того, всевозможные преступные группировки часто обращаются к услугам хакеров. Они могут действовать и изнутри, через подкупленных или шантажируемых сотрудников. Кроме того, преступные сообщества накопили большой опыт в такой области, как подделка документов, и платежных (вспомним историю с фальшивыми авизо начала 90‑х), и удостоверяющих личность. С их использованием совершается много хищений.
Мелкие мошенники, как правило, не представляют большой опасности, за исключением разве что совсем небольших компаний или тех, где все уж очень сильно запущено. Они действуют с помощью стандартных, широко распространенных сценариев атак, о которых пишут на всяких интернет-ресурсах или в таких журналах, как «Хакер». Берут они только количеством. Пожалуй, единственный вид мошенничества, который от них исходит и представляет реальную угрозу, — это так называемые «нигерийские письма», но для России он не очень характерен.
Внутренних злоумышленников, целенаправленно нарушающих правила и политики в области ИБ, также в целом можно разделить на три категории:
- профессиональные промышленные шпионы;
- нелояльные сотрудники;
- «любопытные».
Наиболее опасны профессиональные промышленные шпионы, внедренные в компанию. Нужную информацию они, скорее всего, получат, поскольку это хорошо оснащенные специалисты весьма высокой квалификации. Однако таких специалистов немного, их услуги стоят дорого. Защититься от них непросто.
Категория нелояльных сотрудников намного более многочисленна и разношерстна. Некоторые, меняя место работы, решают кое‑что прихватить, с тем чтобы добавить себе важности на новом месте. Довольно опасная категория — те, кого называют «обиженными», в частности, кандидаты на увольнение. От них можно ожидать всего, чего угодно. Например, не единичны случаи, когда они пытались не просто «сливать» информацию, но и совершать разные диверсии и акты саботажа, например, уничтожая или искажая данные. И именно в кризис, а также при слияниях и поглощениях такие злоумышленники особенно активизируются. Сюда же можно отнести и тех, кто совершает подлог электронных документов с целью кражи денег или товарно-материальных ценностей. Такая практика весьма широко распространилась, в том числе и у нас. Порой, чтобы замести следы «обычных» краж, вносят изменения в данные учетных систем.
Категория «любопытных» не так опасна. Обычно это молодые сотрудники, практиканты, стажеры, которые пытаются проникнуть в те или иные системы или ресурсы, часто закрытые. Корыстных целей они, как правило, не ставят, и эти попытки легко и быстро сводятся на нет после первой же воспитательной беседы. Сюда же стоит отнести тех, кто допускает утечки неосознанно, без злого умысла, например, отправляя документы не по адресу.
Несколько особняком стоят операторы связи, предоставляющие услуги аутсорсинга, а также компании, осуществляющие ремонт и техническое обслуживание оборудования. Их сотрудники имеют доступ к практически любой информации, и при этом на них не распространяется действие корпоративных политик в области обеспечения безопасности. И туда вполне могут внедряться криминальные элементы. Да и от утечек вследствие банальной беспечности никто не застрахован, а ущерб от них порой бывает весьма высоким.
Кража в электронную эпоху. Как это делается
Проще всего добраться до необходимых данных своим же сотрудникам. У них, скорее всего, будут полные и при этом вполне легитимные права доступа. Именно по этой причине теме борьбы с внутренними злоумышленниками уделяется столько внимания, по крайней мере на словах. А в кризис, как уже было сказано выше, количество злоумышленников растет. И при этом эффективность целого ряда мер, например связанных с разграничением доступа к данным, падает за счет того, что сотрудникам приходится выполнять чужие обязанности после очередного сокращения штатов.
Внешние злоумышленники будут использовать для проникновения любые лазейки. Тем более что часто речь идет не о лазейках, а о больших дырах в корпоративном периметре. Известно, что компании очень часто проявляют поразительную беспечность. Это касается, например, паролей на доступ к административным функциям сетевого оборудования: часто их оставляют такими, как установили на заводе. Именно эти уязвимости, напомним, эксплуатировала известная группа Гонсалеса, похищавшая номера кредитных карт из ресторанных и розничных сетей. В результате ее деятельности было скомпрометировано более 130 млн кредитных карт.
Информация может попадать в чужие руки и вместе с носителями. Уже были случаи, когда целью кражи компьютера или сервера был не он сам по себе, а данные, которые на нем хранятся. Кроме того, часто теряются всевозможные накопители, начиная от флеш-дисков, CD и DVD и заканчивая кассетами с резервными копиями. Они тоже могут попадать в руки преступников. Сюда же стоит отнести несоблюдение норм и правил по уничтожению информации при отправке ПК и серверов на продажу и утилизацию. Число таких случаев сокращается, но не так быстро, как хотелось бы.
То же самое относится и к стандартным учетным записям на доступ к базам данных и бизнес-приложениям — их также могут использовать злоумышленники. Именно через них часто действуют те, кто пытается вносить те или иные изменения в данные, маскируя свои махинации и при этом стараясь не привлекать к себе внимания. Ведь очень часто легитимный вход в систему фиксируется, и в результате можно легко выяснить, кто именно вносил изменения в те или иные данные. Да и просто сама такая возможность может быть заблокирована. Попытки взлома извне часто комбинируются с DDOS-атаками. Это делается в качестве отвлекающего маневра.
На руку злоумышленникам также пустые и слишком простые пароли. То, как доктор Хаус из одноименного телесериала входил в компьютер пациента максимум с третьей попытки, не так уж и далеко от истины. Тем более что список типовых паролей известен. Ну а слишком сложный для запоминания пароль может быть просто подсмотрен на листочке, приклеенном к монитору. Кроме того, злоумышленники часто применяют методы социальной инженерии. Именно так действовал, например, знаменитый Кевин Митник. Подобные методы в ходу и у российского криминалитета.
Как создать работающую систему обеспечения информационной безопасности
Защититься от абсолютно всех угроз, конечно же, нельзя. Можно лишь свести риски к некоему минимальному уровню. Следует понимать, что не существует «волшебной таблетки», решающей все проблемы после установки. Хорошей метафорой тут будет замок на двери, который не является защитой от кражи, если помещение на первом этаже и при этом не закрыты окна, да и прочность двери под вопросом. Но, как подчеркнул Андрей Конусов, мнение о том, что технические средства первичны и способны решать поставленные перед ними задачи без соответствующих процессов, — классическое заблуждение многих ИТ- и ИБ-руководителей.
Технические средства не справятся, если не приняты организационные меры, направленные на поддержание безопасности. Андрей Конусов отмечает, что это касается работы даже таких относительно простых средств, как ПО антивирусной защиты. Ведь о качественной антивирусной защите не может быть и речи, если пользователи смогут блокировать их текущую работу или обновление. Как подчеркнул Сергей Петренко, эксперт в области непрерывности бизнеса и информационной безопасности компании «АйТи», эффективность превентивных мер защиты (документы и организация режима) на практике выше, чем просто поставка и внедрение технических средств защиты. По мнению Евгения Акимова, заместителя директора центра информационной безопасности компании «Инфосистемы Джет», в настоящее время просто не существует полностью технических проектов в области безопасности, хотя на 100% организационные встречались и встречаются до сих пор, и не так уж редко. Но уже совсем скоро практически невозможно будет назвать значимый проект по ИБ, который бы имел явный крен в технику или в консалтинг. При этом, как отметил Андрей Конусов, доля организационных мер при внедрении тех или иных технических средств сильно различается. Так, если для уже упомянутого антивируса разработка необходимых правил занимает незначительное время, то для более сложных ИБ‑систем выстраивание процессов может оказаться очень серьезной и большой задачей, значительно превосходящей по трудозатратам и времени само внедрение.
По мнению Романа Косичкина, важным элементом будет обучение. Грамотному персоналу всегда легче объяснить, зачем мы внедряем ту или иную систему или применяем, например, запретительные политики. Эти люди понимают, от каких угроз помогут защититься те или иные мероприятия. При этом в первую очередь нужно оценить, что угрожает информации, хранимой и обрабатываемой в вычислительной сети организации. Необходимо понять, насколько велика вероятность реализации угроз, и выяснить, какой ущерб они могут нанести. Только после такой оценки, а также определения методов и средств защиты следует приступать к конкретным действиям.
Но при этом организационные меры должны быть выполнимыми и реально приниматься, а не существовать «для галочки». Тем более что только организационными мерами можно избежать утечек данных тогда, когда носителем информации остаются старые добрые твердые копии. А на них приходится весьма большая доля в общем объеме утечек, как случайных, так и намеренных. По мнению Дмитрия Смолева, ведущего системного аналитика отдела ИБ компании «Открытые технологии», для того чтобы процесс прошел успешно и не вызвал сопротивления, необходимо тщательное планирование и поэтапное внедрение.
Сергей Петренко идет намного дальше. Он считает, что систему менеджмента компании необходимо изначально строить правильно. Для этого все бизнес-процессы должны быть измеримыми и потенциально управляемыми (оптимизируемыми). Необходима сквозная система измеримых и управляемых показателей: от KPI на уровне целей и задач бизнеса до метрик ИБ и непрерывности бизнеса. Для этого можно и нужно воспользоваться рекомендациями стандартов ISO 9000, референтных моделей ARIS, eTOM на уровне бизнеса, ISO 20000, ITIL V3, Cobit 5.0 на уровне ИТ — ISO серии 27000 на уровне ИБ, BS25999 на уровне непрерывности бизнес-процессов. Роман Косичкин также советует следовать требованиям стандартов, поскольку это ведет к минимуму вмешательства в бизнес-процессы компании. К тому же государственные регулирующие органы ориентируются в своих требованиях на богатую международную практику.
Наоборот, если система ИБ в организации сложилась в результате стихийно проводимых мероприятий, то любые вновь принятые требования вызывают глобальную перестройку этой системы. Рустэм Хайретдинов советует искать баланс между требованиями бизнеса и безопасностью, так как зачастую построить защиту информации «как есть» будет стоить неоправданно дорого — по аналогии с тем, как защита урожая в поле стоит существенно дороже, чем его защита в элеваторе. Соответственно намного дешевле будет правильно собрать и упорядочить информацию в централизованных хранилищах и дать сотрудникам защищенный доступ к ней, чем пытаться защитить все локальные копии секретных документов на всех устройствах сотрудников.
Сопротивление будет всегда, так случается при введении любых ограничений. В данном случае потребуется работа внутреннего корпоративного PR, который должен донести до персонала, зачем это делается и как это отразится на безопасности, а значит, и прибыльности компании. Директор центра информационной безопасности компании Softline Андрей Тимошенков напоминает: политики, то есть стандарты и правила, внедряемые службой безопасности, не будут встречать сопротивления со стороны персонала организации тогда, когда они соответствуют организационной культуре, структуре и целям компании, в которой внедряются. При этом очень желательно интегрировать политику безопасности в общую систему стандартов управления, имеющуюся (с той или иной степенью формализации) почти в каждой организации. Необходимо обеспечить их непротиворечивость и взаимосвязь, тогда и внедрение политики безопасности не потребует перестройки бизнес-процессов.
Найти аргументы для руководства
Конечно же, самый весомый аргумент — требования всяческих нормативных актов и стандартов. Ведь невыполнение их может сделать невозможным ведение бизнеса. По мнению Олега Летаева, именно эта мотивация является второй по эффективности после реального инцидента. При этом рост угроз, мировая и российская статистика — аргументы весьма слабые. А по мнению Сергея Петренко, требования регуляторов и вовсе на первом месте.
Вместе с тем, как подчеркивает Рустэм Хайретдинов, мотивация у заказчиков в случае реального инцидента и тогда, когда надо добиться формального соответствия требованиям регуляторов, абсолютно различна. В первом нужна реальная защита, во втором — справка, что такая защита есть. Разница такая же, как между лечением и покупкой справки о здоровье. Правда, по оценке Андрея Конусова, ситуация начинает меняться, хотя и не так быстро, как хотелось бы. Все чаще организации переходят от выполнения требований регуляторов к оценке реальных рисков ИБ и созданию комплексных систем безопасности, способных обеспечить реальную защиту корпоративной информации. Каковы причины подобных позитивных изменений? Это экономический кризис, в условиях которого значительно ужесточилась конкурентная борьба, а следовательно, и вопросы сохранения информации. Очень важную роль сыграл и закон «О персональных данных». Он стал первой ласточкой законодательного регулирования вопросов ИБ абсолютно для всех организаций (а не только для государственных структур).
По мнению Евгения Акимова, многое зависит от специфики бизнеса. Ведь только владелец информации должен определять режим ее защиты: в случае с коммерческой тайной, которая принадлежит самой компании, правила диктует бизнес. А в случае с информацией, принадлежащей государству, — государство. Если же это информация клиентов компании, особенно физических лиц (персональные данные, врачебная тайна и пр.), то о своих гражданах заботится законодатель. Оборотная сторона — огромное количество нормативных требований. В результате не в каждой организации есть четкое понимание, чему, собственно, надо соответствовать. Даже если это понимание появилось, то сразу возникает следующий вопрос: а как же удовлетворить сразу всем законодательным и ведомственным требованиям, да еще и не забыть про требования и ограничения бизнеса? В данном случае «волшебной таблетки» не наблюдается, но правильным направлением видится применение унифицированных решений, которые могут быть использованы для закрытия требований различных нормативных документов. Однако это заметно удорожает проекты.
Также приходится слышать, что оценить эффект от внедрения тех или иных средств ИБ сложно, а то и невозможно. Но это не совсем так. Так, Сергей Петренко рекомендует воспользоваться наиболее известными методиками ROSI — TCO и TVO Gartner. Роман Косичкин советует оценивать потенциальный ущерб при отсутствии тех или иных систем безопасности. Обычно известны и стоимость конкретных ресурсов, и вероятность осуществления той или иной угрозы, о чем можно сделать вывод из примеров мировой, да и российской практики. Олег Летаев напоминает, что внедрение современных средств обеспечения ИБ снижает непродуктивную загрузку персонала, позволяет переориентировать персонал на решение задач, важных для бизнеса, приносящих прибыль. И зачастую это тоже можно посчитать. Более того, он советует привлечь само руководство к оценке стоимости своих информационных ресурсов, а также потенциального ущерба от нарушений ИБ. Рустэм Хайретдинов утверждает, что практически каждый успешный проект проходит финансовых контролеров, поэтому компании, специализирующиеся в области ИБ, быстро осваивают экономические аспекты информационной безопасности. В зависимости от того, какой именно проект обосновывается (обеспечение доступности, неизменности или конфиденциальности информации, модели угроз, инфраструктуры, бизнес‑составляющей и т. д.), можно применять соответствующие методики, моделировать угрозы и риски, возможный ущерб и влияние на бизнес. Евгений Акимов обращает внимание на то, что внедрение целого ряда средств, в частности DLP‑систем, средств очистки почты от спама, имеет явный бизнес-эффект. Часто оно возникает как побочный эффект, например, вследствие уменьшения объемов интернет-трафика или затрат на расходные материалы для печати. Известны даже случаи, когда именно это стало главным мотивом для старта проекта по внедрению системы класса DLP.
Обеспечение безопасности — приоритетная задача
Василий Солдатов,
системный инженер Brocade Russia & CISПроблема безопасности становится все более критическим фактором на всех уровнях ИТ-инфраструктуры. Многие организации обнаруживают, что им приходится отражать угрозы на нескольких фронтах, так как уязвимость сети неизбежно ведет к потере доходов, снижению уверенности клиентов и негативно сказывается на доверии к бренду.
Согласно недавнему исследованию планируемых ИТ‑расходов, проведенному компанией Enterprise Strategy Group (ESG), инициативы в области информационной безопасности попадают в первые четыре строки списка из 25 приоритетных ИТ-задач на 2010г.
Прекрасно понимая эти требования, Brocade сотрудничает с ведущими мировыми производителями, в частности с McAfee, в рамках открытой технологической архитектуры, предлагая совместные решения, специально предназначенные для удовлетворения требований корпоративных клиентов в области сетевой безопасности.