Многие слышали о стандарте поддержания безопасности ISO 27001:2005. Да, внедрение его дело хлопотное и долгое. Но результат того стоит. Хотя бы потому, что данный стандарт является не технологическим, а организационным. А это уже немало в борьбе с деятельностью злоумышленников.
Не надо напоминать, как часто мошенники используют разного рода манипулятивные технологии. Еще пример Кевина Митника показал, что куда проще узнать пароль для доступа в сеть от самих сотрудников, представившись системным администратором или аудитором, чем пытаться взломать или обойти ту или иную защиту. Противостоять им без внедрения мер, охватывающих всю компанию, практически невозможно. Впрочем, об этом чуть ниже.
Добрым словом и пистолетом
Сейчас инструментом кражи все чаще является не традиционная фомка, а компьютер. Ведь деньги — это не только монеты или банкноты, но и записи в базе данных, которыми манипулирует та или иная ИТ-система как на стороне банка, так и на стороне клиента. А такие денежные потоки довольно легко развернуть в сторону злоумышленников, которые используют все сколько-нибудь уязвимые места на пути этих самых потоков.
При этом многие злоумышленники для перехвата аутентификационных данных применяют всевозможные инструменты социальной инженерии, беря в качестве примера сценарии упомянутого Кевина Митника. В последнее время все чаще используются фишинговые технологии, когда оператора дистанционного банковского обслуживания заманивают на специальным образом подготовленную страничку, неотличимую от оригинала. На подобной технологии основано заражение троянской программой, которая перехватывает пароли и отправляет их злоумышленникам. Или же для внедрения вредоносной программы применяется электронное письмо. Чтобы на той стороне троянец запустили, текст письма делается максимально привлекательным для того, кто его будет читать. Содержание зависит от пола, возраста, семейных отношений и многих других факторов. И, как показывает реальный опыт, в 95% случаев злоумышленники своей цели добиваются.
Периодически мошенники используют и хорошо отработанные инструменты, как, например, фальшивые платежные документы. Многие помнят волну подобного рода афер с фальшивыми авизо начала 90-х. И на рубеже нулевых и десятых такая схема снова была взята на вооружение, прежде всего в регионах. На такую деятельность переключились многие традиционные организованные преступные группировки (ОПГ). Эти банды обладают достаточными ресурсами для того, чтобы подделать с высоким качеством практически любой платежный документ.
В момент написания этих строк стало известно об обезвреживании банды, которая специализировалась на изготовлении фальшивых банковских гарантий для участников торгов на исполнение госзаказа. В официальном комментарии ГУ МВД по Москве сообщили: «В результате деятельности ОПГ подложными гарантиями были обеспечены государственные контракты на общую сумму более миллиарда рублей, то есть была создана реальная угроза нанесения существенного ущерба бюджетам Российской Федерации различных уровней».
Часто хакеры используют лазейки, которые вольно или невольно были оставлены при создании систем. Например, когда забыли сменить заводской пароль на том или ином сетевом оборудовании или в стандартной учетной записи СУБД, с которой работают бизнес-приложения. Ну а если это беспроводная точка доступа, то тут кража будет делом тривиальным. Именно таким образом было скомпрометировано более ста миллионов номеров кредитных карт, которые украла хакерская группировка, проникнув в кассовую систему розничной сети. Найдено же слабое звено было с помощью банального вардайвинга, для которого достаточно велосипеда (или скутера) и ноутбука со специально доработанной антенной, сделанной из обычной пивной банки. Это по силам даже подростку.
Никуда не исчезают и всевозможные виды мошенничества, ориентированные на специфику отрасли. Существует огромное количество схем, применяемых для того, чтобы погреть руки на страховых компаниях, банках, магазинах, телекоммуникационных операторах. Причем сценарии постоянно меняются по мере появления новых услуг или тарифных планов. Бывает и так, что ушлые потребители находят слабое место в том или ином тарифе и злоупотребляют им, нанося убытки компании. Впрочем, эта проблема лишь частично касается нашей темы и для ее решения необходимо задействовать множество инструментов, часто сложных.
Закрыть уязвимые места
Именно к фразе, вынесенной в подзаголовок, и сводятся работы по созданию системы управления (или менеджмента) информационной безопасностью (СУИБ, иногда СМИБ), соответствующей требованиям стандарта ISO 27001. Канонический процесс внедрения СУИБ состоит из 14 этапов. Они перечислены, например, в статье Википедии, посвященной стандарту, и подробно описывать их нет большого смысла. Всё сводится к созданию системы управления рисками, которая выявляет и закрывает наиболее опасные в плане возможных потерь направления. Соответствие стандарту подтверждает независимый аудит. Обычно к таким проектам привлекают внешних консультантов, но были и случаи, когда работы проводились полностью своими силами.
Тут наиболее важными этапами являются создание перечня активов, определение их уязвимости и значимости для бизнеса. И именно здесь могут возникать сложности, поскольку активов обычно бывает очень много и на адекватную защиту их всех может просто не оказаться ресурсов. Так что нужно выделить только те активы, значимость которых выше определенной планки, причём величину этой значимости также требуется определить и согласовать со всеми заинтересованными сторонами.
Важным и не менее сложным этапом является подготовка и обучение персонала. Каждому сотруднику отводится та или иная роль в рамках модели. Как показывает опыт, проще всего данный этап проходит там, где внедрили систему менеджмента качества, потому что процессы в рамках стандартов ISO 9000 и ISO 27001 очень похожи. Есть примеры того, как ПО для фиксации событий в области управления качеством практически безо всяких доработок применяли для нужд СУИБ (см.: Два года с ISO / IEC 27001 / / Intelligent Enterprise, 2010, №5). Хорошо помогает и материальное стимулирование, когда выявление той или иной уязвимости в системах, процессах или тарифах оплачивается.
И именно вопрос кадров, как мне кажется, является ключевым при определении того, будет ли проект успешным. Если персонал осознал, что это необходимо, всё гарантированно будет идти так, как планировалось. Но если он по тем или иным причинам сопротивляется, то тут ничего хорошего ждать не приходится. А сопротивление может возникнуть, скажем, из-за того, что дополнительные задачи, которые возлагаются на тех или иных сотрудников, могут занимать слишком много времени, что не лучшим образом влияет на выполнение непосредственных служебных обязанностей. Это, в свою очередь, может сказаться на KPI, а следовательно, и на заработках, а также вызвать недовольство руководства подразделений, что самым пагубным образом будет влиять на психологическую обстановку в коллективе.
Можно ожидать и открытого саботажа со стороны тех, кто так или иначе вовлечен во всякого рода фрод или злоупотребления. Ведь не секрет, что очень многие сценарии требуют участия кого-то внутри компании. А это и многие виды телекоммуникационного фрода, и страховые и кредитные мошенничества, да и много чего еще. Впрочем, в такой ситуации нет худа без добра, поскольку она позволяет если не вывести недобросовестных работников на чистую воду, то хотя бы снизить их активность и, значит, потенциальный ущерб от их деятельности.
Важно, что построенная система должна гибко адаптироваться под изменения ситуации. Именно поэтому выстроенная СУИБ должна с определенной периодичностью, обычно раз в три года, регулярно проходить надзорный аудит. Еще чаще должны проводиться аудиты внутренние, как общие, так и для различных подсистем. При подготовке к этим аудитам список активов и угроз корректируется: те, что потеряли актуальность, устраняются, а взамен вносятся новые, значимость которых выросла.
При этом построенная система охватывает всю компанию, не ограничиваясь только компетенцией службы информационной безопасности, которая часто сильно ограничена. СУИБ же через всевозможные постоянные и временные комиссии охватывает все (или почти все) подразделения компании. А значит, и тот персонал, который непосредственно может встать на пути афериста — то есть практически всех, кто взаимодействует с клиентами, заказчиками, партнёрами, контрагентами.
Известно, что злоумышленники часто маскируются под добропорядочных покупателей, и тем не менее есть четкие признаки, которые позволяют их выявить. Так что определить даже самую высококачественную подделку платежного документа или карточку, использующую украденные мошенниками реквизиты, вполне можно. Не говоря уже о том, что подозрительный клиент ведет себя как-то не так. Каждое такое выявление означает предотвращенную кражу, часто крупную. И одной-двух таких предотвращенных афер вполне достаточно, чтобы полностью окупить проект.
Необходимо разъяснить персоналу, как отличить фишинговую страничку от реальной или как определить, содержит письмо вредоносную программу или нет. В итоге уже на начальной стадии проекта количество тех, кто бездумно открывает прикрепленные к электронным письмам файлы, уменьшается вдвое. Если же выстроена полноценная СУИБ, то счет идет уже на порядки. А это многого стоит, так как каждое не открытое подозрительное вложение — это предупрежденное заражение вредоносной программой, за которой как минимум стоят владельцы зомби-сети или просто мошенники, пытавшиеся украсть деньги.
Так что не случайно, что интерес к таким проектам растет во времена экономических неурядиц. Ведь именно в кризис всякого рода мошенники особенно активизируются. Тем более, что в этом качестве могут выступать и те, кто потерял работу и хорошо знает узкие места в той или иной сфере.
Но иногда на внедрение данного стандарта идут просто потому, что соответствие ему является обязательным для работы на некоторых внешних рынках. Таковы, например, требования к телекоммуникационным компаниям в Японии и ряде других стран (именно это стало мотивом к первому подтвержденному внедрению ISO 27001 в России). Или когда головная компания внедрила стандарт у себя и того же требует ото всех филиалов и дочерних структур. Тому примеры тоже есть, причем не единичные. Как правило, это банковские группы или страховые компании. В последнее время наметился явный практический интерес и со стороны предприятий розничной торговли, особенно тех, которые специализируются на дорогостоящих товарах — ювелирных изделиях, электробытовых приборах и электронике.