Киберпреступность называют бичом современного постиндустриального общества. Об информационной безопасности говорят на любом мероприятии, так или иначе посвященном ИТ. В рамках конференции "Информационная безопасность бизнеса и госструктур" обсуждалось, какие тренды в сфере ИБ существуют, как меняется мышление и для кого наиболее важен аспект безопасности: для частных или государственных организаций? Выводы оказались любопытными.
Увеличивается количество государственных информационных систем, соответственно, увеличивается и количество обрабатываемой ими информации, а значит, и зависимость от таких систем государства. При этом на сайты госструктур постоянно производятся атаки. Так, например, в течение 2012 г. неоднократно подвергался DDoS-атаке сайт ФГУП "Почта России". Понятно, что в таких условиях обеспечение информационной безопасности становится все более актуальным вопросом. Но существующие нормативно-правовые документы, регулирующие эту сферу, узкоспециализированы и не обеспечивают целостного подхода и широкого вовлечения в процесс экспертного сообщества.
Существуют и другие проблемы в этой сфере. По мнению Александра Шепилова, такая ситуация с ИБ в госструктурах сложилась, во-первых, из-за того, что большое количество чиновников еще не считает информационную безопасность насущным вопросом, так как до сих пор работает по старинке и искренне не верит, что мир в корне изменился. Во-вторых, системами такой сложности, когда в информационный обмен вовлечено большое количество участников, невозможно управлять из какого-то одного центра. В обсуждение ситуации стоит обязательно привлекать гражданское и экспертное общество.
Бизнес под прицелом
Направленная атака – одно из серьезных киберпреступлений, о которых постоянно говорят в СМИ. Мирослав Лучинский, директор по развитию компании "Монитор Безопасности", в своем докладе привел самые интересные недавние случаи. Так, например, канадские власти зафиксировали беспрецедентную кибератаку на свои компьютерные сети, в ходе которой хакеры получили доступ к засекреченным федеральным документам, а два подразделения канадского правительства оказались отрезаны от интернета. Кроме того, на протяжении 2010 г. хакеры как минимум несколько раз получали доступ к интернет-сервису биржи Nasdaq, созданному для компаний-эмитентов для того, чтобы они могли безопасно обмениваться конфиденциальной информацией. Сообщения о подобных атаках поступают из разных стран. Преступников чаще всего интересуют данные о кредитных картах.
В качестве противодействия направленным атакам Мирослав Лучинский рекомендует проводить периодические тесты на проникновение – это, по его мнению, ключ к осознанию реальной ситуации ИБ в организации. Нужно понимать, что противодействие направленным атакам возможно только с использованием комплексного подхода, то есть нельзя доверять только организационным мерам или продуктам обеспечения безопасности по отдельности. При этом 100% безопасность невозможна, но все-таки нужно стремиться сделать взлом организации экономически невыгодным.
"Предъявите ваши коды"
Еще одна мера противодействия киберпреступлениям – тщательная проверка исходных кодов. Захар Федоткин, руководитель направления компании "Информзащита", уверен, что разработчиков ПО меньше всего интересуют вопросы нашей информационной безопасности. Их интересует только собственная репутация. Проприетарный софт, по мнению Захара Федоткина, это "черный ящик", и нет гарантии, что такой "ящик" безопасен и до конца выполняет заданный функционал. С open source, казалось бы, таких проблем не должно быть по определению, но тут возникает второй вопрос: проверяет ли кто-нибудь открытые исходные коды на наличие уязвимостей?
В качестве выхода было предложено тестировать любое ПО: как свободное, так и проприетарное – популярность того или иного приложения не страхует от проблем с безопасностью. Кроме того, следует также проверять и саму организацию-разработчика. Последнее можно сделать, проведя небольшое интервью в подобной компании. Следует узнать, как у них построен цикл разработки, используются ли средства статического и динамического анализа для проверки исходных кодов, есть ли в компании список запрещенных функций. Разработчики не всегда горят желанием показывать свои исходники. Но это, считает Захар Федоткин, лишь вопрос настойчивости заказчика. "Смотря как попросить", – говорит он.
Системы управления доступом сотрудников к той или иной информации тоже должны отвечать требованиям безопасности, говорит Сергей Ступин, менеджер по продукту, Трастверс. Часто бывает так, что подобные системы работают по алгоритму, который легко раскритиковать. "Часть, связанная с постоянным контролем, очень важна, – поясняет Сергей Ступин. – Контроль должен осуществляться постоянно. Если механизм работы таков, что после выдачи сотруднику определенных прав доступа система раз в несколько часов проверяет положение дел, то можно предположить, что в эти несколько часов можно дать несанкционированный доступ, а потом все вернуть к исходному состоянию, и это останется незамеченным".
Жесткую позицию занял Лев Матвеев, генеральный директор SearchInform, представивший собравшимся DLP-систему, коэффициентом успешности которой служит количество уволенных сотрудников через 3–4 месяца работы системы; в процентном соотношении их должно быть около 1% от общего числа сотрудников компании. Если никто не уволен, значит, с системой не работали и купили ее зря.
В качестве примера Лев Матвеев привел самый крупный случай у клиентов компании SearchInform, когда из 40 служащих отдела закупок было уволено 25 человек. "Теория – это хорошо, но мерилом истины остается практика. Нельзя просто запрещать каналы, иначе компьютер превратится в пишущую машинку, а это неэффективно с точки зрения бизнеса. Разрешите все каналы, но строго их контролируйте. Нужно взять под контроль и скайп, и Ipad, и ноутбук, и вообще все, что только можно. Хорошая служба безопасности должна работать на упреждение, поэтому ей необходимо видеть все подводные течения в компании: вычислять неформальных лидеров, понимать связи между сотрудниками – это знание дает очень важную информацию. Кроме того, с помощью нашей системы можно отслеживать, например, махинации менеджеров, вычислять ранимых сотрудников – тех, у кого есть долги, и, следовательно, на которых можно давить извне, тех, у кого есть пристрастие к алкоголю и наркотикам. Отдельная тема, актуальная для больших компаний, – топ-менеджеры дочерних организаций. Тут можно выявить столько интересного!"
Не только человек является внутренней угрозой, но и бизнес-приложения, автоматизирующие деятельность, например, ERP-системы. Об этом предложил вспомнить Николай Здобнов, руководитель отдела корпоративных продаж компании Infowatch. Когда поставляются новые модули к таким приложениям, прием происходит обычно по функционалу, в то время как про тестирование на присутствие недекларированных возможностей забывают. "Мы вынуждены использовать автоматизацию бизнеса, но новые возможности – это всегда новые пути для угроз. При этом мы уже не довольствуемся простой защитой от утечек информации, это видно по развитию рынка".