Рубрика:
БИТ. Бизнес & Информационные технологии /
История вопроса
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВЛАДИМИР ИВАНОВ, специалист по информационной безопасности. Увлекается психологией, историей, философией
Иллюзия безопасности, или Размышления о рынке инсайдерских услуг
Почему все вокруг твердят об угрозах безопасности, а реальных прецедентов не так уж и много? И откуда следует ждать удара?
Кража информации
Преступления, имеющие своей целью кражу информации, обладают несколькими отличительными особенностями:
- Информация – крайне скоропортящийся продукт. Обычный преступник может украсть кольцо с бриллиантом и хранить его лет двадцать, пока истечет срок давности преступления. С информационными технологиями такой номер не пройдет – степень устаревания данных варьирует от нескольких минут (например, в СМИ или на бирже) до нескольких недель (например, при продаже недвижимости). И крайне редко случается, когда «добыча» может пролежать без использования длительное время, скажем, полгода, год. Обычно это касается фундаментальных исследований и других мало распространенных вещей.
- Кража информации практически всегда осуществляется под заказ. Квартирный воришка, не сумевший продать краденый DVD-плеер, может хотя бы тайком смотреть на нем фильмы. Но чужая клиентская база, как правило, самого похитителя не интересует. Мало того, во многих случаях информация как таковая не интересует и заказчика, которому необходим сам факт взлома для дискредитации конкурента. Таким образом, речь идет о соответствующем рынке, на котором, с одной стороны, должен быть спрос на кражу информации, а с другой – люди, готовые и способные это осуществить.
- Практически ни один грамотный взлом не обошелся без участия инсайдера, то есть человека, либо имеющего доступ к информации, либо способного оказать необходимую помощь взломщику.
Поэтому, когда говорят об угрозах, связанных с неправомерным доступом к тем или иным сведениям, в первую очередь речь идет об инсайдерских услугах.
Инсайдерские услуги: вчера, сегодня
Мы будем рассматривать обе стороны медали: спрос и предложение.
Сегодня говорить всерьез об инсайдерстве не приходится, потому что в России практически нет рынка таких услуг.
Что касается спроса – он пока что невелик. Дело в том, что развитие сознания большинства предпринимателей и руководителей крупных фирм формировалось в 90-е годы прошлого века. Тогда большую роль играли связи (в том числе и с криминалитетом). Поэтому все вопросы конкурентной борьбы они решали и пока что решают (пусть даже по инерции) «через верх». Для этого в коррумпированном российском обществе существует масса специфичных механизмов, которые при этом постоянно совершенствуются.
Например, сейчас уже не нужно привлекать высоких чиновников, чтобы закрыть конкурирующую компанию. Достаточно подсуетиться, чтобы той не выдали кредит, или подтасовать результаты тендера. Этого бывает достаточно, чтобы дела у «врагов» пошли под уклон. Поэтому, имея такие мощные рычаги воздействия, возиться с чьими-то базами данных, как говорится, не с руки. Нанимать людей, которые в этом разбираются, анализировать данные, потом пытаться все это как-то использовать... Да еще не факт, что все выйдет, как задумывалось. Куда проще сделать пару звонков «нужным людям». Сейчас ситуация в принципе меняется. В России с коррупцией идет война, иногда даже весьма успешно. Но общие тенденции и методы конкурентной борьбы пока остаются незыблемыми.
Следует отметить также, что уровень общей компьютерной грамотности в 90-е годы был крайне низок. На компьютерах работали избранные, и любой человек, умеющий набирать тексты в «Лексиконе» и копировать файлы в Norton Commander, мог называть себя программистом или хотя бы оператором ЭВМ. Роль компьютерной техники в основном ограничивалась функциями пишущей машинки и «навороченного» калькулятора. Руководство компаний, как правило, не имело достаточного уровня компьютерной грамотности, чтобы по достоинству оценить как преимущества, так и опасности, которые несут информационные технологии.
Сегодня ситуация меняется, но очень медленно и не везде. Поэтому дорогой ноутбук, покрытый толстым слоем пыли, в кабинете у «генерального» – весьма нередкая картина в российских компаниях.
Представим себе, что какой-то сотрудник рядовой фирме умудрился выгрузить клиентскую базу. Куда он с ней пойдет? Обратится напрямую к конкурентам? Скорее всего ему откажут в грубой форме, да еще и сообщат работодателю. Решат, что провокация, или просто в этих данных нет нужды.
С предложением тоже негусто. Прежде грамотных пользователей компьютера было немного. Большинство офисных работников умели выполнять очень ограниченный набор зазубренных действий. Поэтому мало кто из них даже при желании мог украсть информацию. Добавьте к этому программное обеспечение, разрабатываемое силами своих программистов, и станет понятно, почему инсайдинг среди обычных сотрудников был почти нереален. Сейчас ситуация несколько иная, но существенных изменений практически не произошло. До сих пор многие пользователи, чтобы выполнить ряд несложных операций, зовут на помощь «компьютерщика».
А что же ИТ-специалисты? Казалось бы, получая невысокие зарплаты, да еще с задержками, не видя для себя особых перспектив, не имея никаких особенных ограничений в плане контроля безопасности, они вполне могли бы осуществить утечку данных без особых подозрений.
Отвечая на этот вопрос, следует учесть моральную и интеллектуальную составляющую профессионалов в области информационных технологий прошлого. Это были представители нынешнего старшего поколения, которые родились и выросли в СССР. Воспитанные на книгах А.Чехова и А. Азимова, они шли в ИТ либо за интересной работой, либо чтобы просто выжить в 90-е. Погоня за большими деньгами тогда их мало интересовала. И вместе с ностальгией по старым временам у них еще сохранялся некий налет романтизма, привнесенный из оборонных конструкторских бюро и других закрытых убежищ для интеллектуалов. И даже сейчас, несмотря на все экономические кризисы и засилье вакансий типа «...мужчина, до 35 лет...», они остаются в строю, являясь основной моральной составляющей современных ИТ-служб. Поэтому среди «айтишников», работавших еще в 90-х – 2000-х годах, маловато желающих «слить инфу».
Каковы перспективы?
Итак, сегодня на рынке инсайдерских услуг ажиотажа не наблюдается. Но если попытаться экстраполировать данную ситуацию на будущее с учетом реалий нынешних, то вырисовывается интересная картина.
Как было сказано выше, среди представителей топовых позиций инсайдерские услуги не пользуются популярностью. Но сейчас потихоньку подрастают так называемые менеджеры среднего звена, у которых нет таких эффективных «рычагов», как у высшего руководства, но есть выраженное желание добиться успеха любой ценой. Надо понимать, что эти люди читают не только классическую литературу и фантастику. Например, бестселлером среди офисных сотрудников долгое время была книга «Как быть крысой» (автор Сгрийверс Йооп). Этот контингент уже не шарахается от компьютера, а обладает вполне сформировавшимися навыками на уровне среднего пользователя. Вот они как раз могут создать спрос на информацию, добытую незаконным путем. Та же клиентская база им будет интересна, но не для того, чтобы уничтожить конкурентов, а для более мелких и насущных задач: получить годовой бонус или место начальника отдела... Сейчас подобные действия редкость, но все еще впереди. Рассматривая возможную активность среднего менеджмента в формировании спроса на инсайдинг, следует учитывать, что кое-кто из них в будущем пробьется в ряды топ-менеджеров или откроет свой бизнес. А это значит, что из мелкого пакостника такой заказчик превратится в весьма крупного игрока в данном сегменте теневого рынка.
Но это спрос. С предложением инсайдерских услуг еще забавнее. Пока что его просто нет. Мало достаточно грамотных пользователей, способных добыть необходимые сведения, не рискуя при этом головой. Но это пока. Выше я писал о возможных заказчиках на данные незаконные услуги. Но точно такие же люди работают и с другой стороны. И весьма вероятен тот факт, что обиженный на руководство сотрудник решит поправить свое финансовое положение, предоставляя за деньги информацию о своей фирме на сторону. И удержать от подобных поступков его смогут только серьезные меры безопасности.
Говоря о мерах безопасности, не стоит забывать о сотрудниках ИТ-служб. Сегодня сфера информационных технологий из оплота последних романтиков становится прибежищем случайных людей. Кто-то пришел подработать на время учебы, кто-то думает, что уметь поставить Windows на компьютер – достаточное основание, чтобы тебя считали крутым профессионалом. А кто-то подался в «айтишники» потому, что больше никуда не брали, а тут удалось устроиться. В современном обществе потребления, пережившем за последние пятнадцать лет два экономических кризиса, материальные ценности одерживают верх над нравственными «предрассудками». Настанет момент, когда эти самые случайные люди начнут задумываться о своем месте в жизни. Как раз к тому времени подоспеет спрос на инсайдинг со стороны «менеджеров среднего звена». А видя такое дело, и часть бывших «романтиков», уставших от бытовых и материальных неурядиц, подтянется к дележу халявного пирога.
При наличии и спроса, и предложения разумно предположить, что появятся посредники в этом нелегальном «бизнесе». При этом они могут не только помогать клиентам в поиске исполнителей и заказчиков, но и брать на себя некоторые технические аспекты, например, дешифрацию, выгрузку данных в удобочитаемый формат и так далее.
***
Тут, конечно, много всяких «но» и «если». Например, такое вялотекущее положение дел, выраженное словами «отдел ИТ – чтобы бухгалтерия работала», может продлиться еще десятилетие. Учитывая разваленную российскую экономику, да запросто. Или облачные вычисления станут настолько популярными, что все ИТ-ресурсы будут перенесены в «облака», что сильно затруднит кражу информации (хотя не стоит забывать о людях, которые будут обслуживать эти самые «облака»). Но в современной России чаще всего срабатывает именно самый худший сценарий. И нас ждут удивительные времена. Кстати, «на самом верху» это понимают, и «Закон о персональных данных» [1] тому подтверждение.
Поэтому компаниям уже сейчас нужно задумываться о повышении лояльности среди ИТ-персонала. Эти меры ни в коем случае не должны носить репрессивный характер. В первую очередь надо сделать ставку на достойную оплату труда и поддержание хорошего морального и психологического климата в коллективе. Одна из необходимых мер в данном направлении – отказ от любых дискриминационных составляющих, включая возрастной ценз или разделение по половому признаку. Помимо этого нужно вводить решения, отвечающие современным требованиям безопасности, потому что применять меры после утечки данных будет уже поздно.
- Федеральный закон Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных-» – http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|