Принципы неуязвимости. Чем руководствуются компании США

 КОНСТАНТИН КОНДАКОВ, директор по ИТ в поисковом гиганте Looksmart в Сан-Франциско. Занимается автоматизацией и гетерогенными сетями. Женат, двое детей. Хобби – альтернативное кино и видеосъемка

Принципы неуязвимости
Чем руководствуются компании США

В этой статье попробую обзорно остановиться на вопросах информационной безопасности, с которыми приходилось сталкиваться во время работы в различных американских фирмах

Сразу оговоримся, что речь пойдет о «типовых» фирмах, которые составляют «костяк» так называемой Кремниевой долины и имеют штат не более 500 человек. В более крупных организациях, в информационных структурах военных ведомств, оборонных предприятий, а также в ИТ-отделах спецслужб этот вопрос решается, по-видимому, совершенно другими способами.

Общее определение безопасности

Если достаточно широко определить понятие «безопасность» по отношению к информационным технологиям, то можно сказать, что безопасность систем, занимающихся обработкой данных, – это степень защищенности и способности противостоять внешним угрозам.

Иными словами, бизнес должен функционировать с минимально возможными потерями при атаке на него. В связи с этим принято говорить о двух тезисах.

Первый – это оценка текущего положения дел, чтобы привести информационную безопасность в надлежащее состояние.

Второй – это постоянный поиск возможных уязвимостей системы, отслеживание обнаруженных «дыр» в защите и поддержание как активных, так и пассивных элементов защиты в боевом состоянии.

Часто приходится сталкиваться с ситуацией, когда после начального устранения всех брешей в безопасности фирма считает, что незачем что-то еще делать, ведь «мы же заплатили за то, чтобы нас привели в норму?!». Такое заявление в корне неправильное.

Информационная безопасность – это процесс, который постоянно находится, как, впрочем, и все, что имеет отношение к технологиям, в динамике.

С одной стороны, в уже имеющемся и казавшемся надежным инструментарии, как выясняется, обнаруживаются уязвимости. А с другой стороны, новые операционные системы и программные продукты неизбежно сопровождаются системными ошибками и «дырками» в безопасности – с этим системному администратору постоянно приходится иметь дело.

Безопасность на кадровом уровне

На страницах «Системного администратора» [1] мы уже вели разговор о кадровой составляющей в процессе обеспечения безопасности.

Когда я устраивался в первый раз на достаточно серьезную позицию в американскую фирму, то ожидал многоуровневого тестирования, хитрых вопросников, всяких «детекторов лжи» и прочих средств, которые нам известны по фильмам. Но меня, откровенно говоря, несколько удивило обстоятельство, что при приеме на ответственные должности системных администраторов, директоров ИТ в США ничего из этого не используется – весь процесс отбора персонала и приема на работу достаточно прозаичен, а в какой-то степени даже основан на доверии, особенно если дело касается совсем крохотной фирмы. Но чем больше и солиднее компания, тем тщательнее она подходит к проверке кандидатов. Хотя в большинстве случаев достаточно простые запросы могут дать очень неплохие результаты. Почему? Тут есть несколько обстоятельств, на которые надо обратить внимание.

Первое обстоятельство

В процессе заполнения заявления на работу соискатель позиции в обязательном порядке указывает так называемый номер социального страхования (Social securiuty number, SSN), значащий в США гораздо больше, чем российский индивидуальный налоговый номер (ИНН), который, кстати, был введен исходя примерно из тех же соображений налогового учета.

Но если в России можно вполне сносно жить и получать зарплату, минуя институт ИНН, то в США это сделать практически невозможно. Находятся экстремалы-одиночки, живущие в отдаленных областях Аляски или в индейских резервациях на натуральном хозяйстве. А законопослушное население в подавляющем большинстве случаев номер социального страхования прямо или косвенно использует практически каждый день.

Абсолютно все финансовые проводки – любые банковские счета, любые кредитные карты, ипотека – получение и использование водительских прав, поступление на учебу и работу и т.п. – везде используется номер социального страхования, который, подобно первичному ключу в базе данных, сопровождает человека с момента рождения до самой смерти. Эта информация постоянно собирается , накапливается, кем-то анализируется и сортируется.

Частный случай – «кредитная история», учет и анализ которой ведут три независимые организации – TransUnion, Experian, Equifax («кредитые бюро»), к их услугам прибегает подавляющее большинство банков и финансовых организаций.

ФБР и иные спецслужбы имеют доступ к более полной информации. Но существует достаточно много организаций, которые за символическую плату (от 10 до 100 долларов) проверяют кредитный рейтинг и сопутствующие ему сведения физического или юридического лица.

Дополнительно можно запросить наличие тех или иных записей в судебных или гражданских книгах и некоторую другую любопытную информацию. В США существует много законов об ее открытости. Первая поправка к Конституции США («о свободе слова») – дело святое.

Понятно, что в эпоху Google можно получить за полчаса немало информации о любом человеке или фирме, поэтому, усилив этот поиск знанием номера социального страхования и прошуршав по публичным онлайн-архивам, можно найти намного больше всякой полезной всячины, а на основе этих сведений делать выводы. Например, сейчас многие пользуются услугами профессиональной сети LinkedIn [4], чтобы посмотреть, кем и где работал человек, есть ли у него рекомендации с предыдущих мест работы, а если есть, то носят ли они формальный характер или написаны искренне.

Для среднестатистической фирмы с количеством сотрудников от 30 до 200 человек не составляет труда заплатить номинальный тариф за «расширенный поиск» – обычно это стоит от 10 до 100 долларов, более глубинный поиск делают реже – и документально удостовериться в порядочности человека или организации. Мне лично довелось участвовать в нескольких подобных запросах, которые привели к отказу в получении работы на фирме, где я в то время трудился.

Однажды нам нужно было сдать в субаренду излишек офисной площади, который очень бы пригодился молодым фирмам. Мы получили несколько заявлений – имя, фамилия, номер социального страхования, текущий счет в банке. Практически в любом банке США есть автосекретарь, который делает доступной информацию о счете и последних финансовых транзакциях, если ввести номер счета и… номер социального страхования. Металлический голос холодно ответил, что на текущем счету остаток в 75 долларов, а за последний месяц было проведено всего две транзакции – по 20 долларов каждая. Понятно, что такому субарендатору мы офисную площадь не сдали. Видно, что дела там шли не самым лучшим образом, а у нас не было ни времени, ни желания участвовать в судебных тяжбах по его выселению за неуплату аренды. Риск этой неуплаты был слишком большим.

Второе обстоятельство

Обычно в процессе правильно построенного интервью можно выявить много интересного, как по технической глубине и широте знаний, так и по обстоятельствам приема и увольнения кандидата на его предыдущих позициях. Например, всегда должны насторожить сроки работы на предыдущих местах один – три месяца или свыше пяти-шести лет. Ну, если с первым все понятно, то второе обстоятельство требует пояснения.

В Америке считается, что человек на одной должности не должен работать больше двух – четырех лет. В одной фирме можно трудиться и намного дольше, но должны быть видны динамика, карьерный рост и расширение полномочий. Пример: интерн, системный администратор, старший системный администратор, директор ИТ, вице-президент ИТ. А что можно сказать о человеке, который, скажем, в адвокатской конторе работал директором ИТ 12 лет?!. Не секрет, что достаточно сложно учиться новым технологиям, а также каким-то бизнес-направлениям при таком раскладе.

Глядя на строчку «фирма LookSmart 2000 – 2010, директор по тестированию», рекрутер подумает про себя: «Дело свое он, видимо, знает. Но за 10 лет на одном месте появилось чувство ленивого комфорта на работе, не уверен, что способен быстро обучиться совершенно новым технологиям на новом месте работы».

Хотя везде могут быть абсолютно нормальные причины (например, семейные обстоятельства или внеплановые внезапные сокращения штатов), из-за которых периоды занятости могут выглядеть подозрительно. Кстати, чтобы выявить из рутинного перечня предыдущих мест работы всякие пикантные подробности, вовсе не обязательно задавать всякие хитроумные вопросы, устраивать перекрестный допрос или ставить «ловушки». Достаточно просто внимательно прочитать резюме и обратить внимание на информацию «между строчек». Например, читаем: «Ввел на фирме систему автоматизации puppet». Сразу много интересного. Что значит «ввел»? А что было до этого? А какая была оппозиция этой инициативе? Или читаем в резюме: «основал фирму». Что значит «основал»? Где теперь эта фирма? Что конкретно случилось? Чья была идея? Кто чем занимался?

Достаточно опытный ИТ-менеджер в ранге директора или вице-президента способен, получив ответы на эти вопросы, создать точный психологический портрет кандидата, понять степень его психологической устойчивости, а также потенциальных угроз для безопасности фирмы и информационных систем. К сожалению, мне неизвестны какие-то спецкурсы или тренинги для менеджеров, кому по роду службы нужно решать подобные вопросы. Хотя опытный менеджер и так знает, что 35-летняя женщина с тремя маленькими детьми будет отсутствовать на работе значительно дольше, чем 25-летний неженатый мужчина, поэтому в случае ЧП, когда требуется авральная работа всех сотрудников, она будет слабым звеном. Разумеется, официально об этом никто и никогда не скажет. С вопросами дискриминации по полу, возрасту, семейному положению, вероисповеданию и т.п. тут дело обстоит строго.

Система информационной политики – внутренние и внешние враги

Каждой уважающей себя фирме, которая имеет элементарное представление об информационной безопасности, директор ИТ под руководством СТО или вице-президента составляет базовый документ «Базис информационной безопасности компании». Часто к разработке и контролю этого документа подключают и руководителей отделов безопасности или (и) директора по качеству, которые проверяют на соответствие информационной безопасности компании общепринятым нормам.

В «Базисе информационной безопасности компании» формально регламентируется следующее:

• Ключевые информационные системы (серверы, сетевое оборудование и т.п.) и ответственные за них лица.
• Степень важности той или иной информационной системы – иными словами, каков урон будет нанесен бизнесу, если какая-то система будет неработоспособной.
• Последовательность действий для восстановления той или иной системы.
• Информационный периметр – здесь регламентируется, каким образом и для кого допускается вход в систему снаружи, через VPN/bastion host или иным способом, степень защищенности паролей и частота их смены, кем и как контролируется доступ к ключевым системам.

Часто отдельно составляется документ, который детально описывает, как восстановить работоспособность системы в случае ЧП (например, серьезный пожар в центре хранения данных или крупномасштабное заражение серверов).

В особо важных случаях все шаги, описанные в этом плане, используются для построения «вспомогательных систем» где-то в другом месте, они, подобно резервным электрогенераторам, запускаются в аварийной ситуации.

ИТ-аудит с точки зрения безопасности и особые требования, предъявляемые к публичным фирмам

Недостаточно просто составить список требований и провести начальную работу по защите информационного периметра. Все это надо постоянно держать в нормальном состоянии, контролировать и проверять на работоспособность. Этими вопросами занимается так называемый ИТ-аудит, который отнимает у руководителей ИТ-подразделений, особенно в фирмах, выпускающих акции, немало времени и сил. И вот почему.

После того как в начале 2000-х годов в США прокатилась волна шумных финансовых скандалов и банкротств, связанных с неправильным ведением бухгалтерии в фирмах, которые считались длительное время столпами солидности и надежности (Enron, Worldcom, Tyco), власти утвердили так называемый Sarbanes-Oxley (сокращенно SOX – 2002 [2]). Это акт, который в целях защиты прав акционеров обязывает раскрывать финансовую информацию всем без исключения фирмам и организациям, которые выпускают акции.

Лопнувший Enron навел столько страху и серьезно задел финансовые интересы огромного числа акционеров, что к подготовке SOX подошли более чем обстоятельно.Значительная часть этого документа посвящена деталям раскрытия финансовой прозрачности и должна рассматриваться скорее не на страницах «Системного администратора», а в специализированном финансовом издании, но там есть и довольно обширная часть, которая касается регулирования деятельности ИТ с точки зрения защиты от различных информационных угроз.

В двух словах: используются те же принципы контроля, прозрачности и распределения полномочий, чтобы шустрый ИТ-специалист не «подправил» и не выложил на всеобщее обозрение файлы финансовой отчетности по «звонку», по незнанию, или, что гораздо хуже, по своей инициативе – это с одной стороны. Ну и общие вопросы информационной безопасности – с другой.

Что это значит в реальности? В фирму являются по специальному приглашению аудиторы. Это обязательная часть проверки, которая должна проводиться не реже, чем раз в год, а по некоторым позициям требуется ежеквартальная отчетность. Эти аудиторы имеют специальную ИТ-подготовку и опыт работы по выявлению нарушений безопасности в ИТ, подтасовки фактов, неправильного хранения информации и предотвращению утечек данных.

Руководитель ИТ-подразделения фирмы общается с аудиторами, которые изучают имеющуюся документацию и ИТ-инфраструктуру – после детального разбора имеющейся информационной структуры и тщательного анализа «Базиса информационной безопасности» фирмы аудиторы должны вынести заключение, что «да, ИТ структура достаточно надежна и отвечает строгим требованиям по разделению прав доступа и безопасности. Инвесторы могут спать спокойно». Заключение аудиторов доступно всем акционерам фирмы и, как правило, вывешивается на специальный раздел веб-сайта. Если же обнаруживаются какие-то нарушения или аудиторов пытаются запутать, чтобы они не могли разобраться в сути дела, то это первый тревожный звонок для правления фирмы и для общего собрания акционеров. Как известно, «ничто не сохнет так долго, как подмоченная репутация», поэтому все фирмы прикладывают максимальные усилия, чтобы получить позитивный результат при аудите, считая это одним из самых высоких бизнес-приоритетов. Ведь в случае чего аудиторское заключение дополняется негативными выводами, которые имеют свойство очень быстро распространяться среди вкладчиков, инвесторов, руководства фирмы и конкурентов. Обычно такие новости ведут к самым печальным последствиям.

ИТ-безопасность при работе с кредитными картами

Отдельно регламентируются и проверяются на список требований по безопасности правила работы с кредитными-дебитными карточками («пластик»). В конце 1990-х годов многие фирмы стали спешно предлагать обслуживание пластиковых карточек через Интернет, особенно не заботясь, как и где хранится информация об этих карточках, и кто имеет к ним доступ. После массовых «сливов в Интернет» десятков миллионов номеров кредитных карточек ничего не подозревающих обывателей, процессинговые центры Visa, Mastercard, American Express забили тревогу.

Ошарашенным покупателям было показано, что все их номера кредитных карточек с полными почтовыми адресами, пин-кодами и прочей пикантной информацией хранились в открытых MS Excel-файлах и были доступны абсолютно всем сотрудникам фирмы, которая принимала и обслуживала платежи.

Ну и дела! Тут же были составлены жесточайшие правила по хранению и обработке номеров карточек, а также полный список требований PCI (Payment Card Infrastructure [3]), предъявляемых к любой фирме, которая просит разрешения у Visa/Mastercard/American Express на обработку их кредитных карт. Обнаруженные нарушения в протоколе хранения и обработке номеров карточек караются не только немедленным отзывом процессинговой лицензии (что уже очень плохо для нерадивой фирмы), но и очень серьезными штрафами.

Какие конкретно вопросы интересуют ИТ-аудиторов, и что ИТ-директор должен им предоставить?

• Кто имеет доступ, к каким ресурсам хранения информации? Есть ли пользователи, которые имеют доступ к слишком многим ресурсам? Кто они? Особое внимание уделяется тому, как и где, хранится информация о персонале, «ноу-хау» фирмы и ее интеллектуальной собственности.
• Где и как хранится финансовая информация, насколько и как она защищена?
• Как конкретно происходит обновление информации на веб-серверах – есть ли механизм утверждения обновлений? Если да, то кто и как имеет доступ на размещение информации в Интернете?
• Кто и как размещает новые программы и серверы? Те же вопросы: кто контролирует доступ, и как этот контроль проверяется?
• Как осуществляется процедура конфигурационных изменений? Является ли это лично прерогативой системного администратора, или есть какая-то группа?
• Если данные хранятся за пределами компании, то где конкретно? Насколько они защищены от стихийных бедствий, злоумышленников и любых иных путей утечки информации, и есть ли какая-то официальная сертификация у центров хранения данных?
• Как происходит процедура обновления системы и внесения более свежих версий?
• Общая процедура и структура информационной безопасности компании.
• Процедура регистрации новых пользователей, изменения прав доступа, удаления.
• Кто и почему имеет привилегированный доступ? Где, кем и как дается авторизация на привилегированный доступ?
• Как ведется финансовый учет – какие программы, кем сертифицированы?
• Какая существует активная защита от вирусов, спама, вредоносных программ?
• Где, кем и как контролируется физический доступ к местам хранения данных – серверы, рабочие станции?
• Какие существуют журналы ошибок и нарушений безопасности? Кто и когда их проверяет?
• Какова процедура резервного копирования – что, как часто и куда копируется? Кто и как проверяет работу средств резервного копирования?
• Процедуры удаленного доступа – кто имеет доступ, и как он контролируется? Как проверяется доступ для уволенных сотрудников?
• Какие существуют внутренние системы ведения проектов, отслеживания «багов» – типа Pivotal Tracker, MS Project, Bugzilla, Access 360?
• Кто и как отвечает за ЧП? Какова процедура эскалации ЧП и оповещения менеджмента?
• Какая существует процедура просмотра необычной активности пользователей или системы?
• Кто занимается контрактами, как авторизуются новые закупки?

Даже беглого взгляда на эти вопросы достаточно, чтобы понять, что преследуются цели анализа организации на информационную уязвимость – от внешних и внутренних «врагов», а также на зрелость с точки зрения ИТ-инфраструктуры. Повторяю, что это относится только к организациям, которые являются «публичными» – выпускают акции, торгуют ими на бирже и зазывают инвесторов. Хотя любая фирма только выиграет от хорошей политики информационной безопасности.

По официальным же законам частные фирмы не обязаны никому показывать свою финансовую отчетность и раскрывать тонкости организации ИТ-структур, за исключением PCI-отчетности. А вот если вы хотите, чтобы кто-то вложил в вашу фирму и не пару долларов, а побольше, то будьте любезны и докажите, что у вас не «кот в мешке», а серьезное дело.

1. Кондаков К. Защищаемся от врагов. Опыт Banks.com. //«Cистемный администратор», № 10, 2010 г. – С. 90-92.
2. Sarbanes-Oxley act – http://www.soxlaw.com.
3. PCI Security Standards – https://www.pcisecuritystandards.org.
4. LinkedIn – http://www.linkedin.com.

Комментарии могут оставлять только зарегистрированные пользователи