Что имеем – не храним

 ИРИНА ЛОЖКИНА, журналист

Что имеем – не храним

Сквозь сети Всемирной паутины ежечасно утекают ручейки данных. За информацией охотятся хакеры, ее воруют инсайдеры и теряют по халатности безалаберные сотрудники. Человеческий фактор – одна из самых распространенных и наиболее значимых причин утечки информации

«Кто владеет информацией, тот владеет миром»

Натан Ротшильд

Сегодня мы предлагаем читателям обзор ситуации, основанный на аналитическом исследовании компании ZECURION, а также мнения ведущих экспертов в области информационной безопасности о том, что нужно предусмотреть ИТ-руководителю и уметь ИТ-специалисту, чтобы защитить конфиденциальные данные.

Чье решето дырявее?

Число зафиксированных в открытых источниках утечек информации в России осталось в 2012-м примерно таким же, как и в прошлые годы. Однако меняется их, так сказать, «отраслевая направленность». Если годом ранее больше всего утечек было зарегистрировано в здравоохранении, то теперь медучреждения оказались лишь четвертыми после учебных заведений, госорганизаций и предприятий розничной, в том числе интернет-торговли.

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point Software Technologies – Выступая в тех или иных компаниях с презентациями, я часто спрашиваю, насколько их сотрудники знакомы с корпоративной политикой информационной безопасности, подписывают ли они соответствующие документы при приеме на работу, как часто их обучают, доводят до сведения изменения и новые данные в этой области. Как правило, оказывается, что ничего подобного не происходит. Именно из-за отсутствия должного обучения сотрудники действительно выносят в сеть конфиденциальную информацию, публикуют сведения о проектах, заказчиках и прочие данные в социальных сетях, выкладывают корпоративные файлы в облачные хранилища (iCloud, Dropbox…). Типичная ситуация: приходит в компанию запрос от клиента. Сотрудник, получивший запрос, подключает к обсуждению коллег. Вскоре в процессе участвуют множество «своих» и…инициатор запроса забыт, и все, не стесняясь, обсуждают внутренние проблемы, закупочные цены… – Надо понимать, что одним антивирусом сегодня не обойтись – требуется многоуровневая система защиты за счет использования всей линейки средств, обеспечивающих защиту информации: антивирусов, межсетевых экранов, антиспамов, антиботов, криптографических программ, DLP-систем, DDoS-протекторов и многих других.

Алексей Раевский, генеральный директор компании ZECURION – Проще и безопаснее выдавать сотрудникам служебные смартфоны или планшеты, в которых заранее предустановлены все необходимые средства как для работы, так и для обеспечения безопасности. Это значительно упрощает управление парком мобильных устройств, поскольку выбор останавливается на какой-то одной модели. Средств защиты от внутренних угроз существует немало. Прежде всего это DLP- системы. Кроме этого, развиваются системы мониторинга действий пользователей. Сочетание этих систем позволит выстроить вполне адекватную защиту от инсайдера. Конечно, стопроцентной защиты не существует, однако что касается информации, которую можно запомнить или сфотографировать на телефон, с ее утечками борются другими способами, прежде всего ограничением круга лиц, имеющих к ней доступ. – Все необходимые статьи для борьбы и с хакерами, и с инсайдерами имеются. Что касается законодательной борьбы с хакерами – и у нас и за рубежом существуют и соответствующее законодательство, и практика его применения. А вот что касается борьбы с инсайдерами – пока с этим хорошо обстоят дела только в развитых странах, где существуют и хорошо отлаженное законодательство и правоприменительная практика. В нашей стране, несмотря на наличие в Уголовном кодексе РФ соответствующей статьи, судебные процессы против инсайдеров крайне редки.

Борис Грейдингер, директор по информационным технологиям компании ESET – Появление личных устройств в корпоративной сети – это всегда головная боль для службы безопасности и ИТ-специалистов компании. Задача ИТ-директора – постараться предусмотреть все негативные сценарии и для каждого из них разработать свою методологию. А ИТ-специалист должен четко следовать разработанным регламентам.

Вячеслав Медведев, ведущий аналитик отдела развития «Доктор Веб» – Практика показывает, что первым и самым главным способом защиты является защита организационная: порядок доступа в помещения и к документам; порядок приема на работу, увольнения. Закупка любого ПО будет бесполезна без этих организационных мер. – К сожалению, приносимые в компанию личные устройства в большинстве своем не приспособлены к серьезной защите. Да, на них можно поставить и антивирус, и средства шифрования, но владелец будет использовать его и для себя в своих целях. Скажем, в компании запрещен выход в Интернет, кроме сайтов, необходимых для работы, и вся переписка ведется через сервер. Но хозяин устройства хочет переписываться с друзьями и читать новости! На личных устройствах уровень безопасности, реальный для стационарных устройств компании, невозможен в принципе. Надо сказать, что перед системными администраторами в этих условиях стоит очень сложная задача – не ограничивая хозяина устройства, защитить компанию. Ведь даже на самых слабых устройствах все должно работать и не мешать владельцу – должны быть настроены политики доступа к корпоративным ресурсам, обязательны антивирус, а также шифрование хранимых данных, регулярная очистка устройства. – ИТ-специалист должен уметь не только отлично устанавливать и настраивать. ИТ-специалист должен уметь работать с людьми, даже понимать основы криминалистики! Это пригодится при противодействии мошенникам и вирусописателям, которые в большинстве случаев не злые гении, а рядовые преступники. ИТ-директор тоже должен знать основы ИТ-криминалистики, но его задача более трудная – он обязан создавать и поддерживать процедуры. Нужно уметь вычленить всю необходимую для сотрудника информацию – не дать ему больше или меньше прав, чем нужно. Нужно обучить правилам работы с важной информацией. При этом необходимо учитывать, что любая процедура хорошо выполняется в момент создания. Потом все расслабляются, формальности перестают соблюдаться, приходят новые сотрудники, находятся новые данные. – Все необходимые статьи для борьбы и с хакерами, и с инсайдерами имеются. Другой вопрос – готовность компаний раскрывать случаи утечек. За рубежом они обязаны это делать, у нас такое требование отсутствует. Компаниям невыгодно раскрывать такие факты – это влияет на их репутацию среди клиентов и партнеров.

Александр Акимов, генеральный директор компании Falcongaze – Построение эффективной политики безопасности компании – задача более чем объемная. В крупных организациях этим занимаются специализированные отделы. В средних и небольших эти функции ложатся на плечи системных администраторов и других ИТ-специалистов, не всегда обладающих теоретической базой в вопросах ИБ в полном объеме. Неплохим подспорьем в таком варианте может стать DLP-система, обладающая простым для понимания интерфейсом и позволяющая в максимально сжатые сроки определить задачи, выработать оптимальную политику и успешно претворить ее в жизнь.

Сергей Вахонин, ИТ-директор ЗАО «Смарт Лайн Инк» – Перед службами ИТ встает задача либо контролировать попавшие на персональное устройство корпоративные данные, либо обеспечить их непопадание на устройство. Современные системы защиты информации, работающие резидентно на мобильных устройствах и предусматривающие как основной метод противодействия утечкам создание защищенного либо зашифрованного контейнера для корпоративных данных, сами еще весьма уязвимы и не могут гарантировать стопроцентную защиту. Приходится решать две прикладные задачи: ИБ-контроль передачи данных при локальной синхронизации мобильного устройства с персональным рабочим компьютером и контроль виртуальных и терминальных сред, когда пользователь работает с корпоративными данными удаленно, подключаясь к корпоративной среде в рамках терминальной сессии, получая полноценный рабочий стол или отдельное приложение. А также создание изолированной защищенной рабочей среды, не допускающей утечек данных при использовании различных решений виртуализации рабочих сред, созданных как в форме локальных виртуальных машин, так и терминальных сессий рабочих столов или опубликованных приложений на гипервизорах. Эта задача перетекает в плоскость создания DLP-политик, которые должны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными на удаленные рабочие компьютеры периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена, а также осуществлять централизованное журналирование действий пользователя и теневое копирование переданных им файлов.

Сергей Котов, эксперт по информационной безопасности компании «Аладдин Р.Д.» – Понятие «инсайдер» в упомянутом законе трактуется весьма узко, а понятие «хакер» я лично ни в одном законе не видел… На мой взгляд, основной проблемой нашего законодательства является отсутствие перевода многих законов на русский язык (с юридического, который, кроме юристов, мало кто понимает). Нужно ли придумывать отдельные статьи в УК за киберпреступления? Украл деньги – вор, и не имеет значения, в сейфе ли они лежали в виде золотых монет или на сервере в виде, условно говоря, нулей и единиц. Результат один – хищение.

Владимир Андриенков, исполнительный директор компании «Трафика» – Многие государства обеспечивают конфиденциальность персональных данных. В частности, так работает законодательство в Германии. Если человеку без его ведома звонит или присылает что-либо на электронную почту какая-нибудь фирма, то он может подать жалобу в соответствующие службы, которые быстро и жестко наказывают «нарушителей спокойствия». В России таких законов нет, а те, что есть, не работают.

Евгений Лопатин, директор департамента разработки программного обеспечения компании ИТЕРАНЕТ – Не мешал бы нам закон, уже будет хорошо. Я не знаю фактов, когда использование DLP-системы признавалось бы нелегальным.

Николай Федотов, главный аналитик ГК InfoWatch – Тенденция использовать личные устройства в служебных целях становится все более популярной. Для защиты от утечки информации в России сейчас применяются следующие методы (перечисляю в порядке распространенности): Ввести политику BYOD неформально, только для начальства и привилегированных работников. Защиту этих мобильных устройств оставить на совести их пользователей. Отказаться от политики BYOD совсем, запретить использование личных компьютеров в служебной деятельности (а лучше вообще запретить проносить на территорию предприятия). В рамках политики BYOD разрешить использование только двух-трех типов мобильных устройств, для которых имеются агенты, совместимые с СУИБ предприятия и действующей политикой безопасности. То же самое, но устройства нужного типа купить за счет предприятия и выдать. Разрешить BYOD, но не ограничиваться совместными программами, а пересмотреть саму политику безопасности предприятия, разрешив те действия с информацией, для которых имеются средства предотвращения утечек. Установить для каждого типа мобильного устройства свой набор допустимых действий и необходимого защитного софта.

Ущерб от утечек (данные за 2009 и 2010 годы приведены для справки)

Наличие умысла в утечках информации

Отраслевая специфика утечек

Каналы утечки

Доля утечек в госсекторе на протяжении длительного периода находится на стабильно высоком уровне. Это, как считают эксперты компании ZECURION, – следствие низкой заинтересованности организаций в защите информации и прежде всего персональных данных.

Убытки, связанные с ущербом для репутации и потерей конкурентоспособности, для частных компаний на порядок выше, чем для госучреждений, для которых понятие «конкурентоспособность» в некоторых случаях просто неприменимо.

Плюс большие объемы обрабатываемой информации, плюс невысокий уровень подготовки сотрудников, плюс работа с теми базами, которые представляют интерес для мошенников…

По всему получается, что самое дырявое решето все же государственное.

Бомба. Иногда замедленного действия

В случае утечки информации прогнозировать потенциальный ущерб и неприятные последствия прямым образом не всегда возможно. Да, при утрате конфиденциальности коммерческой информации, интеллектуальной собственности ущерб можно постфактум более-менее точно подсчитать, хотя он не всегда критичен для жизнедеятельности компаний.

Однако утечки персональных данных могут быть для граждан даже фатальными, ибо подобными данными интересуются в первую очередь преступные группировки. На слуху громкие аферы с жилым фондом, мошенническим вымоганием денег у одиноких пожилых людей.

Если к преступникам попадает крупная база персональных данных, – а, к сожалению, в нашей стране для этого не потребуется больших усилий: диски с подобной информацией можно приобрести на «черном рынке» достаточно легко, – конечно, далеко не вся информация будет использована в мошеннических схемах.

Но тем не менее все в нее включенные будут находиться «под колпаком у Мюллера», и пресловутое ружье может выстрелить в любой момент.

Однако до сих пор широко распространено мнение, что монетизировать (то есть превратить в деньги) большинство типов персональных данных невозможно. И даже появляются призывы к максимальной публичной открытости и прекращению утаивания подобной информации. Гражданам не хватает культуры и знаний хотя бы минимальных требований к информационной безопасности.

Достаточно вспомнить об аккаунтах людей в социальных сетях или блогосфере. Как минимум они атакуются спамерами, но бывают и гораздо более серьезные последствия. Человека могут не принять на работу, если кадровые службы усмотрят что-то порочащее в его аккаунтах – скажем, нескромные фотографии или пикантные комментарии, – или вовсе с работы выставить.

Из последних резонансных историй – увольнение стюардессы, написавшей крайне нелояльный пост, и сотрудницы Сбербанка, вбросившей в Интернет неуважительный по отношению к клиентам банка комментарий.

Аналитики компании ZECURION, говоря об убытках, наносимых утечками информации, приводят уникальный инцидент из недавнего прошлого. Речь идет о громкой утечке информации из резиденции Папы Римского. Считается, что именно это событие привело к отставке понтифика Бенедикта XVI.

Словом, утечки – это крайне серьезная проблема, оборачивающаяся разного рода и разной степени тяжести проблемами. Как на личном, человеческом, так и на государственном уровне.

Где тонко, там и рвется

По данным исследований аналитической компании Forrester, потери и кражи мобильных носителей информации являются причиной 31% утечек, а еще 27% вызваны некорректным использованием прав доступа.

И хотя детектировать канал потери данных не всегда представляется возможным, можно выделить быстро развивающуюся тенденцию – рост доли утечек через мобильные устройства.

Даже в корпоративной среде мобильные компьютеры вытесняют стационарные в силу большей универсальности при примерно равных технических возможностях и соизмеримой стоимости решений. Но, несмотря на схожее предназначение, с точки зрения безопасности использование мобильных и стационарных компьютеров принципиально различается.

Для стационарных ПК разработано гораздо больше решений по безопасности. А крадут системные блоки из организаций все же нечасто. Гораздо чаще случаются кражи и потери ноутбуков, планшетов и прочих мобильных устройств, которыми сотрудники, помимо рабочих, пользуются и в личных целях.

Тут то самое бутылочное горлышко проблемы сохранения данных, где застревают самые благие намерения. Ибо, как говорят, пока гром не грянет…

В обзоре ZECURION также отмечается, что большая доля утечек по-прежнему происходит случайно, из-за ошибок или халатности собственных сотрудников. Типичный сценарий – утеря незашифрованных носителей с конфиденциальной информацией.

Стремительный рост парка мобильных устройств и систем сопровождается не менее стремительным ростом активности киберпреступлений. По данным компании Forrester, количество вредоносных программ, например, для мобильной платформы Android, уже исчисляется тысячами. Это и мобильные вирусы, отправляющие эсэмэски на платные номера, и программы-шпионы, и многое другое.

Закон не в тренде

Количество правонарушений и преступлений, совершаемых с использованием возможностей информационных сетей, пока только растет.

Федеральный закон Российской Федерации от 27 июля 2010 года №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком» пребывает в полуживом состоянии – отчасти от собственного несовершенства, отчасти из-за малой готовности компаний раскрывать случаи утечек как по внешним, так и по внутренним причинам.

Компаниям невыгодно обнародовать подобные факты, выносить сор из избы – это плохо сказывается на их репутации. И если информация о судебных процессах над хакерами время от времени появляется в средствах массовой информации, то случаи выявления «внутреннего врага» озвучиваются крайне редко. В отличие от виртуальной преступности закон пока не в тренде.

***

Мы обратились в ведущие компании, которые занимаются проблемами информационной безопасностью, с просьбой рассказать, как они видят сложившуюся ситуацию и какую «соломку» предлагают «подстелить», чтобы не допустить или минимизировать потери.

В чем-то мнения экспертов сходятся, но есть и разногласия. Действительно, относительной безопасности можно достичь, лишь накрепко отгородившись от внешнего мира. Но этот вариант нежизнеспособен, и поэтому на помощь приходят как административные мероприятия, так и постоянно совершенствующиеся технологические разработки, которые у каждой компании свои.

Так, компания Check Point предлагает, помимо традиционных решений для устройств на базе iOS и Android, обеспечивающих безопасное подключение (VPN-туннель с дополнительными проверками и функциями безопасности), изолированную виртуальную среду внутри пользовательского устройства. Корпоративные данные (почта, файлы, контакты) не пересекаются с обычными пользовательскими данными. Тем самым исключается возможность доступа к информации из потенциально опасных приложений, установленных пользователем.

Samsung недавно анонсировал платформу KNOX, которая представляет собой специальную защищенную версию смартфона или планшета для корпоративного использования на базе Android. DeviceLok EndPoint DLP Suite разработки российской компании «Смарт Лайн Инк» поддерживает контроль локальной синхронизации для мобильных устройств. Продукты против вирусов, а также решения по шифрованию данных предлагает Dr.Web.

А бизнес-решения ESET NOD32 обеспечивают защиту от внешних угроз по всему периметру корпоративной сети – от мобильных устройств сотрудников до файловых и почтовых серверов. Растет спрос на системы предотвращения утечек на этапе хранения, а также к продуктам для выявления мест несанкционированного размещения конфиденциальных данных. Это говорит о том, что компании стремятся предпринять превентивные меры нежели тушить пожары уже постфактум.

Законодательная власть тоже готовится внести свою лепту. Идет активная доработка законов в части защиты персональных данных. Предполагается, что штрафы за утечки персональных данных для юридических лиц должны исчисляться миллионами рублей.

Редакция благодарит компании ZECURION и InfoWatch за предоставленные аналитические материалы, а также всех экспертов, давших комментарии.

P.S. Продолжение данной темы читайте в спецприложении «БИТ. Бизнес & Информационные технологии».

Факты

Установлены ли в банке «Кедр» (Республика Хакасия) системы по защите информации или нет, но вся страна узнала, что уровень безответственности некоторых сотрудников оного зашкаливает. Жители г. Абакан обнаружили у мусорных баков в дворе три мешка бумаг, содержащих персональные данные его клиентов – собственно, всю их подноготную: адреса, паспортные данные, места работы, уровень доходов, наличие собственности. По информации СМИ, делом заинтересовалась прокуратура.

***

Полтора года лишения свободы – таков был вердикт Северского городского суда Томской области. Бывший программист муниципального предприятия «Единый расчетно-консультационный центр» решил отомстить своему руководству и удалил информацию со служебного сервера ЕРКЦ. Это также пример одного из очень немногих открытых и доведенных до суда дел по инсайдерству.

***

На сайте Следственного комитета России в открытом доступе появились тексты обращений граждан, сделанных через интернет-приемную. Ни много ни мало – около 30 тысяч обращений! Эксперты считают наиболее вероятными причинами случившегося ошибку при разработке сайта или халатность обслуживающих его специалистов. Сами представители СК заявили, что имел место технический сбой.

***

Московский городской суд присудил одному из бывших руководителей ЗАО «ФосАгро АГ», управляющей компании одного из крупнейших холдингов мирового уровня по производству минеральных удобрений, 1 год 9 месяцев исправительных работ за незаконное разглашение сведений, составляющих коммерческую тайну. Доказанные убытки фирмы – более 2 миллионов долларов, реальные, по мнению экспертов, вдвое больше. Кстати, такие дела в российской уголовно-судебной практике достаточно редки. В лучшем случае пострадавшие компании проводят собственные расследования. Обычно же инцидент заканчивается ничем из-за невозможности обнаружить канал утечки и виновного.

Комментарии могут оставлять только зарегистрированные пользователи