Распечатать

Центр исследования компьютерной преступности

Актуальность проблем обеспечения внутренней информационной безопасности.

23 октября 2006

Актуальность проблем обеспечения внутренней информационной безопасности

Проблема обеспечения внутренней информационной безопасности становится все более актуальной для российских компаний. Это связано и с обострением конкурентной борьбы на внутренних рынках, и с выходом компаний на международный уровень. Многие из них уже не могут обеспечить защиту коммерческой информации собственными силами и вынуждены пользоваться услугами профессиональных IT-консультантов. В таких условиях бурный рост профильного рынка неизбежен.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ (файрволов) и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире.

С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает: в стенах имеются дыры. Точнее, даже не дыры, а калитки, потому что основным каналом утечки информации являются сотрудники компаний.

Гендиректор компании InfoWatch Евгений Преображенский: "В течение многих лет компании отчаянно боролись с вирусными эпидемиями, обносили периметр межсетевыми экранами и системами предотвращения вторжений, внедряли мощные инструменты против неавторизованного доступа. Защита от враждебного окружения достигла небывалых высот - вторгнуться в информационную систему крупной компании теперь может только профессионал самого высокого класса, да и то не всегда.

Однако компании упустили из вида главную опасность, которую представляет внутренний нарушитель, собственный сотрудник, прошедший все рубежи авторизации и получивший неограниченный доступ к корпоративной информации в пределах своей компетенции. Например, свежее исследование Deloitte Touche Tohmatsu показало, что все без исключения крупные западные банки зафиксировали утечки за прошедший год, причем 72% респондентов потеряли в результате более $1 млн.

Данные PricewaterhouseCoopers за 2005 год не менее обескураживающие: виновниками 33% всех инцидентов были собственные сотрудники, 28% -- бывшие сотрудники и контрактники. Исследование российской реальности компанией InfoWatch принесло еще более парадоксальные результаты: на вершине самых острых проблем IT-безопасности в России стоит кража информации (64% респондентов), которая обошла вирусы (49%), хакерские атаки (48%) и спам (45%)".

Нельзя утверждать, что большинство утечек информации допускается сотрудниками компаний намеренно. Чаще всего речь идет о халатности и перегруженности работой. Не секрет, что многие сотрудники берут работу на дом, желая обмозговать сложную проблему в спокойной обстановке. Однако они, как правило, не берут с собой кипу бумаг. Необходимая информация просто пересылается на личный электронный почтовый ящик, который может оказаться слабо защищенным от внешнего взлома. Кроме того, к нему могут иметь доступ члены семьи, друзья и прочие не связанные с компанией лица. Гарантировать, что среди них не окажется невольного инсайдера, невозможно. Человек, не связанный с компанией, может просто не понимать коммерческой ценности информации, к которой он случайно получил доступ.

Второй важной проблемой является отсутствие информационного контроля в менеджменте компании. В отличие от рядового сотрудника менеджер может просто дать устное указание на пересылку информации. Такие указания, как правило, очень трудно отследить, так как о них быстро забывают. Между тем ущерб от подобных утечек даже больше, чем от халатных действий рядовых сотрудников. Ведь стратегическая информация, к которой имеет доступ менеджер, обычно представляет большую коммерческую ценность.

Президент LETA IT-company Александр Чачава: "Проблема внутренних угроз в том, что рядовые сотрудники бывают излишне доверчивыми к предприимчивым социоинженерам вроде Остапа Бендера, переквалифицировавшимся в хакеры. Сотрудники зачастую не представляют ценности информации или потенциальной уязвимости приложений. Кроме того, причинами потерь важной информации являются халатность и злой умысел.

Достаточно вспомнить кражи баз данных у сотовых операторов, баз кредитных историй и неплательщиков в крупнейших финансовых организациях, клиентских баз страховых компаний и банков данных самых разных госструктур. Еще пару лет назад IT-службы отвечали за защиту от внешних угроз, а с внутренними угрозами разбиралась служба безопасности. Сегодня она просто физически не может контролировать перемещение информации по электронным сетям и с помощью переносных носителей. Для этого нужны специально разработанные регламенты, ликбез сотрудников, специально подготовленные офицеры безопасности и технические средства для выявления попыток перемещения информации вовне. Согласно статистике управления 'К' МВД РФ, утечки происходят в 96% крупных компаний и организаций, причем большинство их руководителей об этом не подозревают".

Помимо ошибок сотрудников и менеджмента несанкционированные утечки могут быть результатом злонамеренных действий. В любой крупной компании есть обиженные и просто "борцы за справедливость". Уволиться из компании, прихватив с собой базу данных клиентов, сегодня в России считается хорошим тоном и чуть ли не доблестью. Затем эта база обычно всплывает у конкурентов, куда перешел работать уволившийся сотрудник или менеджер.

Довольно часто клиентские базы похищаются также миноритарными акционерами или младшими партнерами компаний, желающими открыть собственное дело в той же отрасли. Как ни странно, но самый редкий способ организации канала утечки -- засылка агента в конкурирующую компанию. Хотя он крайне эффективный: устроившись на тихую должность с небольшой зарплатой, такой "казачок" способен похищать и передавать коммерчески значимую информацию регулярно. Однако это дорогой способ, связанный с повышенным риском. Его обычно применяют либо с целью получения информации исключительной важности (например, для выяснения точной даты IPO), либо если в компании уже перекрыты прочие каналы несанкционированных утечек.

Во всех рассмотренных случаях доказательства утечки информации собрать сложно, поэтому закон, как правило, молчит. К сожалению, в деле обеспечения внутренней безопасности российское государство подает своим гражданам дурной пример.

Например, базы данных ГИБДД и налоговой инспекции сегодня можно купить чуть ли не в каждом подземном переходе. А ведь эта информация по определению является закрытой. В результате сбор исчерпывающих сведений о конкретном человеке сегодня может быть осуществлен всего лишь за $200-300, что способствует использованию личных данных в корыстных целях.

Пока государство не осознает серьезности проблемы инсайда в локальных сетях собственных учреждений и системно с ней не борется. Поэтому продавцы и покупатели подобной информации в России чувствуют себя вольготно.

В ситуации, когда правоохранительная система даже сама себя не может защитить от внутреннего инсайда, компаниям приходится самостоятельно разрабатывать комплекс мер, направленных на пресечение или хотя бы уменьшение утечек.

Гендиректор Eset Russia Дмитрий Попович: "Защититься от недобросовестных сотрудников непросто. Сегодня есть множество компаний, предлагающих средства защиты -- от электронных USB-ключей и средств разграничения доступа до комплексных решений. Но внутреннюю безопасность по-прежнему невозможно обеспечить, лишь сделав ряд формализованных шагов. Инициатива в этой игре всегда на стороне потенциальных похитителей. Закроем одну возможность -- находится другая, и надо снова придумывать, что делать. Заранее определить новый способ хищения трудно, так как мы заведомо не знаем ни всех возможных способов похитить информацию, ни всех уязвимых мест приложений. В этом и заключается основная проблема индустрии информационной безопасности.

Особое внимание при защите от хищения информации, в том числе и собственными сотрудниками, уделяется программам, которые принято относить к вредоносным -- это шпионский софт и бэкдоры. Защититься от них сложнее всего. Сегодня в интернете при желании можно найти инструментарий для обмана защиты: получить ценный совет на форуме, который посещают авторы вредоносных программ, или купить такую программу. В сети даже существует рынок уязвимостей приложений, которые пока известны лишь продавцам. Обнаружить шпионскую программу очень сложно -- она может существовать в единственном экземпляре, соответственно, ее можно найти только по поведению, а обычные методы поиска вирусов здесь бессильны. Ситуация осложняется тем, что кроме этого существуют специальные программы, так называемые руткиты, позволяющие скрывать действие других программ в системе. Их опять-таки нужно уметь обнаруживать".

Внедрение системы внутренней информационной безопасности, как правило, связано не только с техническими сложностями, но и с психологическими. Сотрудники обычно не осведомлены ни о масштабах утечек, ни о величине ущерба, нанесенного ими, и потому зачастую воспринимают необходимые меры контроля персонала как нарушение своих прав. Начинается тихое саботирование "глупых инструкций", и через некоторое время строгость ограничений и их эффективность существенно снижаются. Поэтому внедрение системы внутренней информационной безопасности наиболее действенно в варианте аутсорсинга. В этом случае мониторинг и контроль осуществляются извне и проводятся более ответственно и объективно.

Серьезный масштаб проблемы информационной безопасности обеспечит рынку IT-консалтинга бурный рост. Согласно данным компании InfoWatch, в настоящее время лишь 2% российских организаций используют специализированные системы внутренней защиты. Однако 83% собираются внедрить их в ближайшие три года. Даже если эти данные завышены, перспективы рынка IT-консалтинга впечатляют.

Заместитель гендиректора NVision Group Сергей Головин: "Рынок IT-консалтинга в России в ближайшие несколько лет будет стабильно расти, по нашим оценкам -- со скоростью примерно 30-40% в год. Это обусловлено как общим ростом консалтингового рынка, так и продолжающимся увеличением доли масштабных и сложных проектов. Консультанты постепенно перестраивают свой бизнес, уделяя все больше внимания именно IT-услугам и консалтингу. Это вызвано и ростом прибыльности этого рынка, причем бизнес, связанный с поставкой оборудования, становится все менее интересным именно из-за падения доходности. Кроме того, усиливается конкуренция, что вынуждает искать новые сферы деятельности.

На рост рынка IT-услуг в сфере безопасности значительное влияние оказывает и развитие параллельных направлений, таких как внедрение ERP-систем, создание крупных телекоммуникационных сетей и информационных систем, то есть тех направлений, где IT-консалтинг почти всегда входит в список сопутствующих услуг. Кроме того, в последнее время многие наши заказчики наконец осознали, что платить можно и нужно не только за осязаемые вещи, например за компьютерное оборудование и сети, но и за знания, как заставить все это работать наиболее эффективно и реально приносить пользу бизнесу. Заказчики поняли, что специализированные IT-услуги действительно могут обеспечить получение нужного результата наиболее быстро, эффективно и в итоге с меньшими затратами. Например, у заказчиков--крупных организаций доля консалтинговой составляющей в бюджетах увеличилась в 2005 году примерно на 50%".

В заключение отметим, что все опрошенные нами эксперты считают, что для построения и функционирования эффективной системы внутренней информационной безопасности необходимы три вещи: передача этой функции на аутсорсинг, комплексный подход и постоянное обновление системы. Это дорогое решение, но только оно обезопасит бизнес от все более изощренных инсайдерских методов и внешних атак.