Распечатать

Вредоносный человеческий фактор

Еженедельник "Компания" №32, 2 сентября 2013

Комментарии к статье Дмитрия Соболева, заместителя директора дивизиона информационной безопасности «Энвижн Груп».

4 сентября 2013

Люди - основная причина утечки конфиденциальной информации. В конце прошлого года в NASA разразился громкий скандал, связанный с утечкой строго секретной информации.

Из машины сотрудника NASA пропал ноутбук, содержащий персональные данные большого количества работников организации и подрядчиков. «Мы проводим оценку возможных последствий и примем все меры для уменьшения риска, которому могут подвергаться наши сотрудники или партнеры», — сообщил тогда представитель NASA Ричард Киган. Он пообещал, что за счет космического агентства пострадавшим будет предоставлена услуга мониторинга утечки данных о кредитных картах, а также страховка рисков, связанных с утечкой. Это далеко не первый случай пропажи ноутбука с секретными данными в NASA. В марте 2012 г. из машины был украден компьютер с именами, днями рождений, адресами электронной почты, номерами документов социального страхования, данными об образовании сотрудников Космического центра им. Дж. Кеннеди (Флорида).

Буквально в это же время стало известно, что с борта самого современного и секретного корабля тайваньских военно-морских сил бесследно исчез ноутбук с секретными данными. «Если этот лэптоп попадет в руки материкового Китая, то Пекин получит коды секретной связи всех тайваньских ВМС, а также сведения о ракетном вооружении нашего флота», — прокомментировал ситуацию один из военных экспертов в Тайбэе. «Когда мы говорим об информационной безопасности, то во многих ситуациях человеческий фактор является определяющим. Ведь в данном случае решения по информационной безопасности (ИБ) — только инструмент, и его эффективность напрямую зависит от рук, в которые он попадет», — подчеркивает заместитель руководителя отдела информационной безопасности департамента сетевой интеграции компании «ЛАНИТ» Александр Хегай. По его мнению, от ошибки, способной повлечь за собой убытки, не застрахован никто. Человеческий фактор — один из главных факторов риска в сфере информационной безопасности, так как даже самые совершенные системы не работают без участия специалистов.

По оценке Forrester, 31% всех утечек информации происходит вследствие кражи или утери устройств с корпоративными данными, 27% — из-за небрежности сотрудников. «Не следует забывать и о таких угрозах, как несанкционированный доступ к данным», — добавляет заместитель генерального директора SAP СНГ Дмитрий Лисогор. К сожалению, далеко не все компании уделяют достаточное внимание информационной безопасности, и в большинстве случаев сотрудники службы информационной безопасности перегружены. Один и тот же человек может заниматься внедрением нового решения по безопасности, организационно-распорядительной деятельностью и параллельно эксплуатацией и сопровождением еще трех-пяти систем безопасности. Это, несомненно, может повлечь за собой недочеты в конфигурационных файлах, некорректное или неполное использование функционала продукта, несвоевременный пересмотр политики информационной безопасности и прочие эксплуатационные инциденты, связанные с высокой загруженностью персонала службы инфобезопасности.

Гомогенные vs гетерогенные

«Обилие интернет-угроз растет пропорционально распространению онлайн-услуг. Наверное, уместнее говорить не об интенсивности, а о качестве атак. Большинство видов угроз и алгоритм их действия известны, и некоторые с годами не меняются, но появляются новые, способные обойти самые строгие системы безопасности, — рассказывает Дмитрий Соболев, заместитель директора дивизиона информационной безопасности «Энвижн Груп». — Атаки с адаптивным поведением проводятся настолько незаметно, что их может пропустить любая линия защиты. Некоторые атаки действуют по простым алгоритмам, но масштабно. Яркий пример — мартовская атака на „Спамхаус“, всколыхнувшая всю Европу».

Но одним из главных трендов развития корпоративных инфраструктур 2011-2012 гг. является BYOD-концепция, в рамках которой сотрудники используют для доступа к корпоративным ресурсам личные ноутбуки, планшеты или смартфоны, что превращает старые типы корпоративных гомогенных сетей (полностью управляемые сети) в гетерогенные (как правило, или совсем не контролируемые корпоративной службой безопасности, или контролируемые недостаточно). «С точки зрения информационной безопасности главной проблемой защиты гетерогенных сетей, преимущественно состоящих из устройств пользователей, является управление уязвимостями на этих устройствах, а также разделение корпоративных и личных данных, на них хранящихся», — отмечает Александр Хегай. Все чаще становятся публичными инциденты, связанные с утечкой корпоративных данных. Продолжают набирать обороты тенденции, связанные с повышением доступности готовых инструментов для создания собственных ботнетов. Участились также атаки на промышленные сети, атаки, связанные с отказом в обслуживании, кросс-платформенные атаки, использующие уязвимости в Java, Flash, PDF, а также атаки через приложения в социальных сетях.

«Сегодня интерес к теме сетевой безопасности растет в связи с распространением „облачных“ технологий и „мобилизацией“ бизнеса. Все больше сотрудников работают вне офисов, все чаще личные устройства используются для рабочих задач», — соглашается Дмитрий Лисогор. Сегодня специалистам по безопасности нужны новые инструменты и подходы к защите корпоративной информации, обеспечивающие ее сохранность, независимо от того, где и с какого устройства работает пользователь. Пример — компания Tommy Hilfiger из сферы моды, где конкуренция очень высока, а мобильность — одна из основ бизнеса. Сотрудники компании используют для работы сотни мобильных устройств. Чтобы избежать утечки с этих устройств информации о новых идеях и готовящихся коллекциях, компания внедрила решение SAP Afaria. Оно позволяет контролировать широкий спектр устройств и приложений, проводить дистанционное резервное копирование, блокировать или удалять конфиденциальные корпоративные данные даже в том случае, если устройство утеряно или украдено у пользователя.

Вирус в банке

Несмотря на то, что современный рынок решений по инфобезопасности предлагает полный спектр по управлению рисками, построению систем предотвращения утечки ценной для организации информации, защите пользовательских и корпоративных данных на всех уровнях IT-инфраструктуры компании, начиная с защиты «облачных» сервисов, порталов, веб-приложений, периметра сети, баз данных, каналов связи, фильтрации активного веб-содержимого и заканчивая антивирусной защитой на конечных устройствах пользователей, главным средством защиты корпоративной информации является обученный, грамотный в отношении информационной безопасности пользователь, уверен Александр Хегай. Прежде всего пользователь должен понимать ценность информации, с которой он работает.
Для снижения рисков утери конфиденциальных данных компания SAP разработала решение SAP GRC, способное предотвратить миллионные убытки от злонамеренных действий или халатности сотрудников.

Примеров использования решения заказчиками множество: Panalpina Group, внедрив SAP GRC, в среднем на 10% снизила затраты на проведение внутренних аудитов безопасности и на 70% повысила оперативность управления полномочиями пользователей. Аналогичный проект внедрения решений SAP позволил бразильской косметической фирме Natura на 87% снизить уровень информационных рисков. При этом все чаще атаки на корпоративные носители информации имеют целенаправленный характер. Зачастую вредоносные программы пишутся специально под отдельно взятую отрасль или даже компанию. Атаки на серверы коммерческих структур могут быть разными и иметь разные цели — например, такие, как недоступность какого-то сервиса, кража информации, уничтожение сведений и т.д. В конкурентной борьбе первенство принадлежит DDOS-атакам. «Если сравнивать II квартал предыдущего года со II кварталом этого года, то прослеживается тенденция увеличения количества DDOS-атак примерно на  30-40%. Кроме того, растет как продолжительность, так и пропускная способность атак», — говорит Александр Хегай.

«DDОS-атаки давно стали распространенным информационным оружием, используемым в различных сферах, особенно в бизнесе. В основном атаки направлены на организации, ведущие бизнес в Интернете или предоставляющие социально значимые услуги: банки, хостинг-провайдеры, интернет-магазины, рекламные площадки, социальные сети и государственные учреждения», — подтверждает Дмитрий Соболев.

Не пойман — не вор

Что касается поиска заказчиков подобных атак, то на рынке информационной безопасности существуют компании, которые помогут собрать максимально возможное количество доказательств для дальнейшей передачи дела в правоохранительные органы, где процессуальное производство продолжается согласно существующему законодательству РФ и нередко заканчивается успешно. Хотя Александр Хегай признает, что на текущий момент отечественное законодательство нуждается в доработке существующих формулировок, так как описывает недостаточно точно и не все возможные прецеденты, приводящие к финансовым или репутационным убыткам. Если говорить о DDOS-атаках, то при формировании доказательной базы, которая собирается компаниями, предоставляющими свои услуги следствию, наиболее трудоемкой задачей является не территориальная распределенность атакующих систем или центров по их управлению, а установление личности злоумышленника и поиск его фактического месторасположения.

Дмитрий Соболев, заместитель директора дивизиона информационной безопасности «Энвижн Груп»: «Многие крупные компании давно используют системы электронного документооборота (СЭД), но в основном для внутренних целей. В 2012 г. в законодательство РФ были внесены изменения, позволяющие сдавать отчеты в ФНС и ПФР в цифровом виде. В частности, теперь „признаются“ электронные счета и счета-фактуры. Но для этого нужна не просто СЭД, а система юридически значимого электронного документооборота (СЗЭДО), оснащенная механизмами криптографической защиты и электронно-цифровой подписью (ЭЦП).
Благодаря СЗЭДО компании с большой базой клиентов или контрагентов (в первую очередь операторы связи и ритейлеры) существенно экономят время и средства на пересылку и хранение счетов, а в перспективе могут и вовсе избавиться от бумажных архивов. При этом механизмы ЭЦП гарантируют доставку документов (так называемую неотрекаемость). Кроме того, операторы связи могут предоставлять абонентам новые сервисы.
Стоит отметить, что максимальный эффект от создания такой системы можно извлечь только при комплексном подходе. Наши специалисты способны помочь компаниям на всех этапах внедрения СЗЭДО — от аудита бизнес-процессов и построения инфраструктуры до решения всех вопросов ИБ и использования мобильных устройств».