Распечатать

Внутренние угрозы извне

Деловой еженедельник «Компания», #31 от 27 сентября 2012 г. - В 2012 г. "Лаборатория Касперского" провела исследование среди IT-специалистов компаний разной величины - от малых и средних фирм до крупных корпораций, позволившее определить наиболее актуальные проблемы безопасности и угрозы, с которыми чаще всего приходится иметь дело бизнесу.

7 сентября 2012

В 2012 г. "Лаборатория Касперского" провела исследование среди IT-специалистов компаний разной величины - от малых и средних фирм до крупных корпораций, позволившее определить наиболее актуальные проблемы безопасности и угрозы, с которыми чаще всего приходится иметь дело бизнесу.

Результаты оказались весьма любопытными. "Только представьте: за последний год 96% компаний России хотя бы раз сталкивались с информационными угрозами. Причем в среднем в мире данный показатель не превышает 91%", - рассказывает управляющий директор "Лаборатории Касперского" в России Сергей Земков. Чаще всего отечественные предприятия страдают от вредоносных программ (73%) и конечно же спама (71%). Далее с большим отставанием идут фишинг и вторжение в корпоративную сеть (по 26%). С целевыми атаками, одной из наиболее перспективных угроз, пока знакомы лишь 11%. Помимо исходящих от злоумышленников внешних угроз, существуют угрозы внутренние, причем не менее опасные. Наиболее часто российские IT-специалисты сталкиваются с различными уязвимостями в установленном программном обеспечении (ПО). Так, например, таргетированные атаки на коммерческие структуры по преимуществу проводятся с использованием уязвимых программ. Другие внутренние угрозы напрямую связаны с сотрудниками: за последний год 38% компаний сталкивались с утечкой данных из-за действий персонала, 19% - с потерей или кражей мобильных устройств.

"Большинство подобных инцидентов, связанных с информационной безопасностью, не проходит бесследно для бизнеса. В России 43% из них заканчивается потерей корпоративных данных, чаще всего финансовой информации", - констатирует Сергей Земков. Для сравнения: средний показатель по миру составляет лишь 36%. Таким образом, по эффективности защиты данных российские компании сегодня серьезно проигрывают, причем наиболее уязвимым сегментом является малый и средний бизнес, именно он, как правило, наименее защищен. "Достаточно упомянуть, что каждая третья малая и средняя компания не использует антивирусную защиту в полной мере, а одна компания из ста вовсе не имеет защиты", - подчеркивает Сергей Земков. На то есть несколько причин. Это и низкая информированность небольших предприятий в вопросах информационной безопасности и существующих угроз, и нехватка квалифицированных кадров, и бюджетные ограничения, в силу которых организации вынуждены отдавать приоритет другим, более критичным для бизнеса направлениям и использовать довольно ограниченный набор инструментов защиты.

Цена "бэкдора"

Несмотря на то, что отечественный бизнес регулярно сталкивается с интернет-угрозами, подобные факты редко получают широкую огласку. Безусловно, примеры есть, однако сведений по отечественным компаниям куда меньше, чем по западным. В первую очередь это связано с тем, что по закону во многих западных странах коммерческие структуры обязаны раскрывать факты утечки информации, если они могли привести к потере данных третьих лиц. В России же компании стараются утаивать подобные случаи. "Так, одними из наиболее нашумевших инцидентов являются взломы компаний HBGary и RSA, которые специализируются на IT-безопасности, - рассказывает Сергей Земков. - После атаки на HBGary огромное количество конфиденциальной информации было выложено в открытый доступ". Именно удар по репутации компании, которым стала огласка взлома, и был основной целью злоумышленников. И как печальный итог, акции HBGary упали до минимальных отметок, поставив компанию на грань разорения. "Осада" RSA происходила по классической схеме - целевые атаки по электронной почте на ряд сотрудников компании. Сыграл свою роль и человеческий фактор. Злоумышленники разослали сотрудникам xls-файл c названием "2011 Recruitment Plan.xls", надеясь, что хоть один человек, получивший письмо, откроет файл. Их расчет оказался верен: один из работников RSA открыл вредоносный файл, содержащий zero-day эксплойт, что позволило злоумышленникам получить контроль над его компьютером и прорваться сквозь мощную защиту корпоративной сети. "Один из сотрудников компании воспользовался чужой электронно-цифровой подписью (компрометация ЭЦП = нарушение конфиденциальности) и испортил файл с документами (нарушение целостности), размещенный ранее его коллегами для участия в конкурсе на электронной торговой площадке", - приводит пример из российской практики заместитель директора департамента информационной безопасности (ИБ) "Энвижн Груп" Дмитрий Баранов. В результате предложение было отклонено по формальному признаку - из-за нечитаемости документа (нарушение доступности). "Примечательно, что нарушитель, которого с огромным трудом удалось выявить, вскоре уволился и перешел работать в организацию, выигравшую данный лот. К сожалению, на предприятии не был установлен режим секретности, соответствующий федеральному закону "О коммерческой тайне" (№98-ФЗ), а также регламент обращения с ЭЦП", - рассказывает Дмитрий Баранов. Поэтому злоумышленника не удалось привлечь ни к уголовной, ни к административной ответственности. Ситуацию осложнил дефицит средств, обеспечивающих сбор и регистрацию доказательной базы по действиям нарушителя. "Данный случай весьма показателен: ущерб легко измерить - он равен стоимости конкурсного коммерческого предложения. Это иллюстрация того, сколько может стоить пробел в системе обеспечения информационной безопасности организации", - заключает Дмитрий Баранов. "Интересен не столько сам факт утечки информации, сколько последствия для тех компаний, из которых такая утечка произошла. Был случай, когда в одной производственной фирме "ушла" фактически вся клиентская база с полной детализацией и аналитикой по клиентам. Удивительно то, что фирма не только выжила, но и не очень сильно потеряла объем рынка", - отмечает заместитель генерального директора ЗАО "Софткей" Юрий Злобин. Объяснялось это тем, что у "ухода" информации не имелось конкретного заказчика, а организаторы не сумели найти выход на руководство компании конкурентов. Поэтому база "всплывала" на рынке в раздробленном и сегментированном виде, что позволило коммерческой структуре сохранить большую часть клиентов, вспоминает эксперт.

Инсайдерская лазейка

Кроме того, привилегированные пользователи (топ-менеджеры, системные администраторы) во многих случаях злоупотребляют своими полномочиями (правами доступа к ресурсам). Также надо учитывать, что сегодня все еще слабо защищены интернет-приложения, базы данных и системы виртуализации. По-прежнему актуальны фишинг, вирусы и троянские программы. Определенную опасность представляют интеллектуальные веб-сервисы, собирающие (агрегирующие) информацию о пользователях. "Чтобы перечислить все меры по защите, не только одной статьи, но и ежедневной колонки не хватит. Хотя базовые принципы просты и понятны, - разъясняет Юрий Злобин. - Жесткий контроль за действиями сотрудников компании, аналитическая работа, программно-аппаратные комплексы, контролирующие инсайдпоток как из внутренней сети организации, так и инсайдпоток с отдельно взятого рабочего компьютера, мощные программные комплексы, обеспечивающие максимально затрудненный взлом сети извне". Добавить к перечисленным базовым принципам можно только одно: высокий профессионализм сотрудников службы безопасности, позволяющий заранее проанализировать ситуацию и подготовиться к будущим угрозам. Сергей Земков дает следующие рекомендации. Во-первых, не пренебрегать шифрованием информации, оно может быть как частичное, так и полное. Даже если в результате кражи корпоративного устройства или действий вредоносного ПО злоумышленник получит доступ к зашифрованным файлам, он не сможет ознакомиться с их содержимым. Второе направление - это внимательное отношение к персональным устройствам. Значительная часть сотрудников крупных и мелких компаний использует личные устройства (как правило, мобильные) для подключения к корпоративной сети и работы с конфиденциальной информацией. Подобные устройства часто никак не защищены, а их использование способно стать причиной потери данных. Хотя целевые атаки еще не так популярны, как привычные угрозы в лице "червей" и троянских программ, но к ним нужно быть готовым. В перспективе количество умышленных атак на инфраструктуру выбранной компании будет только расти, уверен Сергей Земков. К ним стоит готовиться уже сейчас, в частности, уделять больше внимания проактивным средствам защиты, предотвращающим угрозу, а не разбирающимся с ее последствиями. Необходимо следить и за повышением компьютерной грамотности персонала. Ведь именно ее низкий уровень зачастую является одной из причин заражения инфраструктуры компании и утечки конфиденциальной информации. "Поэтому обучение всех сотрудников компании основам безопасности не менее важно, чем установка современного защитного ПО", - резюмирует Сергей Земков.

На чем строить защиту:

  1. Вся информация должна быть защищена в соответствии с уровнем конфиденциальности содержащихся в ней данных;
  2. Информация повышенной конфиденциальности, имеющаяся в компании в любой форме и на любых носителях, обязана быть защищена специальными методами. Обращение с такой информацией должно вестись в соответствии с установленными правилами;
  3. Следует обеспечить надежное хранение всей закрытой информации в отсутствие сотрудников для предотвращения ее несанкционированного использования;
  4. Постоянное обучение работников методам и приемам защиты информации;
  5. Контроль над уничтожением ненужной конфиденциальной информации, периодическое уничтожение иных документов, не используемых в работе;
  6. Управление рисками и обязательное расследование всех происшествий в области защиты информации

Скупой платит дважды

Первое, с чего необходимо начать внедрение любой системы безопасности, - это оценка рисков и оценка стоимости информации, находящейся в корпоративной сети. "Не надо тратить на защиту информации тысячи и десятки тысяч долларов, если ее ценность минимальна, - советует Сергей Земков. - При этом надо четко оценить критичность той или иной информации и выстраивать систему информационной безопасности в соответствии с этим критерием. Каждый кубик данной системы должен быть надежным". Часто можно встретить обратный подход, особенно у небольших фирм. Не редкость, когда к защите предъявляется лишь одно требование - наличие антивируса (порой даже бесплатного или нелицензионного). Тем временем защита периметра сети и конечных устройств (будь то лэптоп или десктоп, мобильное устройство или планшет) очень часто является тем самым "узким" местом корпоративной безопасности. Современные и эффективные средства защиты конечных устройств уже давно не ограничиваются только антивирусной составляющей, а содержат объемный функционал, позволяющий надежно оградить корпоративные данные от всевозможных угроз, в том числе, и утечек информации. "Внедрение любой системы информационной безопасности должно начинаться с обследования объекта защиты и разработки модели угроз. Необходимо найти разумный баланс между необходимыми контрмерами и расходами на их внедрение", - соглашается Дмитрий Баранов. Для этого нужно выявить наиболее критичные для данного бизнеса угрозы со стороны ИКТ, а также классифицировать возможные атаки и нарушителей. Наиболее интересный ресурс для злоумышленников - информация, которую можно использовать в конкурентной борьбе или продать для банального извлечения прибыли.

Опрошенные "Ко" эксперты советуют, с одной стороны, не переплачивать за чрезмерную защиту той информации, которая не нуждается в дорогостоящих системах или потеря которой не приведет к столь существенному ущербу для бизнеса. Но, с другой стороны, экономия тоже может выйти боком. "Экономить в вопросах безопасности бизнеса нельзя по определению. Как показывает мировая практика, потери от неотработанных угроз на порядок превышают любую мыслимую и немыслимую экономию на безопасности", - констатирует Юрий Злобин. Можно порекомендовать не экономить на трех моментах, советует Дмитрий Баранов. Во-первых, предварительная стадия разработки системы ИБ - аудит (обследование), который покажет, что и от чего необходимо защитить. Во-вторых, разработка процессного подхода, применяемого при эксплуатации системы обеспечения информационной безопасности. Данная мера позволяет разработать регламенты, определяющие, как обеспечить адекватную защиту. В-третьих, средства защиты при разработке и внедрении новых целевых информационных и телекоммуникационных систем.

Материал на сайте ежедневника «Компания»