Внутренние угрозы извне

Внутренние угрозы извне
27.08.2012

защита данных, информационная безопасность
Результаты оказались весьма любопытными. "Только представьте: за последний год 96% компаний России хотя бы раз сталкивались с информационными угрозами. Причем в среднем в мире данный показатель не превышает 91%", - рассказывает управляющий директор "Лаборатории Касперского" в России Сергей Земков. Чаще всего отечественные предприятия страдают от вредоносных программ (73%) и конечно же спама (71%). Далее с большим отставанием идут фишинг и вторжение в корпоративную сеть (по 26%). С целевыми атаками, одной из наиболее перспективных угроз, пока знакомы лишь 11%. Помимо исходящих от злоумышленников внешних угроз, существуют угрозы внутренние, причем не менее опасные. Наиболее часто российские IT-специалисты сталкиваются с различными уязвимостями в установленном программном обеспечении (ПО). Так, например, таргетированные атаки на коммерческие структуры по преимуществу проводятся с использованием уязвимых программ. Другие внутренние угрозы напрямую связаны с сотрудниками: за последний год 38% компаний сталкивались с утечкой данных из-за действий персонала, 19% - с потерей или кражей мобильных устройств.

"Большинство подобных инцидентов, связанных с информационной безопасностью, не проходит бесследно для бизнеса. В России 43% из них заканчивается потерей корпоративных данных, чаще всего финансовой информации", - констатирует Сергей Земков. Для сравнения: средний показатель по миру составляет лишь 36%. Таким образом, по эффективности защиты данных российские компании сегодня серьезно проигрывают, причем наиболее уязвимым сегментом является малый и средний бизнес, именно он, как правило, наименее защищен. "Достаточно упомянуть, что каждая третья малая и средняя компания не использует антивирусную защиту в полной мере, а одна компания из ста вовсе не имеет защиты", - подчеркивает Сергей Земков. На то есть несколько причин. Это и низкая информированность небольших предприятий в вопросах информационной безопасности и существующих угроз, и нехватка квалифицированных кадров, и бюджетные ограничения, в силу которых организации вынуждены отдавать приоритет другим, более критичным для бизнеса направлениям и использовать довольно ограниченный набор инструментов защиты.


Цена "бэкдора"

Несмотря на то, что отечественный бизнес регулярно сталкивается с интернет-угрозами, подобные факты редко получают широкую огласку. Безусловно, примеры есть, однако сведений по отечественным компаниям куда меньше, чем по западным. В первую очередь это связано с тем, что по закону во многих западных странах коммерческие структуры обязаны раскрывать факты утечки информации, если они могли привести к потере данных третьих лиц. В России же компании стараются утаивать подобные случаи. "Так, одними из наиболее нашумевших инцидентов являются взломы компаний HBGary и RSA, которые специализируются на IT-безопасности, - рассказывает Сергей Земков. - После атаки на HBGary огромное количество конфиденциальной информации было выложено в открытый доступ". Именно удар по репутации компании, которым стала огласка взлома, и был основной целью злоумышленников. И как печальный итог, акции HBGary упали до минимальных отметок, поставив компанию на грань разорения. "Осада" RSA происходила по классической схеме - целевые атаки по электронной почте на ряд сотрудников компании. Сыграл свою роль и человеческий фактор. Злоумышленники разослали сотрудникам xls-файл c названием "2011 Recruitment Plan.xls", надеясь, что хоть один человек, получивший письмо, откроет файл. Их расчет оказался верен: один из работников RSA открыл вредоносный файл, содержащий zero-day эксплойт, что позволило злоумышленникам получить контроль над его компьютером и прорваться сквозь мощную защиту корпоративной сети. "Один из сотрудников компании воспользовался чужой электронно-цифровой подписью (компрометация ЭЦП = нарушение конфиденциальности) и испортил файл с документами (нарушение целостности), размещенный ранее его коллегами для участия в конкурсе на электронной торговой площадке", - приводит пример из российской практики заместитель директора департамента информационной безопасности (ИБ) "Энвижн Груп" Дмитрий Баранов. В результате предложение было отклонено по формальному признаку - из-за нечитаемости документа (нарушение доступности). "Примечательно, что нарушитель, которого с огромным трудом удалось выявить, вскоре уволился и перешел работать в организацию, выигравшую данный лот. К сожалению, на предприятии не был установлен режим секретности, соответствующий федеральному закону "О коммерческой тайне" (№98-ФЗ), а также регламент обращения с ЭЦП", - рассказывает Дмитрий Баранов. Поэтому злоумышленника не удалось привлечь ни к уголовной, ни к административной ответственности. Ситуацию осложнил дефицит средств, обеспечивающих сбор и регистрацию доказательной базы по действиям нарушителя. "Данный случай весьма показателен: ущерб легко измерить - он равен стоимости конкурсного коммерческого предложения. Это иллюстрация того, сколько может стоить пробел в системе обеспечения информационной безопасности организации", - заключает Дмитрий Баранов. "Интересен не столько сам факт утечки информации, сколько последствия для тех компаний, из которых такая утечка произошла. Был случай, когда в одной производственной фирме "ушла" фактически вся клиентская база с полной детализацией и аналитикой по клиентам. Удивительно то, что фирма не только выжила, но и не очень сильно потеряла объем рынка", - отмечает заместитель генерального директора ЗАО "Софткей" Юрий Злобин. Объяснялось это тем, что у "ухода" информации не имелось конкретного заказчика, а организаторы не сумели найти выход на руководство компании конкурентов. Поэтому база "всплывала" на рынке в раздробленном и сегментированном виде, что позволило коммерческой структуре сохранить большую часть клиентов, вспоминает эксперт.


Инсайдерская лазейка

Каналы утечки конфиденциальной информации могут быть как внешние, так и внутренние. Это таргетированные атаки на компанию, корпоративный шпионаж, потеря или кража мобильных устройств вместе с хранящейся на них конфиденциальной информацией, утечка данных из-за действий персонала (социальные сети, сайты для обмена файлами, съемные носители и т.д.). "Одна из наиболее крупных брешей в системах ИБ - недостаточная защита от инсайдерских угроз. Можно сказать, что это оборотная сторона бурного развития информационных технологий. Для доступа к корпоративным информационным системам все шире используются персональные мобильные устройства (нетбуки, смартфоны и т.д.)", - предупреждает Дмитрий Баранов. При этом зачастую довольно сложно проконтролировать все возможности их применения. Это касается и съемных носителей информации, и периферийных устройств.

Кроме того, привилегированные пользователи (топ-менеджеры, системные администраторы) во многих случаях злоупотребляют своими полномочиями (правами доступа к ресурсам). Также надо учитывать, что сегодня все еще слабо защищены интернет-приложения, базы данных и системы виртуализации. По-прежнему актуальны фишинг, вирусы и троянские программы. Определенную опасность представляют интеллектуальные веб-сервисы, собирающие (агрегирующие) информацию о пользователях. "Чтобы перечислить все меры по защите, не только одной статьи, но и ежедневной колонки не хватит. Хотя базовые принципы просты и понятны, - разъясняет Юрий Злобин. - Жесткий контроль за действиями сотрудников компании, аналитическая работа, программно-аппаратные комплексы, контролирующие инсайдпоток как из внутренней сети организации, так и инсайдпоток с отдельно взятого рабочего компьютера, мощные программные комплексы, обеспечивающие максимально затрудненный взлом сети извне". Добавить к перечисленным базовым принципам можно только одно: высокий профессионализм сотрудников службы безопасности, позволяющий заранее проанализировать ситуацию и подготовиться к будущим угрозам. Сергей Земков дает следующие рекомендации. Во-первых, не пренебрегать шифрованием информации, оно может быть как частичное, так и полное. Даже если в результате кражи корпоративного устройства или действий вредоносного ПО злоумышленник получит доступ к зашифрованным файлам, он не сможет ознакомиться с их содержимым. Второе направление - это внимательное отношение к персональным устройствам. Значительная часть сотрудников крупных и мелких компаний использует личные устройства (как правило, мобильные) для подключения к корпоративной сети и работы с конфиденциальной информацией. Подобные устройства часто никак не защищены, а их использование способно стать причиной потери данных. Хотя целевые атаки еще не так популярны, как привычные угрозы в лице "червей" и троянских программ, но к ним нужно быть готовым. В перспективе количество умышленных атак на инфраструктуру выбранной компании будет только расти, уверен Сергей Земков. К ним стоит готовиться уже сейчас, в частности, уделять больше внимания проактивным средствам защиты, предотвращающим угрозу, а не разбирающимся с ее последствиями. Необходимо следить и за повышением компьютерной грамотности персонала. Ведь именно ее низкий уровень зачастую является одной из причин заражения инфраструктуры компании и утечки конфиденциальной информации. "Поэтому обучение всех сотрудников компании основам безопасности не менее важно, чем установка современного защитного ПО", - резюмирует Сергей Земков.


Скупой платит дважды

Первое, с чего необходимо начать внедрение любой системы безопасности, - это оценка рисков и оценка стоимости информации, находящейся в корпоративной сети. "Не надо тратить на защиту информации тысячи и десятки тысяч долларов, если ее ценность минимальна, - советует Сергей Земков. - При этом надо четко оценить критичность той или иной информации и выстраивать систему информационной безопасности в соответствии с этим критерием. Каждый кубик данной системы должен быть надежным". Часто можно встретить обратный подход, особенно у небольших фирм. Не редкость, когда к защите предъявляется лишь одно требование - наличие антивируса (порой даже бесплатного или нелицензионного). Тем временем защита периметра сети и конечных устройств (будь то лэптоп или десктоп, мобильное устройство или планшет) очень часто является тем самым "узким" местом корпоративной безопасности. Современные и эффективные средства защиты конечных устройств уже давно не ограничиваются только антивирусной составляющей, а содержат объемный функционал, позволяющий надежно оградить корпоративные данные от всевозможных угроз, в том числе, и утечек информации. "Внедрение любой системы информационной безопасности должно начинаться с обследования объекта защиты и разработки модели угроз. Необходимо найти разумный баланс между необходимыми контрмерами и расходами на их внедрение", - соглашается Дмитрий Баранов. Для этого нужно выявить наиболее критичные для данного бизнеса угрозы со стороны ИКТ, а также классифицировать возможные атаки и нарушителей. Наиболее интересный ресурс для злоумышленников - информация, которую можно использовать в конкурентной борьбе или продать для банального извлечения прибыли.

Опрошенные "Ко" эксперты советуют, с одной стороны, не переплачивать за чрезмерную защиту той информации, которая не нуждается в дорогостоящих системах или потеря которой не приведет к столь существенному ущербу для бизнеса. Но, с другой стороны, экономия тоже может выйти боком. "Экономить в вопросах безопасности бизнеса нельзя по определению. Как показывает мировая практика, потери от неотработанных угроз на порядок превышают любую мыслимую и немыслимую экономию на безопасности", - констатирует Юрий Злобин. Можно порекомендовать не экономить на трех моментах, советует Дмитрий Баранов. Во-первых, предварительная стадия разработки системы ИБ - аудит (обследование), который покажет, что и от чего необходимо защитить. Во-вторых, разработка процессного подхода, применяемого при эксплуатации системы обеспечения информационной безопасности. Данная мера позволяет разработать регламенты, определяющие, как обеспечить адекватную защиту. В-третьих, средства защиты при разработке и внедрении новых целевых информационных и телекоммуникационных систем.


Юрий Злобин, заместитель генерального директора ЗАО "Софткей":

"У всех на слуху многочисленные скандальные истории со вскрытыми серверами айтишных фирм и уводом с этих серверов платежной информации по кредитным картам клиентов. Эти истории, как правило, не заканчивались безболезненно. Компании несли многомиллионные убытки и за счет срочного аварийного изменения всей архитектуры хранения и защиты информации, и за счет потери значительной части лояльности со стороны клиентов.

На практике основным каналом утечки информации всегда является человеческий фактор, то есть откровенный инсайд. Человеческий фактор может быть как злонамеренным, так и неосознанным. Огромная угроза для неосознанной утечки информации - повсеместное распространение планшетных компьютеров и смартфонов. Как правило, не только рядовые сотрудники, но и топ-менеджеры компании не осознают, что прямое подключение подобных устройств к внутренней инфраструктуре создает непосредственную угрозу для неконтролируемого распространения конфиденциальной информации. Речь идет не только о вредоносном ПО, которое может находиться на устройстве сотрудника, но и о банальном человеческом головотяпстве.

Достаточно вспомнить историю, как высокопоставленный чиновник Минобороны Великобритании забыл в поезде документы с анализом ситуации в Ираке и деятельности международной террористической организации "Аль-Каида".


Сергей Коношенко, директор департамента информационной безопасности компании "КАБЕСТ" группы "Астерос":

"Наиболее распространенными угрозами потери конфиденциальных данных являются: утечка информации через доступные сотрудникам сервисы (электронная почта и другие средства электронного общения, мобильные устройства); копирование и вынос информации на собственных носителях; внедрение вредоносного ПО (вирусы, трояны); уязвимости сервисов и протоколов взаимодействия, а также механизмов защиты информации. Эффективно противодействовать подобным угрозам позволяют комплексные решения класса Data Loss/Leakage Prevention, Enterprise Digital Rights Management и Mobile Security. Руководителям всех уровней важно понимать, что комплексный подход к построению систем безопасности и постоянная разъяснительная работа с сотрудниками компании позволяют существенно сократить количество негативных инцидентов и повысить безопасность бизнеса в целом. Построение надежной системы безопасности должно начинаться с четкого определения и классификации активов (информация, ресурсы, документы), значимых для деятельности организации, формирования и документирования комплексного системного видения проблемы обеспечения безопасности, определения ответственных за это направление подразделений и людей. Только после этого можно приступать к реализации - внедрять системы защиты информации и сопровождать их".


На чем строить защиту:

1. Вся информация должна быть защищена в соответствии с уровнем конфиденциальности содержащихся в ней данных;

2. Информация повышенной конфиденциальности, имеющаяся в компании в любой форме и на любых носителях, обязана быть защищена специальными методами. Обращение с такой информацией должно вестись в соответствии с установленными правилами;

3. Следует обеспечить надежное хранение всей закрытой информации в отсутствие сотрудников для предотвращения ее несанкционированного использования;

4. Постоянное обучение работников методам и приемам защиты информации;

5. Контроль над уничтожением ненужной конфиденциальной информации, периодическое уничтожение иных документов, не используемых в работе;

6. Управление рисками и обязательное расследование всех происшествий в области защиты информации.

Источник: ЗАО "Софткей"