Top.Mail.Ru
архив

Ложные мишени

Эксперты по безопасности считают, что компьютерные сети взламывали, взламывают и будут взламывать. Количество хакерских атак по мере развития информационных технологий будет возрастать. Однако хакеры не так страшны, а их подвиги не так значимы, как это приписывает им общественное мнение. Гораздо большую угрозу для сетей компаний представляет собственный персонал, а также «кроты» – сотрудники, пытающиеся анонимно через сеть получить доступ к закрытым данным.

 

По данным американского Института компьютерной безопасности (CSI), наибольший урон наносят кражи конфиденциальной информации, финансовые мошенничества, вирусы и различные злоупотребления со стороны сотрудников. По словам Мишель Мур, старшего менеджера отдела по управлению рисками в информационных технологиях компании Ernst & Young, счет финансовых потерь американских компаний идет уже на сотни миллионов и даже миллиарды долларов. В России же пока отмечаются только отдельные случаи финансовых потерь.

Причина нашего «отставания» не только в нежелании руководителей «выносить сор из избы». Российскому хакеру проще и интереснее взломать американскую компанию, нежели российскую. Иностранные предприятия, как правило, имеют собственный веб-сервер, соединенный с корпоративной сетью. И если хакер найдет способ преодолеть его защиту, то он сможет проникнуть во внутреннюю сеть и нанести ей ущерб.

Подавляющее же большинство российских компаний в целях экономии средств и в целях безопасности размещают свой сайт у Интернет-провайдера, то есть пользуются услугами хостинга. Взлом российского сайта, например, какого-нибудь банка, никуда хакера не приведет и нанесет удар только по престижу провайдера, не сумевшего обеспечить необходимую защиту.

Неразвитость систем электронной торговли в России приводит к тому, что уделом хакеров остается хулиганство – подмена первых страничек сайтов, а верхом мастерства – похищение номеров кредитных карточек в электронных магазинах. Организация DDoS-атак на веб-сервер с целью «повалить» его лишена не только экономического смысла, но и героического пафоса. Руководство атакуемого предприятия и широкая общественность могут даже не узнать о стараниях хакеров.

 

Железнодорожный щит

Поддавшись моде на «новую экономику» и торопясь рассказать акционерам о переносе бизнес-процессов в электронную среду, американские компании недооценили открывающиеся для злоумышленников перспективы. Российские же руководители имели возможность не повторять их ошибки.

В 2000 году по распоряжению руководства МПС был полностью прекращен доступ через Интернет к системе резервирования билетов «Экспресс-2». Это было сделано по требованию гостехкомиссии при президенте РФ, запретившей подключение систем управления транспортом к Интернету. По словам Владимира Орлова, начальника отдела сертификации и защиты информации компании «Микротест» (компания занимается внедрением информационных систем в МПС), веб-сервер министерства до сих пор не подключен к корпоративной системе передач данных, и обновление информации на нем ведется вручную. Во внутренней сети, объединяющей 17 дорог и вычислительный центр, используется программно-аппаратный комплекс «Щит. Почта. Интернет», который обеспечивает безопасность пользования электронной почтой для сотрудников. Однако уже прошла сертификацию новая система (она называется «Щит корпоративного внутреннего портала»), и через некоторое время веб-сервер МПС станет точкой соединения корпоративной сети и Интернета.

Государственные ведомства не скупятся на обеспечение защиты серверов, где хранится информация, являющаяся государственной тайной. Стоимость защиты в пределах $500 – 700 на один сервер считается вполне приемлемой (для коммерческого сектора эта цифра составляет около $200). В практике Андрея Степаненко, директора по маркетингу компании «Информзащита», был проект, в бюджете которого на создание защиты одного сервера выделялось около $10 000, и заказчик не считал эту сумму завышенной. Правда, в стоимость работ включалось экранирование помещения и другие инженерные работы.

Российские финансовые компании, развивающие брокерские услуги через Интернет, также стали тратить значительные суммы на защиту передачи данных. Один из банков, десятки сотрудников которого работают в несколько смен круглосуточно со всеми мировыми биржами, заплатил около миллиона долларов за обеспечение безопасности канала связи.

Компания «Крок» выиграла тендер по автоматизации переписи населения, не в последнюю очередь благодаря своему умению защищать информацию. Представителям компании, видимо, удалось убедить тендерную комиссию, что собранная информация о всех гражданах страны не появится на радиорынке в Митино на «пиратских» компакт-дисках.

«Каждое рабочее место, на котором будет производиться обработка бланков переписи населения, защищается от несанкционированного доступа, – рассказывает Андрей Шаин, заместитель директора департамента информационных технологий компании «Крок». – После объединения первичных сведений о гражданах в базу данных эта персональная информация из процесса обработки полностью исключается и в первичной базе данных не сохраняется».

 

Отмычки хакера

По словам Андрея Степаненко, большинство хакеров не имеют серьезных знаний в области безопасности информационных систем. Им достаточно владеть некоторыми основами организации работы сетей и знать адрес компьютера в Интернете, который они хотят атаковать. Всю остальную работу за них проделывают специальные программки, написанные профессионалами.

«Один наш сотрудник получил задание изучить, как работают хакерские инструменты, – рассказывает заместитель руководителя службы безопасности финансовой организации, пожелавший остаться неизвестным. – Он добросовестно скачал из Интернета программу, предназначенную для атаки на Solaris (операционная система для компьютеров Sun. – Прим. «Ко»). Запустил ее, подождал и… вроде бы ничего не произошло. А в это время в соседнем отделе «упал» платежный сервер, и управление автоматизации потом два дня билось над его восстановлением».

«Это пример того, что «автоматический» инструмент хакера не требует специальных знаний от своего «владельца», – подтверждает Андрей Степаненко. – Если бы атака шла извне, то ее бы отсекли специальные системы защиты, но запущенная изнутри, она оказалась настолько эффективной, что ее невольный инициатор даже не заметил, где и какой урон он нанес. Современные средства защиты способны останавливать подобные программы еще на подходе к серверу. Создавая преграду, для преодоления которой нужно много времени и ресурсов, удается отсечь подавляющее большинство хакеров-«спортсменов». Остаются только заказные взломы, когда высокопрофессиональные программисты превращаются в «медвежатников», вскрывая базы данных подобно банковским сейфам».

С ним согласен президент корпорации «Галактика» Николай Красилов. Объектом воровства хакеров являются пароли, номера кредитных карточек и другая «примитивная» информация. Даже проникнув в информационную систему, хакер не сможет разобраться, что именно ему нужно, если у него не будет источника внутри компании.

«Информационная безопасность, – рассказывает Николай Красилов, – это комплекс вопросов, включающий аппаратное, программное обеспечение и организационные мероприятия. Важно понимать, какая информация является критичной и какие каналы ее утечки могут существовать. Не принципиально, каким образом утекает информация – в словесной форме, на бумажных или электронных носителях. Наивно думать, что если в персональный компьютер не вставить дисковод, то сотрудник не сможет при желании скачать с него информацию. В моем мобильном телефоне объем памяти 32 Мб, а это более 20 компьютерных дискет».

 

Поиск «кротов»

В большинстве компаний служба информационной безопасности входит в единый отдел безопасности, а не в отдел информационных технологий, или даже напрямую подчиняется первым лицам. Именно они определяют, что конкретно нужно защищать. Если раньше к таким объектам относилась отчетность, то сейчас эта информация потеряла свою «таинственность». Предприятия становятся более открытыми, перестают скрывать свой оборот и структуру доходов, активно распространяют маркетинговые материалы.

Отчетная и бухгалтерская информация отражает вчерашний день, а конкурентов интересует день сегодняшний и завтрашний. Поэтому наибольшую ценность стали представлять клиентские базы, расчетные цены, маркетинговые концепции, разработки новых продуктов. Получив доступ к этой информации, конкуренты могут «подрезать» на повороте и вырваться вперед. Однако хакер без внутренней наводки не сможет разобраться, где какие данные находятся в корпоративной сети.

Для выявления «кротов» руководство компаний все чаще применяет специальное программное обеспечение (ПО), позволяющее следить за действиями своих сотрудников в компьютерной сети. Это ПО позволяет анализировать переписку сотрудников, Интернет-трафик, а в некоторых случаях фиксирует все действия сотрудников в сети. На основании этих записей можно точно установить, кто внес изменения в отгрузочные документы или работал с приложениями, к которым не должен был бы иметь доступа.

«Важно вовремя найти слабые места в своем персонале, – считает Николай Красилов. – Предприятию, где работают больше 500 человек, вполне по силам содержать одного-двух аналитиков, способных находить отклонения от служебных обязанностей сотрудников предприятия при помощи специального ПО. Мы, например, смогли выявить двух сотрудников «Галактики», которые нелегально продавали нашу продукцию».

«Аспектов, которые необходимо отслеживать в работе сотрудников, очень много, – говорит Андрей Степаненко. – Если я вижу, что мой подчиненный ежедневно выходит на сайт агентства по найму персонала, то я должен понимать, что он морально готов покинуть нашу компанию и ему нельзя поручать ответственные задания. Не исключена ситуация, что будущий работодатель попросит его предоставить нашу внутреннюю информацию».

 

Хакеры в погонах

«В СССР и США существовали принципиально разные подходы к безопасности информации, – продолжает Николай Красилов, работавший при советской власти в одном из исследовательских институтов Министерства обороны. – У нас Главлит закрывал все данные, на основании которых можно было бы сделать стратегические выводы. У них широкий информационный поток, включающий дезинформацию, сочетался с «точечным» закрытием действительно секретной информации. Выудить что-либо серьезное из этих данных было довольно сложно. Метод «информационного шума» оказался более эффективным и дешевым, чем метод закрытия информации. Он не сдерживает коммуникации, но в то же время позволяет решать задачи безопасности».

Сегодня крупные российские предприятия по-видимому переходят к концепции «информационного шума», поскольку из десятков рассылаемых ими пресс-релизов трудно извлечь по-настоящему значимую информацию. Хакер, проникнув во внутреннюю сеть, где циркулируют гигабайты служебной информации, по большому счету окажется беспомощным. Более того, современные системы безопасности могут подставлять обманные мишени и имитировать свою уязвимость. Хакер, взломав сервер и «уронив» систему, испытывает прилив гордости, в то время как системный администратор уже узнал, что к нему влез вор, и изучает преступника.

«С точки зрения информационной безопасности предприятия, – отмечает Николай Красилов, – гораздо больший ущерб, чем хакеры, могут нанести правоохранительные органы. Например, изъятие серверов с базами данных за неделю до сдачи бухгалтерского отчета может доставить множество проблем компании. Зачем нанимать «хакера-медвежатника» для борьбы с конкурентом или иным способом влезать в чужую корпоративную сеть, если информацию можно просто изъять руками правоохранительных органов».

Некоторые российские компании рассматривают возможности хранения и работы со своими базами данных на расстоянии не из-за страха перед хакерами, землетрясениями или падающими самолетами, а для того, чтобы сохранить ее в случае конфликта с налоговыми органами или прокуратурой.

«В случае спорных ситуаций мы готовы встать на сторону клиента, – говорит Сергей Меркулов, вице-президент компании IBS, создавшей проект DATAFORT (в рамках которого предоставляются услуги по аренде серверов). – Мы не будем исполнять предписание скопировать данные нашего заказчика, выписанное на его юридическое лицо. Но мы не сможем остановить пристава с представителем Госсвязьнадзора, опечатывающих сервер или даже изымающих его в соответствии с ордером».

Еще по теме