Бойся работника
Большинство утечек информации на промпредприятиях происходит по злому умыслу. Наиболее опасны с этой точки зрения инсайдеры. Минимизация рисков зависит от грамотного комбинирования программных и организационных методов защитыВ конце октября компания EY опубликовала итоги 16-го ежегодного глобального исследования по информационной безопасности (ИБ), в ходе которого опрошено более 1,9 тыс. руководителей бизнес-структур, работающих по всему миру. По данным исследования, 93% компаний сохраняют значительный объем инвестиций в средства безопасности и наращивают его, при этом 83% не удовлетворены работой внутренних служб. Главный вывод: несмотря на серьезные вложения, организации все чаще сталкиваются с пробелами в системах безопасности, и сегодня вопрос уже не в том, попадет компания под прицел хакеров или нет, а в том — когда это произойдет.
Специалисты EY указывают, что вопросы безопасности все чаще оказываются в центре внимания топ-менеджмента. Если в ходе прошлогоднего опроса не было выявлено ни одной компании, в которой ИБ-служба докладывала бы о своей работе высшему руководству, то в 2013 году таких организаций оказалось 35%. Одновременно растет обеспокоенность относительно недооценки масштаба проблемы со стороны высшего руководства (ее высказали 31% респондентов против 20% в 2012-м).
И еще несколько важных моментов: 65% респондентов называют главной проблемой в сфере ИБ дефицит бюджета, а 50% — дефицит квалифицированных кадров.
«Компаниям следует работать на предупреждение, при этом инициатива должна исходить сверху, — указывает в заключение руководитель международного центра EY по управлению ИТ-рисками Пол Ван Кессел. — Необходимо уделять повышенное внимание информированию персонала и выделять больше денежных средств и других ресурсов на внедрение инновационных решений в сфере безопасности».
Совет очевидный. Чтобы понять, готовы ли ему следовать уральские предприятия, журнал и аналитический центр «Эксперт-Урал» в партнерстве с крупнейшей ИТ-компанией Урала «СКБ Контур» организовал круглый стол «Информационная безопасность: внутренние угрозы и решения».
Несколько предваряющих замечаний. Во-первых, мы пытались сделать ставку на приглашение ИТ-директоров предприятий, а не представителей ИТ-компаний. Точка зрения последних описана не раз (см., например, «Соломка для сервера» , «Э-У» № 46 от 19.11.2012), теперь хотелось бы услышать мнение их клиентов. Во-вторых, для нас наибольший интерес представляют промышленники — их вклад в экономику региона наиболее существен. В-третьих, мы решили сосредоточиться на внутренних угрозах: представители ИТ-компаний и топ-менеджмент производственных предприятий указывают, что именно здесь сегодня заключена наибольшая опасность. Если огрубить, речь идет о сотрудниках, злонамеренные или неумышленные действия которых приводят к утечкам информации.
— Основная точка уязвимости информационной безопасности любой организации — низкая квалификация пользователей и системных администраторов, — уверен генеральный директор компании «ЛАНИТ-Урал» Александр Кондаков. — Сотрудники используют служебные компьютеры для личных целей, могут выносить флешки с территории предприятия. До сих пор на некоторых рабочих местах можно увидеть стикер с паролем, приклеенный к монитору. Отсутствие стандартов и правил защиты информации и безответственное отношение специалистов предприятия к коммерческой информации может привести к ее утечке и создать дополнительные риски для репутации и коммерческой тайны организации.
С такой оценкой согласны и аналитики: по данным исследовательской компании Forrester, внешние атаки составляют лишь около четверти от общего числа инцидентов.
Кража на продажу
— Уважаемые участники круглого стола, прежде всего хотелось бы узнать, а есть ли у вас что красть? Как вы определяете ценность той или иной информации? И есть ли методы устранения последствия утечек?Заместитель начальника отдела ИТ по безопасности машиностроительного завода им. Калинина (ЗИК) Николай Каин:
— Преступники, как правило, крадут ту информацию, которую можно продать. Мы решили провести опыт: зашли на один из форумов и спросили, кто хочет купить информацию о ЗИКе и почем? Вы не поверите, какой был ответ: «Нас ничего не интересует». Вероятно, в области технологий все, что можно было украсть, уже украдено и продано.
Тем не менее работы по ИБ мы не свернули. Наш подход был основан на следующем постулате: преступникам прежде всего интересны коммерческие данные (отчеты, выводы аудиторов, потребление энергии, объемы выбросов и т.д.) и люди, имеющие доступ к неким целостным кускам информации: это топ-менеджеры и те, кто работает с разного рода тайнами.
По нашему опыту, 99% воров информации договариваются о сделке в соцсетях — «Одноклассниках», «Вконтакте», Твиттере. Все эти ресурсы легко сканируемы и взламываемы.
Директор регионального центра «АСКОН-Урал» Елена Каблова:
— Инженерные данные являются ключевым интеллектуальным активом любого промпредприятия. В особенности это касается ОПК. Ценность конструкторской и технологической документации для заводов сравнима с ценностью информации о клиентах и транзакциях для банка.
Сегодня большинство предприятий разрабатывают изделия в 3D и ведут составы изделий в CAD- и PDM-системах (системы проектирования и управления данными). Какие риски существуют при этом с точки зрения утечек? Неизвестный исходный код в программном обеспечении. А точнее, недекларированные возможности несанкционированного доступа к информации (если говорить грубо — есть риск, что производители ПО в интересах СГА или ЕС украдут конструкторскую информацию. — Ред.).
— А каково соотношение злонамеренных и случайных утечек?
Региональный представитель ГК InfoWatch на территории УрФО Игорь Фридман:
— По нашим данным, в 2012 году около 77% утечек в России были злонамеренными (в мире — 46%). В большинстве случаев речь идет о краже персональных данных. Вероятно, это связано с тем, что именно персональные данные обладают самой высокой ликвидностью. Наибольшая угроза исходит от сотрудников, особенно вновь нанятых.
В то же время подавляющее большинство предприятий не знает, что у них крадут информацию, и совсем печальная статистика по доведению подобных инцидентов до суда. Как правило, организация не может предоставить юридически значимое доказательство кражи даже при условии фиксации какими-то средствами утечки информации.
Не дай мне повод
— И каковы эти средства?Игорь Фридман: Один из наиболее эффективных программных инструментов предотвращения утечек и защиты от инсайдеров — DLP-система (Data Leak Prevention, пресечение утечек; ее компоненты контролируют движение всей корпоративной информации. — Ред.). Естественно, это не панацея. 99% компаний используют DLP для мониторинга, а не для блокирования информации. Тем не менее это решение позволяет ответить на вопросы «кто? куда? кому?». Следующее логическое звено — «зачем?». Поняв это, можно выработать комплекс мер по предотвращению утечек на предприятии.
Технические средства защиты информации в отрыве от организационных никогда не будут работать достаточно эффективно. Помимо внедрения DLP-систем необходимо доводить до сведения сотрудников принципы политики ИБ, и предупреждать об ответственности за их нарушение.
Далеко не все предприятия готовы ответить на вопрос, что делать с инцидентами. Если этого понимания нет, то внедрять DLP не надо.
Коммерческий директор компании «Корус АКС» Евгений Варывдин:
— DLP — хоть и очень мощный, но только один из инструментов, позволяющих защититься от внутренних угроз, сам по себе он тоже не панацея. Непродуманность организационных мер может нивелировать использование даже очень хорошо настроенной системы DLP.
Зачастую мы сталкиваемся с тем, что сотрудники предприятий негативно воспринимают внедрение DLP. В их умах силен стереотип: таким способом работодатель контролирует личную жизнь подчиненных. Но на самом деле эта система призвана контролировать информацию, а не работника, и ее цель состоит в том, чтобы конфиденциальные данные не покинули защищаемый периметр организации. Да и по-хорошему анализ почты и ICQ на корпоративном компьютере не должен восприниматься как вмешательство в личную жизнь.
Замруководителя Центра компетенции информационной безопасности компании «АйТи» Аркадий Прокудин:
— Основная проблема при внедрении ИБ-решений — это непонимание рядовыми сотрудниками того, зачем им усложняют работу и жизнь. Решение — грамотная работа руководства с персоналом. Хорошим тоном считается организация встреч с подчиненными и объяснение, зачем компания пошла на те или иные меры. В таком случае персонал понимает, что компания защищается не от него, а обороняется вместе с ним.
Директор департамента инновационных проектов и кооперации НПО автоматики им. Семихатова Никита Плотников:
— О какой личной переписке с рабочих машин мы можем вести речь? Сотрудник предприятия в рабочее время должен работать. Альтернатива проста: либо мы заботимся о каждом сотруднике, боясь его обидеть, либо делаем единое дело. Для нас выбор очевиден.
Игорь Фридман: DLP-система призвана контролировать информацию, а не сотрудника, и ее цель состоит в том, чтобы конфиденциальные данные не покинули корпоративную сеть организации.
Начальник управления ИТ корпорации «ВСМПО-Ависма» Павел Ковальногов:
— Я не считаю просмотр переписки сотрудника чем-то аморальным. Тем более что контролировать всех поголовно не нужно. Есть очевидные группы риска, например сотрудники коммерческих подразделений. Мы рассматриваем варианты внедрения DLP-системы, но пока структурной работы в этом направлении не ведем.
— Получается, работа по повышению грамотности в области информбезопасности, какие-либо инструктажи при внедрении новых систем не являются распространенной практикой?
Николай Каин: Конечно, у нас есть пакет документов по работе в корпоративной сети. Но 99% людей их подписывает, не читая (особенно если инструкия больше двух страниц).
Ситуация та же, что и с пользователькими соглашениями Google или Apple. Люди думают: «Я же уже видел этот документ пять минут (день, месяц, год) назад, зачем его снова читать?» Чтобы эффективно контролировать этот процесс, нам пришлось бы создать еще одно подразделение.
Никита Плотников: У нас каждый человек при поступлении на работу проходит ряд инструктажей, также с персоналом ежегодно проводится работа в области повышения знаний компьютерной безопасности. Абсолютно все, и рядовые сотрудники, и топ-менеджеры, знают регламенты обращения с флешками и компьютерами. За конкретным человеком закреплена конкретная машина, если произойдет сброс информации, сразу можно отследить, кто за него ответствен.
— А если говорить о системах защищенной аутентификации, насколько высока их эффективность?
Руководитель направления развития сервисов электронной подписи компании «Аладдин Р.Д.» Максим Чирков:
— Если мы говорим о банальном логине и пароле — эффективность невысока (тем более они иногда хранятся под клавиатурой). Следующий уровень защиты — это смарт-карты и токены. Первые могут интегрироваться с RFID-метками (тогда можно контролировать, вошел сотрудник в здание или нет) или банковским пластиком (таким образом, мы снижаем риск передачи карты другому лицу до минимума). Особое внимание необходимо обратить на поддержание жизненного цикла аутентификации. Наиболее эффективно использовать систему централизованного управления, которая позволяет мониторить, что происходит у пользователя, и оперативно реагировать на ситуации (например, дистанционно сменить пин-код заблокированного токена).
Николай Каин: Идея со смарт-картами кажется крайне привлекательной. Она позволяет, например, контролировать использование станков с ЧПУ. Если работник вдруг захочет похалтурить на свободном оборудовании, мы это заметим.
Не все в кучу
— Давайте повернем осбуждение в другую сторону. Аутентификация, DLP-системы и другие средства в теории хороши. Но где тот самый уровень целесообразности защиты?Николай Каин: Принципиальный момент — соотношение цены и качества. Вложения в системы должны быть соизмеримы со стоимостью информации. Если мы начнем защищать компьютер человека, ответственного за покупку халатов, теми же методами, что применяем в конструкторском бюро НПО автоматики, нас ждет разорение.
Игорь Фридман: Обычно у заказчика понимание, какие объекты нужно защищать, появляется во время реализации пилотного проекта.
Павел Ковальногов: Пытаясь защитить все и вся, можно дойти до маразма и не получить никаких бенефитов и эффектов. Для каждого предприятия уровень защиты должен быть своим. Он зависит от ценности информации, ее объема, размера самого предприятия и многих других показателей.
Евгений Варывдин: Еще одна проблема нахождения баланса лежит в плоскости взаимоотношений подразделений ИТ и безопасности. Стремление первых обеспечить максимально простой доступ сотрудников к необходимым информсервисам может вступать в противоречие с требованиями ИБ к методам аутентификации.
— Какая тенденция станет основополагающей на рынке ИБ в ближайшей перспективе?
Максим Чирков: Основной упор все разработчики средств защиты делают на мобильные платформы. Пока эффективных инструментов не найдено. Недавно был прецедент, когда злоумышленники перехватили сессию руководителя и подписали за него важный документ. Хотя все было защищено по ГОСТу.
Павел Ковальногов: Список сервисов, которые руководство требует получать с мобильных устройств, год от года растет. Естественно, это создает определенную дыру в безопасности. Отказаться от использования телефонов и планшетов невозможно. Генеральные директора — стратеги, люди, которые постоянно двигаются, и им нужно, чтобы информация была под рукой.
Дополнительная информация.
Бег с барьерами
Компании должны заниматься упреждением утечек, а не их мониторингом, уверен руководитель проектов по защите информации «Контур-Безопасность» компании «СКБ Контур» Вадим Галлямшин. — Сегодня на российском рынке присутствуют больше 25 поставщиков DLP-систем (Data Leak Prevention — предотвращение утечек). Выбор кажется широким, но на деле предложение далеко не всех вендоров можно назвать эффективным. Расскажу, как строят продажи многие из них. Вам звонит менеджер DLP-разработчика и спрашивает «Здравствуйте, для вас актуальна проблема утечки информации?» Вы отвечаете: «Конечно!» Тогда он продолжает: «У нас есть для вас чудесное решение, благодаря которому вы можете ловить негодяев и работать с ними адресно». Затем вам высылается дистрибутив или ссылка на него, вы в несколько кликов разворачиваете систему с некоторыми предустановленными правилами и пользуетесь ею в течение месяца. За это время вы ловите двух-трех нарушителей и благодарное руководство закупает DLP-решение, позволяющее раз за разом отслеживать нарушения. И так до бесконечности.
Что в этом алгоритме не так? Я уверен, что подразделение, отвечающее за внутреннюю безопасность, должно не ловить людей за руку, а создавать условия, при которых они не могли бы и, главное, не хотели бы украсть. Приведу житейскую метафору. Есть такой вид спорта — бег на 400 метров с барьерами. Преодолеть все планки под силу только профессиональным спортсменам. То же в сфере ИБ — путем выставления препятствий можно отсечь подавляющее большинство утечек — не важно, случайные они или злонамеренные.
Не надо ударяться в крайности и стремиться обрезать все возможные каналы утечки информации, перекрывать флешки, USB, выход в интернет. Если проводить аналогию, это рассуждения типа «давайте выдадим всем людям тракторы, чтобы они не нарушали скоростной режим». Такой подход для многих предприятий вреден. Точно так же не стоит содержать целый штат сотрудников, которые вручную просматривают логи, почту и мессенджеры сотрудников. Это крайне неэффективно (поскольку вместе с ростом компании штат приходится постоянно наращивать) и порождает вопросы относительно этики процесса.
Необходимо внедрять продуманную политику, которая объединяла бы в себе программные и организационные методы защиты вроде адресной работы с сотрудниками, специализированных курсов, инструктажей.
У многих предприятий возникает вопрос, с чего начать внедрение DLP-системы. Главное — понимание того, что защищать. Мы часто слышим: «Нас интересует все». Это ошибка, которая грозит компании неэффективными расходами. Кроме того, надо понимать, что нет какой-то единой DLP. Ее функционал сильно зависит от масштабов предприятия и задач безопасности.
Партнер проекта
