Полагаете, что вы не в силах подготовить план ответных действий в противовес проискам хакеров? Вот руководство, которое позволит вам начать действовать, оставаясь в рамках разумного бюджета
Полагаете, что вы не в силах подготовить план ответных действий в противовес проискам хакеров? Подумайте еще раз. Вот руководство, которое позволит вам начать действовать, оставаясь в рамках разумного бюджета.
Когда клиент наткнулся на брешь в системе защиты, Барри Вулси, директор информационной службы подразделения кредитных карт компании Fleet, получил шанс проверить на практике свой план ответных действий на инциденты. |
Для Барри Вулси, директора информационной службы подразделения кредитных карт компании Fleet, первая серьезная проверка плана ответных действий на инциденты, связанные с информационной безопасностью, началась не с атаки хакеров, кибертеррористов или обиженного сотрудника, а с момента, когда любознательный клиент случайно обнаружил брешь в системе безопасности. Информация об этом, попав в заголовки новостей MSNBC.com, заставила Fleet отключить свой сайт на пять часов.
Зайдя в пятницу днем на сайт Mycard.Fleet.com, Джонатан Брайс заметил, что Web-страница, через которую он вошел в зону обслуживания своей кредитной карты, содержала в своем адресе длинный идентификационный номер. Заинтересовавшись тем, как именно во Fleet хранят записи об истории транзакций, он ввел случайный номер. К своему удивлению, он увидел на экране запись о платежах другого человека.
«Данная брешь позволяла видеть информацию о клиентах Fleet, — рассказывает Брайс. — В основном это были несущественные сведения, но в иногда удавалось получить доступ к действительно конфиденциальной информации, в том числе к личным номерам в системе социального обеспечения, номерам банковских счетов и адресам».
Обеспокоенный тем, что информация о его счете может быть прочитана другими людьми, Брайс позвонил в службу Fleet по работе с клиентами. После нескольких переключений телефона от одного сотрудника к другому ему сообщили, что свяжутся с ним в понедельник.
Брайса это не устроило. Он связался с журналистами, и через несколько часов новость была опубликована на сайтах MSNBC.com и Boston Globe.
Тем временем специалисты финансового подразделения FleetBoston запустили план ответных действий на инциденты. Потребовалось более пяти часов после звонка Брайса в Fleet, чтобы неприятная новость дошла до Вулси. В целом Вулси удовлетворен тем, как сработал план, но признает, что он мог бы быть гораздо эффективнее.
По крайней мере, у Fleet план был. В большинстве компаний ответные действия на инциденты не планируются вовсе. Это объясняется тем, что никто в этих компаниях не предполагает, что что-то может пойти неправильно.
Превентивные меры являются ключом к успешной защите. Однако в мире, где безопасность — не более чем правило, допускающее исключения, знание о том, как отвечать на инциденты, связанные с нарушением информационной безопасности (будь то появление Internet-червя, ошибка, хакерская атака или просто подозрение на инцидент), позволяет компании экономить время, деньги и даже поддерживать свою репутацию. В случае с Fleet более вразумительные действия представителей клиентской службы помогли бы не допустить негативной огласки.
Тем не менее Fleet справилась с ситуацией лучше, чем это могли бы сделать многие компании, окажись они на ее месте. По мнению экспертов, вне строго регулируемых индустрий здравоохранения и финансовых услуг лишь немногие компании готовы справляться с инцидентами нарушения безопасности.
«Понимание необходимости плана ответных действий на инциденты приходит только сейчас, — считает Джей Эренрич, старший менеджер группы компании PricewaterhouseCoopers, отвечающей за предотвращение преступлений в киберпространстве и отражению действий злоумышленников. — Компании приходят к нам, чтобы мы помогли им разработать такие планы, правда, в большинстве случаев уже после того, как они погорят».
«Пожары» обходятся весьма дорого. Компании потратили миллиарды долларов, восстанавливаясь после атак червей Nimda и Code Red. По результатам исследования, проведенного в 2001 году Институтом компьютерной безопасности совместно с ФБР, потери некоторых компаний от брешей в системах безопасности оцениваются миллионами долларов.
Тем не менее не все должны учиться на своих ошибках. Вот некоторые шаги, позволяющие обойтись меньшими затратами времени и усилий.
1 Соберите команду. Объем затрат на реализацию первого шага в планировании ответных действий на инциденты — сбора команды, обеспечивающей эти самые действия, — весьма невысок. «Многие компании считают, что эта ударная команда, специально выделенная и высоко оплачиваемая, ничем не занимается, дожидаясь очередной чрезвычайной ситуации, — отмечает Эренрич. — На самом деле это не так. Это скорее пожарный отдел, составленный из добровольцев, в котором у специалистов есть и другие обязанности, но в случае возникновения чрезвычайной ситуации они предпринимают необходимые действия».
Ночью, после того, как во Fleet обнаружили брешь в своей системе безопасности, Вулси вместе с директором по операциям Сьюзан Глисон, генеральным директором Патриком Колом, юристами, сотрудниками департамента по коммуникациям и FleetBoston провели телеконференцию, чтобы обсудить проблему минимизации ущерба клиентам Fleet и репутации компании. В то же самое время группа специалистов по информационной безопасности проанализировала бреши в системе безопасности, поиск информации, которая была доступной, и наметила мероприятия по закрытию бреши в системе. На основе собранных данных департамент по борьбе с мошенничеством связался с клиентами, личная информация которых была скомпрометирована.
В компании Fleet была сформирована вполне типичная по своему составу группа. Тем не менее некоторые организации добавили бы в нее дополнительных специалистов. Группа может быть достаточно многочисленной, однако не всех членов команды следует привлекать для разрешения каждой ситуации. К тому же лишь некоторые специалисты отвечают за ликвидацию проблемы, в то время как другие лишь информируются о том, что происходит. Группа по ответным действиям на инциденты обязана согласовывать свои акции с командой, отвечающей за обеспечение бесперебойности ведения бизнеса или его восстановления после чрезвычайных ситуаций.
Когда члены группы распределят между собой роли, менеджер проекта по ее созданию должен составить список, содержащий все возможные способы связи с членами команды, чтобы при необходимости разыскать их в любое время дня и ночи. В списке также должна быть информация о контактах в компаниях — поставщиках программного и аппаратного обеспечения в области информационной безопасности, компаниях, предоставляющих услуги Web-хостинга, и других поставщиках. Список в печатной форме должен быть доступен в офисах организации и домах соответствующих сотрудников.
2 Координируйте усилия. План не может ограничиваться созданием команды специалистов по ответным действиям на инциденты. Как показывает пример Fleet, каждый сотрудник организации (вплоть до самого последнего новичка в центре обработки звонков от клиентов) обязан знать, как реагировать на возможные бреши в системе безопасности. Поэтому необходимо организовать централизованное отслеживание инцидентов, информирование о них и осуществление ответных действий. Представители клиентской службы должны знать, кому сообщить о проблеме; специалисты по безопасности обязаны знать, когда звонить директору информационной службы; тот должен знать, когда звонить генеральному директору; наконец, кто-то из сотрудников должен отслеживать, что происходит в организации в целом, с тем, чтобы различные бизнес-единицы могли подготовиться к атакам.
«Большая часть ответных действий на инциденты — это координация, — считает Дэвид Нельсон, заместитель директора информационной службы NASA, отвечающий за ИТ-безопасность. — Необходимо обеспечить такое положение дел, когда соответствующие люди обладают нужной информацией в нужное время».
Если в одном из центров NASA обнаруживается проблема с информационной защитой, то сначала о ней сообщается местному менеджеру по ИТ-безопасности. Инцидент ранжируется по одной из семи категорий сложности. Самыми простыми считаются случаи, когда кто-то из легальных пользователей некорректно работает с системой. Самыми сложными — когда хакер заполучил пароль системных администраторов. О любом происшествии, которое будет расценено как серьезное, немедленно сообщается в центр NASA по ответным действиям на инциденты, который передает эту информацию Нельсону. Если инцидент может иметь криминальную подоплеку, то к решению проблемы также подключается офис генерального инспектора NASA.
Во время массированных атак, вроде тех, что были вызваны активностью червя Code Red, центр организует телеконференцию с менеджерами ИТ-безопасности подразделений.
«В реальном времени мы отслеживаем, что происходит, какой наносится ущерб, какие реализуются ответные меры, а также решаем, должны ли мы предпринять что-либо экстраординарное, чтобы защитить себя, — подчеркивает Нельсон. — Наш опыт показывает, что любая серьезная атака почти одновременно поражает много компьютерных систем, поэтому раннее предупреждение может помочь предпринять необходимые действия до того, как мы окажемся полностью парализованными».
3 Определитесь с полномочиями. Необходимо заранее решить вопрос о том, в чьей компетенции находятся ответные действия на инцидент, и кто может отключить Web-сайт или локальную сеть, если это потребуется. Это одна из наиболее «политических» частей планирования ответных действий на инциденты, однако она позволит выиграть время, если атака окажется успешной.
«Сам факт того, что некоторые люди, находящиеся на высоких корпоративных постах, должны уступить контроль, может привести к трениям, — считает Ребекка Бейс, бывший сотрудник Национального агентства безопасности США. — К сожалению, иногда может просто не быть времени, чтобы связаться со всеми».
«Процесс вторжения длится несколько секунд или минут, редко часов. Если высшее руководство желает, чтобы люди эффективно реагировали на быстро протекающие атаки, то оно должно снабдить их полномочиями по отключению определенных частей системы», — говорит Бейс.
Биллу Спернову, директору по информационной безопасности Студенческой финансовой комиссии штата Джорджия, пришлось исправлять вопиющую неразбериху в области защиты данных |
Студенческая финансовая комиссия штата Джорджия пришла к этому на собственном тяжелом опыте. Билл Спернов, директор комиссии по вопросам информационной безопасности, был взят на работу после того, как из-за неразберихи с вопросами безопасности оказалась опубликованной в Internet личная информация о кандидатах на стипендию. Организация ужасающе медленно прореагировала на брешь, появившуюся в результате технического сбоя. Вовремя не нашлось человека, который мог бы взять ситуацию под контроль и отключить Web-сайт. Теперь за это отвечает Спернов, ранее работавший в компании Gartner и решивший опробовать свои советы на практике.
«Вам не потребуется тратить много денег на планирование ответных действий на инциденты, если высшее руководство придет к решению делегировать эти полномочия одному человеку, который может принять решение, — замечает Спернов. — Независимо от размеров компании вынести такое решение будет непросто. Сопровождающие процесс обсуждения интенсивные политические дискуссии среди высшего руководства часто выносят на поверхность массу опасений и проблем, связанных с контролем. Но как только решение будет принято, это снимет 60% проблем».
4 Заранее готовьте ИТ-ресурсы. Технический аспект ответных действий на вторжение — наиболее сложный элемент защиты. Группа информационной безопасности или внешняя служба мониторинга должны уметь определить факты возникновения инцидентов, обследуя компоненты информационной системы на необычное поведение, проводя поиск уязвимых мест, наблюдая за ненадежными конфигурациями и осуществляя мониторинг автоматизированных систем обнаружения вторжений, которые нередко ошибаются.
«Вы должны уметь распознать инцидент, поскольку, если вы не знаете, как это сделать, то не сможете что-либо предпринять в ответ. Однако распознавание атак — дело очень сложное», — говорит Майкл Янг, директор по информационной безопасности State Street Global Advisors.
Когда проблема выявлена, ИТ-персонал должен просмотреть системные реестры и проанализировать, что произошло на самом деле. Обнаружение и предупреждение симптомов — ключ к исправлению проблемы и предупреждению ее повторного появления. Кроме того, точное знание о файлах, которые могли быть охвачены инцидентом, поможет компании обеспечить целостность данных и выявить, какие клиенты, сотрудники или деловые партнеры могут от этого пострадать.
Брюс Маултон, один из основателей Центра финансовых услуг по обмену информацией и ее анализу, говорит, что чем больше внимания уделяется профилактике проблем информационной безопасности, тем дешевле будет с ними справиться, когда они возникнут |
Реализация защитных мер возможна как собственными силами организации, так и силами внешней компании. Все зависит от масштаба компании, ее привлекательности для атак хакеров и уровня секретности информации. Как правило, чем выше важность и объем информационных активов компании, тем больше причин концентрировать операции в области информационной безопасности внутри компании.
К счастью, чем больше компания уделяет внимания работе по профилактике проблем, связанных с информационной безопасностью, тем дешевле будет с ними справиться, когда они возникнут. Это особо подчеркивает Брюс Маултон, бывший директор по информационной безопасности компании Fidelity Investments, один из основателей Центра финансовых услуг по обмену информацией и ее анализу.
5 Решите, когда применить силу закона. Не желаете звонить в полицию, чтобы избежать огласки проблемы среди клиентов и акционеров? В этом нет ничего необычного. Но если ситуация станет угрожающей (например, если конкурент украдет интеллектуальную собственность, хакер опубликует информацию о клиентах или уволенный сотрудник выведет из строя ваш Web-сайт), вы можете изменить свою позицию. В некоторых случаях огласка неизбежна. Можно сэкономить время и нервы, заранее обсудив ситуации, которые потребуют привлечения правоохранительных органов. Для большинства компаний подобные ситуации связаны с серьезными финансовыми потерями или с событием, которое оказалось известно многим.
В академическом медицинском центре Университета штата Вашингтон, подвергшемся хакерской атаке, о которой писали газеты, директор информационной службы Том Мартин первоначально решил не привлекать ФБР, поскольку полагал, что хакер не получил доступа к данным пациентов. Но как только обнаружил свидетельства обратного, он резко поменял свое мнение.
«Никто не хочет выглядеть жертвой, поскольку это накладывает некое клеймо некомпетентности, однако иногда этого не избежать. Когда эти проблемы проявятся — лишь вопрос времени, поскольку мы все больше зависим от Internet», — говорит Мартин.
Реальность угрозы организованных кибератак подталкивает правоохранительные органы к тому, чтобы наблюдать за тенденциями в области информационной безопасности. Координационный центр CERT Университета Карнеги-Мелона (www.cert.org) отслеживает происшествия, связанные с безопасностью, и просит сообщать ему даже о неудавшихся атаках.
Все чаще правоохранительные органы просят компании сотрудничать вне конкретных событий, связанных с безопасностью. Предварительные контакты помогают точнее оценить влияние расследований на бизнес, определить шансы получить реальную помощь, понять степень сохранности своей информации, когда с ней работают правоохранительные органы.
«Мы вряд ли можем помочь, когда нам звонят и сообщают об инциденте в области информационной безопасности», — говорит Боб Вивер, начальник секретной службы подразделений правопорядка Нью-Йорка, расследующих преступления в сфере ИТ. После 11 сентября эти силы были выбраны Конгрессом США в качестве образцово-показательного примера национального масштаба в области обмена информацией между бизнесом и правоохранительными органами: «Звоните тем, кто действительно может помочь. Далеко не всегда требуется вмешательство ФБР, часто весьма эффективными бывают действия местной полиции, полиции штата или прокурора штата».
Опыт службы кредитных карт компании Fleet показывает, что существует множество вещей, которые необходимо освоить, попробовать и протестировать. После того, как эти процессы были применены на практике, их одобрение высшим руководством намного вероятнее.
Если в следующий раз в этой компании случится происшествие, связанное с информационной безопасностью — будь то очередной вирус или что-то более серьезное — компания будет гораздо лучше подготовлена. Вулси работает над тем, чтобы представители клиентской службы знали, какие действия предпринимать по поводу звонков о проблемах с безопасностью от беспокойных клиентов. А поскольку брешь в системе безопасности была в прикладной системе, разработанной сторонним поставщиком, то он также пытается установить более плотный контроль над программным обеспечением сторонних фирм. Он был воодушевлен тем, что, по его информации, ни один из клиентов не закрыл свой счет из-за случившегося инцидента.
«Урок, с которым я буду жить, заключается в том, что никогда нельзя утверждать о существовании чего-то безупречного, — заключает Вулси. — Вы должны понять, что не сможете спланировать абсолютно все, поэтому вам необходим резерв, который поможет выйти из любой ситуации».
Sarah D. Scalet. How to plan for the Inevitable. CIO, March 15, 2002
Кто не с нами?
Директору службы безопасности очень важно сформировать команду соратников из числа руководителей среднего звена. Это и источник ценной информации о внутрикорпоративной жизни, и возможность довести до сведения сотрудников проблемы в области безопасности, и средство достижения поставленных целей. Ниже приводится примерный перечень ключевых работников, которые должны составить костяк вашей команды. В зависимости от отраслевой принадлежности компании данный список может слегка видоизменяться.
Отдел кадров. Кадровая служба — ваш основной партнер в сфере управления доступом к сетевым ресурсам (прием на работу, увольнение), формирования и распространения стратегии безопасности, а также в обучении персонала. Специальные знания кадровиков в области психологии также могут быть вам полезны. Сверх того, опыт отдела кадров поможет вам избежать негативных последствий неприятного разговора. За кадровой службой, так же, как и за службой безопасности, закрепилась слава плохого делового партнера, стремящегося к изоляции и отделению от предприятия.Финансовая дирекция. По очевидным причинам разумно построить тесные рабочие взаимоотношения с людьми, у которых в руках находится корпоративный кошелек. Если в целях обеспечения безопасности фирмы необходимо понести определенные расходы, вопрос будет решен существенно быстрее, если руководитель финансовой дирекции хорошо осведомлен о ваших заботах.
Отдел маркетинга и PR. Корпоративная служба маркетинга и связей с общественностью — лицо компании на рынке. Когда с безопасностью возникают определенные проблемы, отдел маркетинга и PR играет чрезвычайно важную роль, формируя и донося до клиентов и деловых партнеров корпоративный взгляд на сложившуюся ситуацию.
Служба аудита. Взаимоотношения между службой безопасности и службой аудита могут быть достаточно непростыми. Оба структурных подразделения занимаются управлением стандартами и стратегией в масштабах всего предприятия. В процессе решения сходных задач между группами может возникнуть конкуренция. Тем не менее крепкие партнерские отношения с аудиторами могут оказаться для директора службы безопасности бесценным подарком. Ведь потенциально служба аудита — это глаза и уши службы безопасности в подразделениях компании.
Юрисконсульт. Ряд проблем приходится решать как юристам, так и технарям. Поэтому-то и необходимо проторить путь в офис главного юрисконсульта. Это подразделение — очень ценный партнер, когда дело доходит до конфиденциальности информации, злоупотребления техническими средствами, нарушения авторского права и торговых марок в Internet, распространения спама. Генеральный юрисконсульт может также оказать неоценимую помощь в «шлифовке» договоров с поставщиками средств безопасности.
Глава службы физической защиты. В некоторых компаниях директор службы безопасности отвечает за безопасность как физическую, так и информационную. Даже если эти функции и возложены на разные подразделения, обеспечить корпоративную безопасность можно только при условии их тесного взаимодействия. Многие средства управления физической защитой одновременно внедрены и в систему информационной безопасности (смарт-карты доступа в помещение, биометрия). Менеджеры по физической защите также играют важную роль в создании безопасной информационной среды, ведь именно они осуществляют контроль доступа в корпоративные вычислительные центры.
Директор информационной службы. Директора информационных служб и служб безопасности могут иметь пересекающиеся функции, даже в том случае, если один из них находится в подчинении другого. Фактически директор информационной службы обеспечивает работу систем, а директор службы безопасности делает все, чтобы системы стоили дороже и работали дольше. Поэтому этим специалистам не всегда легко договориться. Следовательно, им необходимо работать в постоянном контакте, чтобы были учтены пожелания обеих сторон.
Генеральный директор. Информация о проблемах безопасности должна доходить до верховного руководства. Не имеет значения, решит ли директор службы безопасности эту задачу самостоятельно или сделает это через доверенное лицо. Существенно лишь то, что генеральный директор не должен оставаться в стороне.
Дэйнтри Даффи