Большинство компаний не дают достоверной информации о взломе. Они не желают выставлять на показ наличие уязвимых мест в своих системах, чтобы не "подводить" службу безопасности.
Директор информационной службы с большим стажем из одной нью-йоркской финансовой компании обнаружил в июле 2002 года, что несколько жизненно важных файлов пропали с одного из 25 серверов его организации.
Сотрудники сделали бесплодную попытку найти хоть какую-то информацию, обнаружив, что на сервере вообще не осталось никаких полезных данных. Напуганные происшедшим, директор и его подчиненные перешли на работу в аварийном режиме. Вскоре обнаружилось, что сквозь межсетевой экран компании проник хакер и стер все рабочие файлы с сервера, не оставив практически ничего, кроме пары файлов со странными метками. Понадобилось двое суток изнурительной работы, чтобы восстановить данные с лент. Еще две недели ушло на то, чтобы убедиться, что хакер не проник на оставшиеся 24 сервера компании и не испортил больше никакой информации.
В общей сложности, по словам упомянутого ИТ-директора (его имя не раскрывается — таким было условие предоставления данной информации), компании был нанесен ущерб в 50 тыс. долл. Однако на вопрос, каким образом получена эта цифра, он честно признался, что не имеет представления и не особенно уверен в ее корректности.
«Мы не провели детального анализа затрат, связанных со взломом, поскольку тогда это казалось неважным, — признался он. — Но надо иметь в виду и затраты на услуги консультантов, непроизводительную трату времени и оплату внеурочной работы ИТ-персонала».
Впрочем, даже когда руководителям служб безопасности (Chief Security Officier, CSO) удается более или менее точно оценить расходы, связанные с вторжением, говорить об этом согласится далеко не каждый руководитель. Компании имеют тенденцию к преувеличенному сокрытию такой информации. «Признать, что хакер проник за межсетевой экран, стыдно, — заявляет Тина Лакро, директор по информационной безопасности страховой компании Aon. — Большинство компаний не дают достоверной информации о взломе. Они не желают выставлять напоказ наличие уязвимых мест в своих системах, чтобы не "подводить" службу безопасности».
«Никому не хочется, чтобы его компания попадала на первые страницы New York Times, представленная в таком невыгодном для себя свете», — поясняет Томас Варни, директор по технологиям страхования и защиты, согласившийся на беседу с нами при условии, что его компания (входящая в список Fortune 100) не будет названа. Однако уязвимые места не пропадут, если стараться не замечать их. По данным опроса, проведенного Computer Security Institute и ФБР в 2002 году, ставившего целью изучение компьютерных преступлений и систем защиты информации, 80% из 503 специалистов признали, что их компании несли убытки из-за брешей в системе защиты, но только 44% согласились (и были в состоянии) оценить их.
«Если исходить из обнародуемых затрат, получается, что роль руководителя службы безопасности просто ничтожна, — считает Майкл Эрбшлое, старший аналитик консалтингового агентства Computer Economics. — Они не озвучиваются за стенами компании, а иногда о них не говорят и внутри. Но если CSO не знает реальных цифр, их не узнает и никто другой, а это отражается на репутации компании и отнюдь не способствует росту ее акций». Однако он предупреждает, что руководителям служб безопасности следует выйти из спячки: «Необходимо честно признавать свои недостатки, иначе мы окажемся гораздо уязвимее, чем можно допустить».
«Каждый взлом уникален, и затраты меняются от происшествия к происшествию. Именно поэтому важно, чтобы руководители служб безопасности располагали планом действий на такой случай», — говорит он.
Создание методологии получения количественных оценок наибольшего числа затрат, связанных со взломом, представляется чрезвычайно важным. Необходимо начинать с определения ценности информации и ресурсов для того, чтобы было легче понять, что потеряно. Надо оценить влияние инцидента на аспекты работы компании и все возможные ресурсы, поскольку отражается он на всех.
Очевидные затраты — стоимость замены оборудования или оплата сверхурочной работы — отследить легко. Реальные трудности представляет оценка опосредованных расходов — утрата доверия клиентов. «Нужно проделывать нечто большее, чем суммировать физические убытки, — поясняет Крейг Голдберг, президент Internet Trading Technologies. — Необходимо оценить потери клиентов, акционеров и служащих, проанализировав соответствующую информацию, установить цену упущенных бизнес-возможностей». Не надо также забывать о самом серьезном ущербе — потере репутации компании. «Наибольшие убытки возникают в тех сферах, которые менее всего формализуемы, и, соответственно, здесь же труднее всего оценить масштабы бедствия», — подчеркнул Голдберг.
Именно поэтому все аспекты страхования, так или иначе связанные с киберпространством, представляют собой очень опасное поле деятельности, считает Рич Могулл, директор по исследованиям GartnerG2 Cross-Industry Research. Компании не имеют жестко определенных формул, позволяющих вывести временные графики рисков, поэтому они недостаточно хорошо защищают себя или, напротив, перестраховываются.
Знание — половина победы
Рону Вернеру, сертифицированному специалисту в области защиты информационных систем (Certified Information System Security Professional, CISSP) и администратору системы информационной безопасности дорожного управления штата Небраска, потребовалось совсем немного времени, чтобы связаться со своим провайдером Internet, когда червь поразил системы его организации.
«Представители провайдера хотели узнать, почему от нас исходило так много SQL-запросов, и мне в голову закрались подозрения, — вспоминает Вернер. — Я попросил их заблокировать все SQL-запросы в Internet, поскольку для нас это не принципиальный способ коммуникаций. Затем я связался с администратором этой системы и сообщил, что наши системы заражены. На этом этапе я привел в «боевую готовность» группу экстренной помощи, не давая им, впрочем, конкретного задания. Казалось, что ситуация под контролем, и мы не хотели поднимать слишком много шума нашими действиями. Я обновил систему поиска вирусов на инфицированной системе, обнаружил четыре файла, имевшие отношение к червю, и удалил их. Мы перезагрузили сервер, убедились в том, что все чисто, а также что наш коммутатор сконфигурирован таким образом, чтобы заблокировать SQL-порт на выход в Internet для предотвращения дальнейшего заражения».
Вся работа заняла два часа. Поскольку атака была незначительной, Вернеру удалось подготовить подробный план реагирования на инциденты, после чего ему легко удалось отследить все затраты. Червь заразил внутренний сервер и в продолжение периода неработоспособности, необходимого для ликвидации последствий, 15 сотрудников были лишены возможности выполнять свои обычные обязанности на компьютерах компании. «Средняя оплата труда этих специалистов 25 долл. в час, они не работали два часа, следовательно, потери составляют около 750 долл.», — рассчитал он.
Несмотря на всю незначительность происшествия, нельзя недооценивать его важность как пример того, что простые арифметические выкладки могут дать полезные результаты. Вернер представил отчет с суммой в 750 долл. своему руководству, чтобы убедить его в необходимости выделять достаточные средства на защиту систем, а также предпринимать превентивные действия, а не защищаться, когда атака уже состоялась. Если бы пароль в SQL-приложении был изменен с предлагаемого по умолчанию или если бы SQL-порт был заблокирован сразу, на исправление положения ушло бы 10 минут, что, конечно, несопоставимо с потерей 30 часов рабочего времени специалистов. К тому же это ничего не стоило бы.
Данные или системы не пострадали, поэтому Вернер рассматривал только время простоя системы и количество служащих, как два наиболее важных фактора, которые всегда учитываются при оценке затрат. Однако все могло оказаться гораздо хуже.
Вернер признал, что он всегда несколько преувеличивает потери от вторжений, сообщая о них директору информационной службы, «но если слишком раздувать проблему, то можно получить ответный удар».
Орлы юриспруденции
Отсутствие четких моделей расчета потерь, связанных с нарушениями защиты, часто приводит к некорректным оценкам затрат.
«В результате получаются такие цифры, с которыми вы никогда не рискнете пойти в суд», — считает Варни, который в течение двух лет участвовал в расследовании инцидентов, связанных с компьютерами в Пентагоне. «Получен звонок от организации, которая сообщает: "Мы подверглись нападению хакера. Это обошлось нам в миллион." Как правило, цифру эту они берут с потолка, — говорит он. — На вопрос, как они ее подсчитали, в ответ можно услышать, что это только предполагаемая сумма».
Варни заявил, что многие руководители служб безопасности не понимают недостаточности только одной оценки потерь для наказания нарушителей защиты. «Если ваша сумма отличается от того, что предлагает обвинение, защита немедленно воспользуется этим расхождением в своих интересах», — сказал он.
Законодательство предусматривает минимальную сумму ущерба для преследования преступников за нарушение защиты; конкретная сумма зависит от юрисдикции. Числа должны быть четко распределены по категориям, чтобы обвинители могли проверить их. В противном случае решение по делу может оказаться далеким от ожидаемого вами.
Так, в сентябре 2001 года суд признал Герберта Пьера-Луиса виновным в соответствии с Законом о компьютерных преступлениях. По утверждению Purity Wholesale Grocers, запущенный им вирус привел к остановке работы четырех офисов компании на неделю и убыткам в размере 75 тыс. долл. Это существенно превышало минимум 5 тыс. долл. Но спустя полгода судья отменил приговор, посчитав, что вирус не нанес декларируемого ущерба. Взлом был совершен до внесения изменений в закон, предполагающих учет косвенных расходов от приостановки операций и прерывания предоставления услуг, поэтому ущерб, по оценке судьи, составил меньше 5 тыс. долл. Приговор был отменен.
Попытка посадить за решетку хакера — это только начало. Необходимо иметь в виду принцип распространения ответственности, напоминает Лакро. Вирусы легко переходят от компании к компании. Если будет признано, что определенная компания принимала недостаточные меры для реализации адекватной стратегии защиты, другие стороны могут подать на нее в суд за то, что она косвенным образом способствовала атакам и на их системы. «Вы отвечаете не только за свою собственную безопасность», — говорит Лакро.
Обратимся за примером к Ziff Davis Media. Недостаточная забота о защите и предоставлении гарантий конфиденциальности стоила этой издательской компании как минимум 125 тыс. долл., когда в августе 2002 года в ходе кампании по популяризации интерактивной подписки часть информации о подписчиках, включая данные о кредитных картах, попала в открытый доступ. В результате нелегитимного использования их персональной информации несколько подписчиков понесли убытки. В порядке урегулирования судебных исков Ziff Davis согласилась заплатить 100 тыс. долл. трем правительственным структурам, а также 25 тыс. долл. в качестве компенсаций 50 клиентам, кредитные карты которых пострадали. Если бы все 12 тыс. подписчиков услуг компании обратились в суд для получения компенсаций, то компании пришлось бы выплатить 8 млн. долл., считает Джон Пескаторе, аналитик Gartner Research.
Пока не найдется гений, который предложит способ, как избежать вторжений вообще, риск остается, и руководители служб безопасности должны быть готовыми исправлять последствия инцидентов и пытаться максимально точно оценивать убытки.
«Из всего этого можно сделать главный вывод, — подчеркнул анонимный ИТ-директор нью-йоркской финансовой компании, — и состоит он в том, что затраты на защиту никогда еще не были слишком велики».
Simone Kaplan. It?s not easy being breached. CSO, Issue №4, January 9, 2002.
Критерии определения ущерба от вторжения
- Время неработоспособности системы. Какие системы не работали и как долго?
- Вынужденный простой сотрудников. Кто не мог работать и в течение какого времени?
- Аппаратное и программное обеспечение. Во что обошлась замена серверов, жестких дисков, прогpамм и других средств?
- Оплата услуг консультантов. Если для борьбы с атакой или для ликвидации последствий приходится привлекать дополнительных консультантов, во что обойдется оплата их труда и каковы могут быть другие расходы?
- Деньги. Каковы были заработные платы людей, на которых отразились последствия взлома? Следует учитывать оплату сверхурочных и потери, связанные с временной неработоспособностью сотрудников.
- Стоимость информации. Какова стоимость информации - сотрудников, акционеров, клиентов, которая была украдена или испорчена? Во что обойдется восстановление информации?
- Цена упущенных возможностей. Имели ли клиенты возможность отказаться от услуг компании, подвергшейся взлому? Сколько могли бы принести компании контракты и прочие соглашения, не заключенные из-за взлома?
- Сопутствующие расходы. Как много пришлось израсходовать на питание, перевозки и прочее для людей, участвовавших в восстановительных работах? Были ли среди этих затрат существенные, такие как оплата энергоснабжения?
- Оплата услуг юристов. Насколько велики потенциальные и действительные затраты на ведение судебных дел и расследований, связанных с инцидентом?
- Утрата деловой репутации. Придется ли тратить средства на "пиар", направленный на восстановление потерянного лица компании?