Экспоцентр на Красной Пресне — лидер выставочного бизнеса России. Один из центров деловой и культурной жизни столицы не может себе позволить отставания в части информационных технологий, в том числе в области защиты информации.

Защита информационных ресурсов компании в век «информационноемких» технологий является одной из важнейших задач, решаемой совместными усилиями технических специалистов и службой безопасности.

По оценкам Forrester, 34 % компаний в 2005 году как минимум однажды сталкивались с утечкой персональных данных как клиентов, так и собственных сотрудников. Любая утечка информации из компании, как правило, подрывает доверие к ней со стороны клиентов. Более того, 57 % опрошенных сотрудников различных организаций подчеркнули, что единственной утечки личной информации будет достаточно, чтобы они полностью потеряли доверие к своему работодателю. Надо признать, что в последнее время многие компании всерьез задумались о необходимости надежной защиты корпоративной информации.

Алексей Федосов

Возраст: 36 лет

Образование: неоконченное высшее

Послужной список последних лет:

2003 — настоящее время ЗАО «Экспоцентр», начальник службы ИТ фирмы «Экспотелеком»

1996-2003 ЗАО «Экспоцентр», программист фирмы «Экспотелеком»

1990-1996 Центр международной торговли (ОАО «Совинцентр»), инженер-электронщик вычислительного центра

Защита конфиденциальных сведений от злоумышленников внутри компании обычно носит административно-технический характер и позволяет практически стопроцентно исключить утечку данных по этому каналу. Гораздо сложнее обстоит дело с защитой информационных ресурсов от несанкционированного вмешательства по каналам, обеспечивающим связь корпоративных ресурсов с внешними узлами, например Internet.

К числу наиболее распространенных «вредоносных» воздействий на корпоративные информационные ресурсы относится проникновение программ-вирусов и программ-шпионов, причем последствия вторжения таких непрошенных «гостей» могут варьироваться от банального затруднения работы пользователей до кражи информации и разрушения инфраструктуры.

Запреты или защита?

Экспоцентр — лидер выставочного бизнеса России с почти полувековой историей. Ежегодно на территории выставочного комплекса в новом деловом центре столицы проводится 90 выставок, в которых участвуют более 29 тыс. экспонентов из 100 стран мира. Выставки посещают около 2 млн. человек в год.

Находясь в курсе мировых новинок во многих сферах деятельности, Экспоцентр не может себе позволить отставания в части информационных технологий: в компании существует развитая ИТ-инфраструктура, насчитывающая множество автоматизированных рабочих мест и серверов. Она предназначена как для обеспечения собственной деятельности, так и для оказания услуг многочисленным клиентам, в том числе участникам выставок.

Являясь официальным оператором связи, Экспоцентр предоставляет широкий спектр телекоммуникационных и ИТ-услуг, включая доступ к сети Internet, высокоскоростные каналы связи, организацию локальных вычислительных сетей.

Как известно, полная изоляция от внешних ресурсов на практике оказывается не самым эффективным методом защиты данных. Если запретить доступ в Internet и использование внешних накопителей и источников информации, то безопасность будет на очень высоком уровне, однако сотрудники не смогут эффективно исполнять свои обязанности, зарабатывая для компании деньги.

В случае с Экспоцентром такой вариант решения проблемы не просто уменьшит прибыль, а полностью парализует деятельность организации. Единственно приемлемый выход из сложившейся ситуации заключается в построении эффективной системы антивирусной защиты.

Основная цель ИТ-службы в данном направлении заключается в том, чтобы обеспечить защиту, сохраняя при этом максимальную свободу пользователю: в идеале таковой вообще не должен ощущать никаких ограничений и тем более испытывать дискомфорт при выполнении должностных обязанностей.

Система антивирусной защиты информационных ресурсов в Экспоцентре имеет две составляющие: техническую (включающую программно-аппаратные средства и методы антивирусной защиты) и административную. Многие проблемы решаются административными мерами, главная из которых — решительно пресекать работу в корпоративной сети посторонних людей, действия которых преднамеренно или по незнанию могут привести к нежелательным последствиям. Также опасно допускать к сетевым ресурсам пользователей, не обученных правилам и методам защиты от вирусов.

«Появление в корпоративной сети подавляющего большинства вирусов вызвано некомпетентными действиями пользователей», — признает Алексей Федосов, начальник ИТ-службы Экспоцентра. С этой бедой внутри компании ведется борьба. Служба ИТ разработала правила пользования вычислительной техникой и локальной сетью. В данном документе оговорены все права и обязанности пользователей, в том числе полномочия ИТ-службы при возникновении нештатных ситуаций. Регулярно до сотрудников Экспоцентра и участников выставок доводится информация о новых вирусных программах и возможных атаках, вызванных ими.

Программно-аппаратные мероприятия справедливо считаются необходимым средством антивирусной безопасности. Защита требуется всем компонентам информационной инфраструктуры, начиная от файловых и почтовых серверов и заканчивая рабочими станциями и активным оборудованием. Критически важной для компании является сохранность всей информации внутри корпоративной сети.

Естественно, что целенаправленные действия злоумышленника способны обойти многие средства защиты. «Если кому-то нужно провести атаку, они осуществят ее, обойдя все антивирусы», — полагает Алексей Федосов. Однако то, что антивирусное программное обеспечение необходимо, сомнений не вызывает. Проблема заключается в выборе конкретного программного обеспечения и эффективном его использовании. Помимо результативности защиты в качестве основных критериев выбора антивирусного программного обеспечения в Экспоцентре были учтены возможность централизованного управления средствами антивирусной защиты, простота обслуживания комплекса, оперативность обновления антивирусных баз, необходимость использования как на рабочих станциях, так и на серверах, а также минимальное влияние средств антивирусной защиты на работу пользовательских приложений.

Рычаги управления

Пять-десять лет назад администрировать рабочие станции в Экспоцентре можно было, приходя непосредственно на место, где работает пользователь, и устанавливая ему новую антивирусную базу. Сейчас это сделать довольно трудно, даже имея удаленный доступ. Для эффективной работы необходима возможность централизованного управления, чтобы администратор антивирусного комплекса смог задать правила и политику антивирусной защиты, следить за выполнением всех обновлений, а также выявлять и отслеживать атаки, а при необходимости оперативно изменять какие-либо из правил, не беспокоясь о том, что где-то в корпоративной сети останется рабочая станция, которую не коснутся эти изменения.

Для обеспечения безопасности в части защиты от вирусов были выбраны продукты компании Тrend Мicro. В них изначально привлекло удобство администрирования, отмечает Федосов. Позиция, заложенная в этих продуктах, предполагает максимальную автоматизацию, поэтому антивирусной безопасностью в компании должны заниматься минимум сотрудников — один-два человека, имеющие в своих руках все рычаги управления. Одна из главных составляющих экономии в этом случае — сокращение затрат на оплату квалифицированных специалистов. Конечно, описанная схема экономических расчетов применима только во вновь создаваемых компаниях. Гораздо чаще в ИТ-отделах присутствуют специалисты более широкого профиля, не замыкающиеся на антивирусной безопасности.

Главным критерием выбора продукта, разумеется, были возможности системы по отслеживанию и уничтожению вирусов. В процессе тестирования различных продуктов сравнивались результаты их работы: отслеживаемые каждым продуктом вредоносные программы, поведение серверов, производительность рабочих станций. Именно производительность стала вторым по важности критерием.

«Работая с антивирусным ПО различных производителей, мы столкнулись с тем, что производительность рабочих станций в некоторых случаях заметно падает», — говорит Федосов. На этом фоне продукты Тrend Мicro показали существенно более высокую эффективность.

Мониторинг работы программных продуктов ложится на администраторов корпоративной сети. При обнаружении вируса выдается его полное описание: откуда идет и по каким портам распространяется. Так, если одна станция в течение короткого времени организует несколько сессий, система распознает это как подозрительное поведение и оповещает администратора. Сигнал является поводом более внимательно отнестись к «здоровью» данной машины. Существует база, где собрана статистика по всем рабочим станциям.

Обслуживанием компьютеров в компании занимаются специалисты по рабочим станциям. Сотрудники, специализирующиеся на антивирусных программах, направляются непосредственно к машинам только в критических случаях. В случае возникновения инцидентов они решают вопросы непосредственно на месте.

Для своих и не только

«Естественно, в первую очередь мы защищаем ?своих? — корпоративных пользователей. Вместе с тем обеспечение выставочных сетей Экспоцентра также важно, поскольку их бесперебойное функционирование — залог успешного бизнеса компании», — говорит Федосов.

Политика, направленная на защиту клиентов, не является универсальной. Например, «продвинутые» клиенты выставочных сетей, имея на станциях всю необходимую защиту, требуют максимальной прозрачности каналов. Остальных же приходится защищать своими силами. Обычно для этого достаточно межсетевых экранов и активного мониторинга сети на предмет аномального трафика. Если компьютер участника выставки оказывается зараженным, сотрудников экспонента об этом предупреждают и затем совместными усилиями решают проблему.

Есть в инфраструктуре Экспоцентра и точки беспроводного доступа. Однако Wi-Fi — чрезвычайно уязвимая с точки зрения безопасности технология, поэтому она принципиально не применяется в корпоративной сети. Тем не менее, для обслуживания участников и посетителей она удобна и признана вполне допустимой. Данные точки доступа также защищены средствами Trend Micro.


Находка для шпиона

Основными каналами, способствующими проникновению вирусов, являются почта и Web-сайты. Если с содержимым Web-сайта придет неизвестный вирус, станция будет заражена, и вирус проникнет в корпоративную сеть. Ответственность за нарушение защиты делят ИТ-служба, которая обязана всеми средствами предотвращать проникновения нежелательных программ через Web-браузеры, и производители антивирусного ПО, которые должны как можно чаще обновлять базы. К сожалению, производители антивирусных средств на появление новых угроз зачастую реагируют недостаточно оперативно. Бывает и так, что «добропорядочные» программы ошибочно относятся к шпионским.

Иногда шпионские программы устанавливаются автоматически с согласия пользователя, это создает массу проблем. Случается так, что программа определяется как шпионская, но когда специалисты по безопасности связываются с юристами производителя, выясняется, что ее использование предусмотрено лицензионным соглашением при установке другого продукта. Таким образом, пользователи, устанавливая какой-либо продукт, сами того не ведая, дают добровольное согласие на использование шпионского ПО. Многие компании, зарабатывающие деньги с помощью шпионских программ, обращаются в суд, когда обнаруживают, что их программы начинают вычищать антивирусными средствами.

Проблема шпионского ПО многогранна. То, с чем обычно приходится сталкиваться, — это лишь часть «льдины», что виднеется на поверхности. Основная масса огромного айсберга скрыта от внимания рядовых пользователей.


Непрерывность в разумных пределах

Любой ИТ-отдел имеет прямое отношение к обеспечению непрерывности бизнеса. Одна из его граней — информационная и, в частности, антивирусная безопасность. В самом деле, вирус, который начинает рассылать себя по всем известным адресам, способен напрямую влиять на непрерывность бизнеса: как минимум, он увеличивает сетевой трафик. Зловредные вирусы своими деструктивными действиями могут серьезно нарушить работу информационной системы предприятия.

Разумеется, занимаясь развитием системы безопасности, необходимо соразмерять финансовые затраты на эту систему средств и приобретаемые выгоды. Реализовать это положение на практике достаточно сложно. Очень трудно рассчитать эффективность даже ERP-системы, оказывающей несоизмеримо большее влияние на бизнес, а о системах, направленных на обеспечение безопасности, и говорить не приходится. Очевидно, надо вкладывать средства в безопасность, но чрезмерные вложения будут необоснованными. Так, если простой информационной системы в течение часа не несет никаких потерь, то инвестиции в восстановление системы в течение 10 минут смысла не имеют.