Мало кто из представителей бизнеса задумывается о том, что неграмотно выстроенная защита информации оставляет множество возможностей для перехвата или искажения передаваемых данных. А немалое число пользователей сами ищут пути обхода систем информационной
Получить объективную комплексную оценку последствий инцидентов в сфере информационной безопасности нелегко даже в простых терминах, например «тяжелые», «средние» и «несущественные». Западные практики и методики пасуют перед российской действительностью и осведомленностью отечественного бизнеса о рисках ИБ.
«Среди специалистов по ИБ есть присказка: для имеющихся методик не удастся собрать данные, а для имеющихся данных еще не придумали методики», — иронизирует Василий Окулесский, эксперт в области ИБ. И добавляет: «Западными методиками российскую действительность не объять».
«Любая методика должна опираться на определение значимости информационного актива. Самыми объективными источниками для этого были и остаются знание руководства о неприемлемых для компании инцидентах, мера юридической ответственности за неправомерное использование актива и объем договорных обязательств перед клиентами», — считает Андрей Суханов, старший консультант департамента информационной безопасности компании Helios IT-Solutions.
«Основным приоритетом в построении защиты информации были и остаются внешние факторы — данные защищались в основном от общих угроз, классификация и приоритизация которых не проводились, — отмечает Николай Романов, технический консультант Trend Micro в России и СНГ. — Полтора-два года назад компании стали более внимательно относиться к защите информации, но кризис заставил бизнес пересмотреть свои приоритеты; в результате решаемые в сфере ИБ задачи вновь стали сводиться к более общим, а решения выбирались, исходя из принципа минимизации финансовых затрат».
Василий Окулесский, ссылаясь на свой богатый опыт, рекомендует применять следующий подход: «Там, где ущерб наиболее вероятен, защита должна выстраиваться в первую очередь, и чем выше этот ущерб, тем крепче должна быть оборона. Работа по оценке вероятностей и ущерба должна вестись постоянно, иначе говоря, управление рисками ИБ должно быть организовано в полном объеме».
Место каналов связи
Чтобы оценить долю недостаточно защищенных информационных ресурсов, нужно в первую очередь определить, какие из них являются критически важными. «Очень немногие компании проводят серьезный анализ угроз, поэтому оценить достаточно сложно. Можно уверенно сказать, что технологии виртуализации на данный момент защищены слабо. Но это не значит, что ресурсы вообще не защищены, — считает Суханов. — Например, сейчас многие компании внедряют электронный документооборот. Наверняка инфраструктура открытых ключей у таких компаний является уязвимым звеном. Еще пример: по мере распространения мобильных технологий компании все больше подвергаются угрозам, исходящим от своих мобильных пользователей. Доля незащищенных ресурсов будет расти прямо пропорционально объему новых технологий, если они внедряются без учета аспектов безопасности».
Более осторожен в оценках и прогнозах Олег Гурин, директор департамента информационной безопасности компании «ITS — Системная интеграция». Он не берется численно оценивать долю незащищенных ресурсов, однако уверен, что тенденция к ее увеличению очевидна: «В основном незащищенными оказываются ресурсы отмирающих направлений бизнеса, которые стали нерентабельны в изменившейся экономической ситуации. Владельцам бизнеса и топ-менеджерам можно посоветовать проявлять больше решительности и либо останавливать некоторые направления полностью (включая вывод из эксплуатации систем, обеспечивавших их ИТ-поддержку), либо поддерживать их на должном уровне, в том числе и в плане ИБ».
Окулесский рекомендует обратить особое внимание на защиту каналов связи: «Связь — это основа управления всей деятельностью компании. Каналы связи — фундамент любой организации. Защита каналов связи — одна из первейших задач обеспечения безопасности бизнеса».
Очевидно, что одна и та же среда передачи данных (например, Wi-Fi) может использоваться для передачи информации, совершенно различной по степени конфиденциальности. «Однако даже использование на корпоративном уровне таких серьезных средств, как виртуальные частные сети (VPN), не дает гарантий сохранности информации, поскольку существует множество других рисков. Например, если мобильный сотрудник устанавливает VPN-соединение с корпоративной сетью, «подслушать» трафик действительно невозможно, но если на его ноутбук уже попала троянская или шпионская программа, то она легко может воспользоваться установленным VPN-соединением и проникнуть внутрь корпоративной сети. Таким образом, конфиденциальность информации все равно будет нарушена», — предупреждает Антон Разумов, консультант по безопасности Check Point Software Technologies.
Еще один пример недостаточной защищенности конфиденциальной информации связан с использованием электронной почты. Сотрудник, отправляющий сообщения в другую организацию, вероятно чувствует себя вполне защищенным, поскольку и он, и получатель сообщения используют корпоративные (а значит, защищенные) почтовые серверы. И мало кто задумывается, что передается почта через Интернет в открытом виде, и есть возможность достаточно легко ее перехватывать.
Ограничения методов и технологий
Все больше специалистов в области ИБ сходится во мнении, что, поскольку разнообразие каналов связи и способов подключения к ним велико, защищать нужно не столько каналы как таковые, сколько пользователей, обеспечивая им, с одной стороны, комфортные условия для выполнения бизнес-задач, с другой — защищая данные компании и проверяя действия пользователей на соответствие корпоративным стандартам.
Увеличение рисков в период кризиса связано не с тем, что уменьшились ассигнования на ИТ, и не с увеличением числа мобильных пользователей. Реальное увеличение доли незащищенных ресурсов связано с увеличением числа сотрудников, не знающих, что с ними будет завтра, и готовых воспользоваться корпоративной информацией в личных целях. Бороться с этим надо в первую очередь на организационном уровне», — считает Константин Шурунов, консультант по информационной безопасности компании Quest.
Разумов предлагает поставить эксперимент, поработав с сетью WiMAX неподалеку от офиса какой-нибудь крупной компании: «Вы поразитесь тому, сколь велика разница в скорости доступа в дневные и вечерние часы. Вряд ли это связано с отсутствием у компании «наземного» канала в Интернете. Вероятнее всего, это объясняется тем, что ее сотрудники самовольно используют WiMAX на своих рабочих компьютерах, обходя строгие корпоративные политики, блокирующие любимые сайты и сервисы. А ведь это не что иное, как возможность бесконтрольного доступа в Интернет из локальной сети, минуя все корпоративные сетевые экраны и прочие системы защиты периметра».
Два основных подхода, которые предлагают сейчас приверженцы DLP-решений, — это использование меток документов и анализ их содержания. У обоих подходов есть свои плюсы и минусы. Небольшим компаниям разумнее бороться с ошибками пользователей, чем с явными злоумышленниками, которых все равно не удастся обезвредить с помощью дешевых систем.
Суханов отмечает, что общими слабостями DLP-технологий на данный момент являются их недостаточная развитость, высокая сложность внедрения и, конечно же, стоимость. «DLP-системы следует внедрять, если есть хорошее понимание внутренней ситуации и имеется развитая организационная составляющая информационной безопасности. В противном случае DLP может стать лишь еще одной дорогостоящей, но недостаточно эффективной системой защиты».
Сергею Вахонину, директору по ИТ компании «Смарт Лайн Инк», DLP-решения напоминают игру «Слабое звено»: чтобы машина контентного анализа смогла применить заданную политику безопасности, то есть отфильтровать данные в пересылаемой по какому-либо каналу информации, она должна в первую очередь получить пригодные для анализа текстовые данные, для этого DLP-система должна уметь работать с каждым каналом передачи данных. Каждый канал, в свою очередь, разделяется на уровни по физическим и логическим интерфейсам, которые используются каналом. Таким образом, всего одна «дырка» в цепочке уровней контроля приводит к отказу контентных фильтров и нарушению требований бизнес-логики.
Окулесский считает, что DLP — это не инструмент, а скорее мировоззрение: «Это система взаимоувязанных организационно-технических, программных средств и процессов, нацеленных на борьбу с внутренними утечками. Имея прекрасные системы и не имея четких регламентов, мы породим высокоавтоматизированный беспорядок. Располагая прекрасными регламентами без средств их автоматизации, мы сойдем с ума. Имея систему и регламенты, но не имея специально обученных сотрудников, мы погрязнем в разборках». Иными словами, простая закупка решений для обеспечения ИБ, как правило, оказывается неэффективной; чтобы получить реальную защиту, необходимо комбинировать разные методы, а для этого нужно обладать определенным опытом.