Руководство обнаружило утечку ценной информации? Или, что еще хуже, факт утечки уже предан огласке? Значит, руководителю службы ИБ наверняка предстоит расследование этого инцидента. Как получить адекватную оценку нанесенного ущерба? Как выявить инсайдера, если утечка — его рук дело? И как собрать доказательную базу, чтобы ее можно было использовать в суде?
Судя по данным аналитиков, утечки наносят серьезный ущерб бизнесу. Так, по информации InfoWatch, обнародованный ущерб (затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), который понесли компании в первом полугодии 2013 года, достиг 3,67 млрд долл., причем речь идет только об утечках, ставших достоянием СМИ — это от 1 до 5% от их общего числа. Аналитический центр компании Zecurion оценивает общий ущерб от утечек в 2012 году в 20 млрд долл., а средний ущерб от одного инцидента — в 24,3 млн долл. Наиболее часто утечки происходили с применением веб-сервисов (20,5%), ноутбуков и планшетов (16,5%), а также мобильных накопителей (11,1%).
Согласно оценкам совместного исследования Symantec и Ponemon Institute, системные сбои и человеческий фактор стали причиной двух из трех случаев утечек информации, а средний мировой показатель убытка от кражи одной учетной записи вырос до 136 долл. Среди ключевых причин утечек — непонимание сотрудниками того, какая информация является конфиденциальной, недостаточность средств управления системой, а также несоблюдение государственных и отраслевых нормативов. Главной причиной утечек аналитики Ponemon называют человеческий фактор: 62% сотрудников компаний считают приемлемым перемещение корпоративных данных вовне и в большинстве случаев не удаляют потом эти данные.
«Как правило, существуют те или иные признаки того, что утечка конфиденциальных данных произошла, — рассказывает Дмитрий Михеев, эксперт центра информационной безопасности компании «Инфосистемы Джет». — Например, появляются публикации в СМИ, журналисты на пресс-конференциях задают «неудобные» вопросы, неудачно проводятся конкурсы или внезапно «сворачивают не туда» серии переговоров. Среди подобных «маячков» могут также оказаться жалобы клиента на звонки чужих агентов, обращения по поводу странных переводов с карт и другие «мелочи», которые поначалу могут показаться бизнесу незначительными».
Как оценить ущерб от утечки самостоятельно? По словам Джабраила Матиева, руководителя отдела ИБ системного интегратора IBS Platformix, методик оценки ущерба существует множество, но все они сводятся к одной или нескольким характеристикам: стоимость информации (если она оценена); прямой финансовый ущерб (например, снятие денег со счета); величина упущенной выгоды (вероятностное значение); косвенные последствия (репутация, отток клиентов, потеря доверия) и др. «Для каждой отрасли методика оценки ущерба будет своя, и это тоже надо учитывать», — отмечает Матиев.
«Спектр вариантов оценки ущерба может быть очень широким, но всегда есть разница между «себестоимостью», в которую бизнес оценит результаты расследования, и «товарной оценкой», которую юристы предъявят в суде, если до него дойдет. Это понятно, так как цели у этих оценок — разные. Если цифры на суде могут решать свои задачи (репутационные, например), то высокая себестоимость внутреннего расследования может привести к ряду вопросов (и не всегда приятных) к службе безопасности», — поясняет Михеев.
Азы расследования
По мнению Николая Федотова, главного аналитика компании InfoWatch, возможность расследования инцидента ИБ закладывается еще на стадии проектирования информационной системы. Чтобы было на что опираться при расследовании, необходимая информация должна заранее собираться и храниться в безопасном месте — там, куда злоумышленнику трудно дотянуться. Важно помнить, считает Федотов, что системные журналы, которые обычно ведутся различными программами, в основном ориентированы на отладку работы, поиск ошибок и сбоев, и для проведения расследований они не очень подходят. «Расследование будет эффективным, если информационная система ведет не простые, а криминалистические системные журналы, собирает теневые и криминалистические копии и хранит эти потенциальные доказательства юридически корректно, — объясняет Федотов. — Например, наряду с обычным резервным копированием для восстановления после сбоев следует регулярно снимать криминалистическую (посекторную) копию диска компьютера, по которой можно восстановить удаленную информацию и найти цифровые следы, которые злоумышленник пытался скрыть».
Классическая постановка задачи в случае обнаружения признаков или наличия подозрений на проблему подразумевает предоставление руководству фактов, свидетельствующих, что подозрения имеют под собой почву, считает Михеев: «Всегда есть основания, которыми можно руководствоваться, чтобы сузить поле поиска. Есть документ, время и место, запись в журнале или что-то подобное, от чего можно начать отслеживать обратный путь этих данных вплоть до источника».
Михеев убежден, что любое расследование должно фиксировать данные реального мира, давать полноценные ответы на вопросы «Кто?», «Когда?», «Кому?», «Почем?» и пр. «Именно эти данные позволяют обосновать претензии к конкретным людям, вплоть до судебного разбирательства, — поясняет он. — Чем более полными будут сырые факты, тем проще впоследствии доказать наличие тех или иных действий нарушителя и заодно продемонстрировать, что необходимый контроль существует и служба безопасности бдит. Поэтому все без исключения службы безопасности начинают расследования с поиска и фиксации фактов активности и вычисления из них возможных источников проблем. Далее эти следы выгружаются из баз средств защиты, «отсматриваются» вручную или с помощью средств автоматизации различного уровня».
Федотов добавляет: «В последние годы появились новые методы расследования инцидентов ИБ, они подразумевают идентификацию субъекта информационного взаимодействия (человек, компьютер, клиентская программа) везде, где только возможно. Наряду с явной идентификацией, о которой пользователь знает, применяется и неявная, скрытная, косвенная. Например, пользователь может войти в систему под чужим аккаунтом, каким-то образом обманув явную аутентификацию, использует другой компьютер, или другой браузер, или иной канал связи, иной клавиатурный почерк, не такой, как у законного владельца аккаунта. Несовпадение этих признаков позволяет установить злоумышленника, а иногда и пресечь нарушение превентивно, сгенерировав сигнал тревоги в системе защиты».
Матиев рекомендует применять следующий самый общий план расследования утечек.
• Сбор данных — накопление источников информации, относящихся к утечке, поиск способов получения исходной информации, в том числе проведение допросов и т. д.
• Исследование — вычленение необходимой информации об утечке и приведение ее в удобный формат.
• Анализ — главный этап расследования: на основании собранной информации проводится поиск причин утечки информации и определяются виновные.
• Представление — оформление проведенного расследования в формат, удобный для ознакомления.
«Выявить виновника можно, только проведя качественное расследование. Однако важно понимать, что поиск виновника не является целью расследования, — добавляет Матиев. — Намного важнее выявить и закрыть сам канал утечки, который был использован злоумышленником, и предотвратить повторение подобных утечек в будущем».
Дальше — в суд?
Любое расследование — это не только сбор данных и обогащение информационной картины инцидента дополнительными сведениями, отмечает Михеев: «Хорошо проведенное расследование — это результат, материалы, «дело», представленное руководству во всей полноте, с подробным и понятным сообщением об источнике и составе происшествия, с отчетом о предпринятых мерах и рекомендациями по устранению последствий». Впрочем, по его наблюдениям, в 90% случаев расследование для службы безопасности в этот момент заканчивается, поскольку последующие управленческие решения, включая приказ о подаче документов в суд, принимают руководители с другим уровнем информированности и иным горизонтом событий. Оставшиеся примерно 10% случаев требуют 90% времени, которое расходуется на расследования. «Чтобы на них осталось время и силы, нужно работать на опережение, системно, используя свои ресурсы и ресурсы приглашенных специалистов таким образом, чтобы рутина не мешала успешно превращать эти усилия в достижения службы ИБ», — замечает Михеев.
По словам Матиева, требований по сбору доказательств в сфере компьютерных преступлений нет, так как методы, способы и технологии в цифровом мире быстро меняются: «Для суда важно мнение компьютерного эксперта, который предъявляет требования к полноте информации, ее целостности и достоверности».
Впрочем, чтобы можно было использовать собранную доказательную базу в суде, например против инсайдера, необходимо привлечь юриста, лучше всего криминалиста, еще на стадии проектирования информационной системы, рекомендует Федотов. «Здесь требуется знание тонкостей процессуального законодательства, — поясняет он. — Чтобы подсистема ИБ не противоречила УПК и ГПК, предстоит «скрестить» технический и гуманитарный подходы. Такие навыки редко уживаются в одном человеке, так что, скорее всего, придется привлекать специалиста со стороны».
Дела об утечках в российских судах пока что остаются большой редкостью. И дело не только в том, что многие организации опасаются огласки подобных инцидентов, но и в том, что в большинстве компаний прекрасно понимают, что собрать доказательства, которые будут весомыми в суде, сложно, да и дорого, — особенно если ни системы, ни те, кто их обслуживает, изначально не были готовы к сбору безупречных аргументов для судей.