У сотрудников любой компании не должно быть секретов от внутренних служб без?опасности
Несмотря на усилия производителей и поставщиков средств защиты, количество атак на информационные системы предприятий неуклонно растет. По?влиять на этот процесс не могут ни новейшие разработки, ни консалтинговые услуги и учебные курсы, в избытке предлагаемые участниками рынка.
Логично предположить, что если технологии и знания бессильны перед агрессивной электронной средой, необходима коррекция самой методологии обеспечения информационной безопасности. О ключевом значении управления многоуровневой защитой для стабильной работы любой организации говорили участники семинара «Безопасность информационных технологий — составная часть безопасности организации». Его провел учебный центр «Информзащита» в рамках Х Международного форума «Технологии безопасности».
Опасности повсюду
В начале семинара, по уже сложившейся традиции, была приведена статистика компьютерных преступлений — вероятно, с целью прочувствовать все серьезность проблемы. Как сообщил Евгений Якимович, начальник управления «К» МВД России, в прошлом году в сфере ИТ зарегистрировано 13261 преступление, что на 2341 случай больше, чем в прошлом году. Помимо этого выявлено 1483 административных правонарушения в сфере авторских и смежных прав. По решениям судов конфисковано 216,6 тыс. контрафактных компакт-дисков на сумму примерно 9,7 млн рублей.
Представитель МВД обратил внимание участников семинара на то, что в России заметно выросло количество зарегистрированных фактов неправомерного доступа к информационным ресурсам государственных и коммерческих организаций с целью кражи конфиденциальных сведений. В прошлом году почти вдвое увеличилось число преступлений, которые совершались с использованием компьютерной техники и были связаны с незаконным получением и разглашением сведений, составляющих коммерческую, банковскую и налоговую тайну.
Органы правопорядка особенно обеспокоены тем, что в стране растет организованная преступность в сфере ИТ. Если раньше деятельность нарушителей имела, скорее, хулиганский или случайный характер, то теперь мошенники объединяются и работают по заранее намеченному плану. Количество групповых правонарушений возросло за год на 4,5% и составило 11,3% от общего числа ИТ-преступлений.
Ведущий специалист УЦ «Информзащита» Игорь Со?бецкий уверен, что положение дел в отрасли еще плачевнее. По его мнению, государственная статистика не в состоянии объективно оценить степень криминализации российской сферы информационных технологий. На самом деле, как считает он, число соответствующих правонарушений в 2004 году могло достигнуть 58 тыс., а общий ущерб от неправомерных действий составить 3-5 млрд рублей.
Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems, еще больше сгустил краски. Он акцентировал внимание слушателей на том, какой ущерб может нанести бизнесу неграмотное обращение с системами информационной безопасности. По его мнению, сегодня наблюдается повсеместный переход ИТ-преступности на коммерческие рельсы. Через Internet теперь можно не только купить готовые сети из зомби-машин или оборудование для рассылки спама, но и «заказать» сайт конкурента. Как показывает практика, если на компьютер будет организовано нападение с периодичностью 341 атака в час, через 20 мин он не выдержит натиска. По статистике, среднее время взлома пароля для Windows и других ОС составляет 13,6 секунды.
Лукацкий привел данные зарубежных исследований, в соответствии с которыми 90% опрошенных компаний в течение года понесли тот или иной ущерб от негативных событий в корпоративных системах. Средний размер ущерба организаций от ИТ-инцидентов оценивается в 6% от ежегодной суммы их доходов. В частности, восстановление забытых паролей обходится в 14-28 долл. в пересчете на одного сотрудника, а для восстановления работоспособности ПК после воздействия вирусов и червей необходимы 277-336 долл. на рабочее место.
Однако финансовые потери — еще не самое страшное: гораздо хуже, если нанесен ущерб имиджу фирмы или ее бизнесу в целом. По данным экспертов, 93% компаний, лишившихся доступа к собственной информации на срок более десяти дней, так и не оправились от удара и были вынуждены остановить бизнес. А утечка 20% коммерческой информации в 60% случаев приводит к банкротству организации.
Тайное не станет явным
Участники мероприятия сошлись во мнении, что уровень защищенности компании любого масштаба зависит не только от имеющихся в ее распоряжении технических средств, но и от организации управления системой защиты. Представители «Информзащиты» сошлись на том, что основой контроля над действиями персонала и механизмами защиты должны быть четкие продуманные правила и регламенты. В свою очередь, политику обеспечения безопасности необходимо интегрировать с процессами управления ИТ и поддержкой бизнес-процессов организации.
Михаил Емельянников, начальник департамента ИБ холдинга «Связьинвест», полагает, что для поддержания заданного уровня защищенности корпоративных систем важно уделять особое внимание мониторингу и администрированию СИБ. Необходимость управления событиями в корпоративной сети продиктована не только требованиями защиты, но и соображениями экономического характера. По мнению Емельянникова, регулярный мониторинг позволяет снизить необоснованную нагрузку на телекоммуникационные средства и сетевое оборудование, предотвратить атаки на информационные системы, пресечь попытки несанкционированного доступа к серверам и исключить неправомерные действия сотрудников компаний.
В профилактических целях предлагается проводить мониторинг электронной почты сотрудников, блокировать доступ к определенным сайтам и запрещать использование некоторых портов (сервисов, протоколов). По мнению Емельянникова, такие меры не могут рассматриваться как нарушение тайны персональных коммуникаций и вмешательство в частную жизнь пользователей, поскольку продиктованы исключительно соображениями защиты бизнеса.
На государство возлагается задача обеспечения адекватной нормативно-правовой базы, соответствующей современному уровню использования информационных технологий. Евгений Якимович считает, что небольшой процент выявленных киберпреступников и возбужденных уголовных дел по факту их деяний (325 дел за 2004 год) связан с несогласованностью действий госчиновников в данной области и с несовершенством законодательства. Якимович убежден, что России необходимы законы «О служебной тайне» и «О персональных данных», предполагающие ответственность граждан в рамках Уголовного кодекса.
Положительным моментом является недавнее принятие закона «О коммерческой тайне», но его практическому внедрению мешает то, что далеко не все компании оценили имеющиеся в их распоряжении данные в соответствии с установленными требованиями. Это не позволяет соответствующим образом квалифицировать посягательства отдельных граждан на секретную информацию.