|
Защита бита |
Проблема обеспечения внутренней информационной безопасности становится все более актуальной для российских компаний. Это связано и с обострением конкурентной борьбы на внутренних рынках, и с выходом компаний на международный уровень. Многие из них уже не могут обеспечить защиту коммерческой информации собственными силами и вынуждены пользоваться услугами профессиональных IT-консультантов. В таких условиях бурный рост профильного рынка неизбежен.
Пятая колонна
Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ (файрволов) и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики — отечественные антивирусы считаются одними из лучших в мире.С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает: в стенах имеются дыры. Точнее, даже не дыры, а калитки, потому что основным каналом утечки информации являются сотрудники компаний.
Гендиректор компании InfoWatch Евгений Преображенский: "В течение многих лет компании отчаянно боролись с вирусными эпидемиями, обносили периметр межсетевыми экранами и системами предотвращения вторжений, внедряли мощные инструменты против неавторизованного доступа. Защита от враждебного окружения достигла небывалых высот — вторгнуться в информационную систему крупной компании теперь может только профессионал самого высокого класса, да и то не всегда. Однако компании упустили из вида главную опасность, которую представляет внутренний нарушитель, собственный сотрудник, прошедший все рубежи авторизации и получивший неограниченный доступ к корпоративной информации в пределах своей компетенции. Например, свежее исследование Deloitte Touche Tohmatsu показало, что все без исключения крупные западные банки зафиксировали утечки за прошедший год, причем 72% респондентов потеряли в результате более $1 млн. Данные PricewaterhouseCoopers за 2005 год не менее обескураживающие: виновниками 33% всех инцидентов были собственные сотрудники, 28% — бывшие сотрудники и контрактники. Исследование российской реальности компанией InfoWatch принесло еще более парадоксальные результаты: на вершине самых острых проблем IT-безопасности в России стоит кража информации (64% респондентов), которая обошла вирусы (49%), хакерские атаки (48%) и спам (45%)".
Простота и воровство
Нельзя утверждать, что большинство утечек информации допускается сотрудниками компаний намеренно. Чаще всего речь идет о халатности и перегруженности работой. Не секрет, что многие сотрудники берут работу на дом, желая обмозговать сложную проблему в спокойной обстановке. Однако они, как правило, не берут с собой кипу бумаг. Необходимая информация просто пересылается на личный электронный почтовый ящик, который может оказаться слабо защищенным от внешнего взлома. Кроме того, к нему могут иметь доступ члены семьи, друзья и прочие не связанные с компанией лица. Гарантировать, что среди них не окажется невольного инсайдера, невозможно. Человек, не связанный с компанией, может просто не понимать коммерческой ценности информации, к которой он случайно получил доступ.Второй важной проблемой является отсутствие информационного контроля в менеджменте компании. В отличие от рядового сотрудника менеджер может просто дать устное указание на пересылку информации. Такие указания, как правило, очень трудно отследить, так как о них быстро забывают. Между тем ущерб от подобных утечек даже больше, чем от халатных действий рядовых сотрудников. Ведь стратегическая информация, к которой имеет доступ менеджер, обычно представляет большую коммерческую ценность.
Президент LETA IT-company Александр Чачава: "Проблема внутренних угроз в том, что рядовые сотрудники бывают излишне доверчивыми к предприимчивым социоинженерам вроде Остапа Бендера, переквалифицировавшимся в хакеры. Сотрудники зачастую не представляют ценности информации или потенциальной уязвимости приложений. Кроме того, причинами потерь важной информации являются халатность и злой умысел. Достаточно вспомнить кражи баз данных у сотовых операторов, баз кредитных историй и неплательщиков в крупнейших финансовых организациях, клиентских баз страховых компаний и банков данных самых разных госструктур. Еще пару лет назад IT-службы отвечали за защиту от внешних угроз, а с внутренними угрозами разбиралась служба безопасности. Сегодня она просто физически не может контролировать перемещение информации по электронным сетям и с помощью переносных носителей. Для этого нужны специально разработанные регламенты, ликбез сотрудников, специально подготовленные офицеры безопасности и технические средства для выявления попыток перемещения информации вовне. Согласно статистике управления 'К' МВД РФ, утечки происходят в 96% крупных компаний и организаций, причем большинство их руководителей об этом не подозревают".
Обидные моменты
Помимо ошибок сотрудников и менеджмента несанкционированные утечки могут быть результатом злонамеренных действий. В любой крупной компании есть обиженные и просто "борцы за справедливость". Уволиться из компании, прихватив с собой базу данных клиентов, сегодня в России считается хорошим тоном и чуть ли не доблестью. Затем эта база обычно всплывает у конкурентов, куда перешел работать уволившийся сотрудник или менеджер.Довольно часто клиентские базы похищаются также миноритарными акционерами или младшими партнерами компаний, желающими открыть собственное дело в той же отрасли. Как ни странно, но самый редкий способ организации канала утечки — засылка агента в конкурирующую компанию. Хотя он крайне эффективный: устроившись на тихую должность с небольшой зарплатой, такой "казачок" способен похищать и передавать коммерчески значимую информацию регулярно. Однако это дорогой способ, связанный с повышенным риском. Его обычно применяют либо с целью получения информации исключительной важности (например, для выяснения точной даты IPO), либо если в компании уже перекрыты прочие каналы несанкционированных утечек.
Во всех рассмотренных случаях доказательства утечки информации собрать сложно, поэтому закон, как правило, молчит. К сожалению, в деле обеспечения внутренней безопасности российское государство подает своим гражданам дурной пример. Например, базы данных ГИБДД и налоговой инспекции сегодня можно купить чуть ли не в каждом подземном переходе. А ведь эта информация по определению является закрытой. В результате сбор исчерпывающих сведений о конкретном человеке сегодня может быть осуществлен всего лишь за $200-300, что способствует использованию личных данных в корыстных целях.
Пока государство не осознает серьезности проблемы инсайда в локальных сетях собственных учреждений и системно с ней не борется. Поэтому продавцы и покупатели подобной информации в России чувствуют себя вольготно.
Неформальные отношения
В ситуации, когда правоохранительная система даже сама себя не может защитить от внутреннего инсайда, компаниям приходится самостоятельно разрабатывать комплекс мер, направленных на пресечение или хотя бы уменьшение утечек.Гендиректор Eset Russia Дмитрий Попович: "Защититься от недобросовестных сотрудников непросто. Сегодня есть множество компаний, предлагающих средства защиты — от электронных USB-ключей и средств разграничения доступа до комплексных решений. Но внутреннюю безопасность по-прежнему невозможно обеспечить, лишь сделав ряд формализованных шагов. Инициатива в этой игре всегда на стороне потенциальных похитителей. Закроем одну возможность — находится другая, и надо снова придумывать, что делать. Заранее определить новый способ хищения трудно, так как мы заведомо не знаем ни всех возможных способов похитить информацию, ни всех уязвимых мест приложений. В этом и заключается основная проблема индустрии информационной безопасности.
Особое внимание при защите от хищения информации, в том числе и собственными сотрудниками, уделяется программам, которые принято относить к вредоносным — это шпионский софт и бэкдоры. Защититься от них сложнее всего. Сегодня в интернете при желании можно найти инструментарий для обмана защиты: получить ценный совет на форуме, который посещают авторы вредоносных программ, или купить такую программу. В сети даже существует рынок уязвимостей приложений, которые пока известны лишь продавцам. Обнаружить шпионскую программу очень сложно — она может существовать в единственном экземпляре, соответственно, ее можно найти только по поведению, а обычные методы поиска вирусов здесь бессильны. Ситуация осложняется тем, что кроме этого существуют специальные программы, так называемые руткиты, позволяющие скрывать действие других программ в системе. Их опять-таки нужно уметь обнаруживать".
Внедрение системы внутренней информационной безопасности, как правило, связано не только с техническими сложностями, но и с психологическими. Сотрудники обычно не осведомлены ни о масштабах утечек, ни о величине ущерба, нанесенного ими, и потому зачастую воспринимают необходимые меры контроля персонала как нарушение своих прав. Начинается тихое саботирование "глупых инструкций", и через некоторое время строгость ограничений и их эффективность существенно снижаются. Поэтому внедрение системы внутренней информационной безопасности наиболее действенно в варианте аутсорсинга. В этом случае мониторинг и контроль осуществляются извне и проводятся более ответственно и объективно.
Проблемный доход
Серьезный масштаб проблемы информационной безопасности обеспечит рынку IT-консалтинга бурный рост. Согласно данным компании InfoWatch, в настоящее время лишь 2% российских организаций используют специализированные системы внутренней защиты. Однако 83% собираются внедрить их в ближайшие три года. Даже если эти данные завышены, перспективы рынка IT-консалтинга впечатляют.Заместитель гендиректора NVision Group Сергей Головин: "Рынок IT-консалтинга в России в ближайшие несколько лет будет стабильно расти, по нашим оценкам — со скоростью примерно 30-40% в год. Это обусловлено как общим ростом консалтингового рынка, так и продолжающимся увеличением доли масштабных и сложных проектов. Консультанты постепенно перестраивают свой бизнес, уделяя все больше внимания именно IT-услугам и консалтингу. Это вызвано и ростом прибыльности этого рынка, причем бизнес, связанный с поставкой оборудования, становится все менее интересным именно из-за падения доходности. Кроме того, усиливается конкуренция, что вынуждает искать новые сферы деятельности.
На рост рынка IT-услуг в сфере безопасности значительное влияние оказывает и развитие параллельных направлений, таких как внедрение ERP-систем, создание крупных телекоммуникационных сетей и информационных систем, то есть тех направлений, где IT-консалтинг почти всегда входит в список сопутствующих услуг. Кроме того, в последнее время многие наши заказчики наконец осознали, что платить можно и нужно не только за осязаемые вещи, например за компьютерное оборудование и сети, но и за знания, как заставить все это работать наиболее эффективно и реально приносить пользу бизнесу. Заказчики поняли, что специализированные IT-услуги действительно могут обеспечить получение нужного результата наиболее быстро, эффективно и в итоге с меньшими затратами. Например, у заказчиков--крупных организаций доля консалтинговой составляющей в бюджетах увеличилась в 2005 году примерно на 50%".
В заключение отметим, что все опрошенные нами эксперты считают, что для построения и функционирования эффективной системы внутренней информационной безопасности необходимы три вещи: передача этой функции на аутсорсинг, комплексный подход и постоянное обновление системы. Это дорогое решение, но только оно обезопасит бизнес от все более изощренных инсайдерских методов и внешних атак.
ПАВЕЛ ЧУВИЛЯЕВ