Чужие среди своих

Пять лет назад 36% ИТ-респондентов PricewaterhouseCoopers заявляли, что у них не было ни одного инцидента, связанного с безопасностью. В 2007 году их число снизилось до 22%. Значит, число инцидентов за это время возросло в полтора раза? Так ли это? Эксперты из PWC полагают, что нет. За эти годы было внедрено множество средств безопасности, мониторинга, что позволило обнаружить те инциденты, которые раньше просто оставались незамеченными.

«Важная тенденция современной информационной безопасности — рост осведомленности, — считает Антон Разумов, консультант по информационной безопасности компании Check Point Software Technologies Russia. — В частности, акцент сместился от защиты периметра в сторону внутренних угроз. Действительно, именно пользователи имеют дело с важнейшей информацией и именно они могут передать ее злоумышленникам намеренно, по глупости или из-за незащищенности рабочего места».

Стоит также вспомнить, что информационная безопасность — это один из бизнесов, построенных на страхе: рынок нужно постоянно держать в ожидании вероятных угроз. Но для тех, кто решает задачи информационной безопасности на предприятиях, это не бизнес, а насущная необходимость, следовательно, было бы не совсем правильно подразделять угрозы на вымышленные и реальные, потому что вымышленных, как правило, не бывает. Все угрозы стоит рассматривать с точки зрения рисков, которые они могут представлять для бизнеса.

Например, все угрозы можно рассматривать, исходя из минимально необходимого уровня обеспечения безопасности, который сам по себе сильно зависит от отношения владельцев бизнеса к рискам. Если характер деятельности компании связан с коммерческой тайной или государственными секретами, то появляются свои ограничения и все вымышленные угрозы теряют смысл.

Если же компания работает в условиях высокой конкуренции и безопасность для нее — средство поддержки бизнеса, которое, тем не менее, не должно препятствовать эффективной деятельности, то оценку рисков производят по трем основным направлениям. Во-первых, ищется ответ на вопрос: насколько важен и ценен для бизнеса тот или иной ресурс, рассматриваемый в плоскости информационной безопасности? В зависимости от бизнеса эта оценка может быть очень разной. Во-вторых, прорабатывается перечень применимых контрмер для снижения угроз. Вот тут как раз и встает актуальность минимально необходимого уровня защиты: как только компания становится мало-мальски публичной, количество угроз, в том числе со стороны собственных сотрудников, заметно возрастает. Угрозы эти могут быть следствием не только утечки какой-либо информации, но и недоступности того или иного ресурса. Наконец, в-третьих, производится проверка на инциденты. Если они вообще не фиксируются, то не исключено, что у соответствующих служб просто нет сведений об инцидентах. Впрочем, если это никак не сказывается на бизнесе, то такую ситуацию можно посчитать вполне допустимой.

Оценка рисков от инсайдеров

Как быть, если в компании несколько десятков тысяч сотрудников, которым выданы пропуска, пароли и предоставлен доступ к различным корпоративным ресурсам? Это ведь не какие-то там злоумышленники, которые прорываются в информационную систему, преодолевая средства защиты, а те, кому компания сама открыла дверь, платит зарплату и без кого не может развиваться и сохранять конкурентоспособность. Как жить в такой ситуации?

Вот что говорит об этом руководитель департамента информационной безопасности компании «Вымпелком» Дмитрий Устюжанин: «В зависимости от бизнеса и рисков, угрожающих ему, формируется соответствующий профиль защиты. Кто-то начинает запрещать все, отключая доступ в Internet, держа все и всех под строгим контролем, запрещая пронос мобильных телефонов, строго регламентируя действия и поведение персонала. Но тогда возникает вопрос, а будет ли данная компания эффективна в рыночных условиях? И много ли найдется высококвалифицированных специалистов, готовых работать в таких жестких рамках, особенно в ситуации растущего дефицита квалифицированных кадров? В конце концов именно топ-менеджмент решает, на какие меры стоит идти в том или ином случае, в частности, какие наиболее критически важные системы и приложения надо защищать, кому из сотрудников разрешать доступ к ним, а заодно — насколько сужать список посвященных и допущенных».

В выстроенной системе отслеживания действий персонала, включающей журналирование критически важных транзакций, которая позволит обнаружить источник утечки информации, нет ничего плохого. Не все вредоносные действия персонала в этом случае можно будет предотвратить, но зато появляется возможность расследовать тот или иной инцидент. Это тем более важно, поскольку руководители ряда компаний приняли решение не замалчивать подобные служебные происшествия с участием собственных сотрудников. Во-первых, это делается в поучительных целях. Во-вторых, будет гораздо хуже, если об утечке информации партнеры или конкуренты узнают от третьих лиц.

Риски некомпетентных действий

«Около десяти лет назад один крупный банк переводил процесс обмена финансовыми документами на новую технологию. Руководитель проекта не убедился в качестве и полноте знаний сотрудников, отвечающих за отправку документов. (Обучение четырех человек длилось четыре часа.) После внедрения в первый день из банка не ушел последний рейс с крупными платежами. Банк понес убытки в виде штрафных санкций на несколько миллионов рублей. Это была расплата за некачественное обучение и отсутствие сертификации пользователей», — вспоминает Виктор Галактионов, главный системный архитектор АКБ «РосЕвроБанк».

Информационная безопасность по-прежнему часто воспринимается бизнес-руководителями исключительно как проблема ИТ. По данным исследования Deloitte, в 40% компаний за это направление отвечает исключительно ИТ-отдел. Но информационная безопасность направлена в первую очередь на снижение рисков утечки, утраты, фальсификации бизнес-информации. Это направление достаточно узкое и носит, как правило, технический, реже — организационный характер. Крайне редко в сферу информационной безопасности включается разработка мероприятий по обеспечению непрерывности бизнеса. Чаще эта задача подменяется обеспечением непрерывности работы информационных систем (включая каналы, серверы, базы данных, приложения и пр.), за которые отвечает ИТ-подразделение. Но эта замена не равноценна, поскольку ИТ-служба решает исключительно технические вопросы, а не организационные.

Потенциально заинтересованным может быть подразделение внутреннего контроля или аудита. Однако и эта служба в первую очередь ориентирована на снижение финансовых рисков, на охрану интересов владельцев бизнеса, поэтому проводимый этими подразделениями аудит редко затрагивает технологические вопросы, если только проверяемое направление явно не несет финансовых рисков для владельцев бизнеса.

Сам же бизнес, как правило, озабочен в первую очередь захватом рынка, увеличением объемов продаж и о рисках, связанных с некомпетентными действиями сотрудников, задумывается в самую последнюю очередь. Снизить эти риски призваны мероприятия по двум направлениям: обучение вместе с сертификацией, а также мониторинг и аудит.

«Если первое направление в некоторых компаниях присутствует, то о мониторинге и аудите задумываются гораздо реже. Сколько банков из 200 самых крупных имеют свои центры обучения? Кто проводит обучение и сертификацию вновь принятых сотрудников работе с автоматизированной банковской системой? Кто проводит обучение сотрудников перед внедрением нового продукта, услуги? Представьте себе ситуацию, что новобранцу в армии в первый же день выдают заряженный гранатомет. Невероятно, но в компаниях нечто подобное встречается нередко», — констатирует Галактионов.

Увы, технологический аудит, аудит бизнес-процессов, контроль точности их выполнения часто остаются без надзора. Бизнес, проектируя новые операционные модели, продукты, услуги, разрабатывает технологические карты бизнес-процессов, задача мониторинга и контроля при этом либо забывается, либо воспринимается проектировщиками новых продуктов и услуг как недостойная внимания рутина. Впрочем, эта задача действительно ресурсоемкая и требует определенной квалификации в области как бизнес-архитектуры, так и архитектуры ИТ.

«Большинство руководителей в курсе проблемы утечки данных, однако реальные меры по внедрению средств защиты, централизованного управления политиками, мониторинга только-только начинают применяться. Кроме того, в основном при этом используется реактивный, а не проактивный подход, — рассказывает Разумов. — Две трети (67%) респондентов — ИТ-менеджеров заявляют, что внедрение подобных средств защиты и корпоративных политик началось лишь после инцидентов с безопасностью. Но помимо технических средств защиты исключительно важна осведомленность сотрудников о действующих корпоративных политиках. Две трети сотрудников либо вообще не слышали о каких-то специальных правилах использования съемных носителей в компании, либо просто знали, что такие правила существуют, но детально не были осведомлены».

Вот еще один пример, связанный скорее с халатными действиями персонала. Что происходит, если ломается корпоративный компьютер, скажем, ноутбук? Его сдают в ремонт. А уничтожаются ли перед этим данные с его жесткого диска? Немного найдется компаний, регулярно практикующих эту меру, поскольку она требует достаточно много времени и стоит довольно дорого. То же самое можно сказать и о процедурах списания или передачи компьютеров от одного сотрудника (например, уволенного) другому.

«В свое время компания Pointsec приобрела на аукционе eBay несколько списанных ноутбуков и смогла восстановить важную информацию с финансовыми отчетами, клиентской базой и т.п. на семи ноутбуках из десяти! Как видим, решения, шифрующие жесткий диск, важны не только для мобильных пользователей. И здесь опять речь не о хакерах, а о предотвращении возможных ошибок и последствий халатности пользователей и ИТ-персонала», — убежден Разумов.

Как видим, в вопросах информационной безопасности не бывает вымышленных угроз. Если это не принять как постулат, то в современных условиях конкурентной борьбы, ведущейся не всегда честными средствами и методами, подобное пренебрежение вопросами профилактической работы с собственным персоналом может обернуться для бизнеса плачевными последствиями. Задача специалистов состоит в том числе в общении с представителями бизнеса, а не только с узкими профессионалами. Обеспечение информационной безопасности давно перестало быть делом одних только «айтишников».