Главные угрозы информационной безопасности — внутри компании

Круглый стол: «Информационная безопасность: основные угрозы и методы защиты»

Сегодня значительная часть любого бизнеса так или иначе сводится к работе с информацией, ее анализом, дальнейшим бизнес-планированием и т. д. В результате накапливаемая внутри компании информация становится все более и более ценной. Наличие средств информационной безопасности для предотвращения утечки корпоративных данных уже является для компании важным активом и конкурентным преимуществом. Основываясь на высокой актуальности проблемы, редакция группы деловых изданий «Континент Сибирь» провела круглый стол «Информационная безопасность: основные угрозы и методы защиты».

— Какие угрозы информационной безопасности компании сегодня существуют? Какие встречаются наиболее часто?

Александр Шведов, менеджер по продажам ИТ-решений, Softline:

— Все угрозы можно условно разделить на две группы — внешние и внутренние. К внешним относятся атаки хакеров, заражение вирусами и червями через web-страницы и электронную почту и т. д. Внутренние угрозы включают в себя деятельность (ненамеренную или умышленную) бывших сотрудников компании, сотрудников, работающих в данный момент времени, и партнеров, в результате которой происходят утечки конфиденциальной информации и компания несет убытки.

Алексей Мездриков, коммерческий директор, «Интех»:

— Спам также можно отнести к угрозам ИБ, поскольку из-за него у компании увеличиваются затраты на интернет-трафик и появляется риск заражения вредоносными программами.

Сергей Шаравин, системный архитектор, «Интех»:

— Потенциальные и наиболее опасные угрозы ИБ таятся и внутри самой компании — это халатность сотрудников при работе с конфиденциальной информацией, инсайд, промышленный шпионаж и многое другое.

Алексей Воронцов, менеджер по развитию бизнеса центра информационной безопасности, «Инфосистемы Джет»:

— Базовые задачи информационной безопасности не изменились с момента возникновения, меняются лишь акценты и конкретные методы реализации тех или иных угроз, а также осведомленность большинства ИТ-персонала о тех или иных угрозах и реальные риски по угрозам. Скажем, про спам, вирусы и хакеров знают все, и, как правило, у заказчика не существует проблем в обосновании топ-менеджменту затрат на антивирусы или систему межсетевого экранирования.

Виталий Ладыгин, менеджер премьер- поддержки по Сибири, Microsoft Russia:

— Бояться нужно в первую очередь самих себя. Хотим мы или нет, но текущие компьютерные сети — это как сеть дорог с машинами, пешеходами, стритрейсерами. Бегать по дороге туда-сюда и по диагонали только потому, что так хочется — это и есть самый большой риск. Сотрудник компании, не осведомленный о правилах работы с конфиденциальной корпоративной информацией или пренебрегающий базовыми принципами безопасной работы, уже несет в себе потенциальную угрозу.

Роман Тимощук, менеджер по развитию бизнеса в Сибири и на Дальнем Востоке, Cisco:

— Наиболее часто на сегодняшний день встречаются угрозы вредоносного ПО, которые можно разделить на три группы: распространение вредоносного ПО (вирусы, черви, трояны), использование вредоносного ПО на зараженном узле (хищение информации, навязчивая реклама, шпионское ПО), использование вредоносного ПО для запуска атак (DDoS, спам, фишинговые атаки).

— Какие из них несут в себе наибольший потенциальный ущерб?

Андрей Аксененко, инженер сектора информационной безопасности, ЗАО «Компания «Кардинал»:

— Статистика показывает, что наибольший ущерб несут воздействия вирусов и в последнее время — действия инсайдеров. Первые приводят к потере информации, вторые — к убыткам от разглашения конфиденциальной коммерческой информации. При таком большом выборе средств предотвращения и ликвидации всевозможных рисков, которые сегодня существуют, считаю, что наибольший потенциальный ущерб могут нести ИТ-подразделения компании, а точнее — неквалифицированные, халатные действия и бездействия сотрудников и руководителей этих служб.

Виталий Зюляев, начальник службы администрирования ООО «УК «Оберон», член организационного комитета Клуба ИТ-директоров:

— Спам действительно может стать причиной серьезных потерь. В нашей практике достаточно часто встречаются случаи, когда через почтовые рассылки сотрудники компании попадают на сайты, с которых на их рабочие компьютеры закачивается программное обеспечение либо для доступа к корпоративным файловым серверам, либо для подготовки DDoS-атаки.

Виталий Ладыгин: — Угроз ИБ много, и перечислить их все достаточно сложно. Гораздо правильнее выделить два основных риска, связанных с недостаточным уровнем информационной безопасности, — потеря репутации и потеря каких-либо ресурсов. В области потери ресурсов угрозы, как правило, имеют технический характер и от большинства из них можно защититься современными средствами либо в крайнем случае — восстановить потери. Репутацию же восстановить очень тяжело, а она имеет очень большое значение для большинства компаний.

Для того чтобы понять, в какие средства защиты вложить деньги в первую очередь, необходимо определить список потенциальных угроз и их критичность. Далее для каждой из ситуаций существует ряд мер и рекомендаций, следуя которым можно обеспечить базовую защиту. Это открытая информация, ее можно получить у многих вендоров, в том числе и у Microsoft.

Игорь Моисеев, региональный представитель по Сибири и Дальнему Востоку, EMC:

— На мой взгляд, рисков существует всего три. Репутационный, о котором здесь уже говорили, действительно очень серьезный. Потеря конфиденциальной информации, которая может привести к прямым финансовым убыткам. И третье — недоступность собственных ресурсов в результате внешней атаки.

Александр Шведов: — Несмотря на то что сегодня достаточно широко распространены такие угрозы, как вирусы, черви, спам и т. д., большой опасности для ИБ они уже не несут. Существующие на рынке средства достаточно эффективно защищают от них ИТ-инфраструктуру компании, необходимо только осознать важность их применения и выделить на их внедрение соответствующие ресурсы. Гораздо больший риск несут угрозы, исходящие изнутри самой компании. Особенно в зоне риска находятся кредитно-финансовые учреждения. Утечки кредитных историй банков в крайнем случае могут повлечь за собой потерю клиентов, изымание средств владельцами со счетов банка, кризис ликвидности и банкротство банков.

Такого рода риски в западной терминологии носят название операционных рисков. Существует соглашение Basel II, регламентирующее учет операционных рисков. Согласно ему кредитно-финансовые учреждения должны иметь резерв денежных средств для погашения негативных последствий информационных утечек и репутационных рисков. Данное соглашение носит рекомендательный характер, равно и как положения ЦБ РФ в области ИБ, но весьма возможно, что в ближайшие 2–3 года они станут носить обязательный характер.

Виталий Зюляев: — На сегодняшний день местные компании заинтересованы в первую очередь в защите ресурсов, утечка которых может привести к финансовым потерям, поэтому вкладывают средства в различные методы внешней защиты. В то же время уже заметна смена приоритетов — некоторые заказчики начинают осознавать, что потери, к которым может привести инсайдер, являются достаточно ощутимыми для того, чтобы обратить на эту проблему внимание.

Алексей Воронцов: — Когда мы говорим о потенциальном ущербе, на первый план выходят проблемы внутренней безопасности. Сотрудники компании уже находятся внутри периметра сети, имеют легитимный доступ к ее информационным ресурсам и могут оценить ценность той или иной информации для компании. Инсайдеры или просто неаккуратные сотрудники, не осведомленные о правилах работы с конфиденциальной информацией, для некоторых компаний могут стать причиной потери бизнеса.

Виталий Ладыгин: — Основная проблема большинства местных компаний в том, что в них не разработана политика информационной безопасности, а до сотрудников на регулярной основе не доносятся правила безопасной работы в целом и с конфиденциальными данными в частности.

Игорь Моисеев: — Заставлять сотрудников выполнять какие-то правила и надеяться, что это обеспечит защиту, на мой взгляд, наивно. Гораздо правильнее провести аудит собственной системы безопасности и создать такие условия работы, чтобы у сотрудника не было и возможности навредить.

Кирилл Керценбаум, технический специалист Symantec в России и СНГ:

— Сложно однозначно ответить на этот вопрос. Если с определенным типом угроз, например, вредоносным ПО, мы научились бороться, то стоит ли считать эти угрозы не такими опасными? Думаю, нет. Если же производить эти оценки в категориях риска финансовых потерь, то можно с уверенностью говорить, что угрозы внутренние, связанные прежде всего с утечкой конфиденциальных данных, наиболее опасные и серьезные на сегодняшний день.

Роман Тимощук: — Помимо трех важнейших рисков ИБ (репутация, конфиденциальность, доступность ресурсов), не стоит забывать о влиянии угроз безопасности на операционные расходы компании. Например, компания Dell получает 26 млн писем ежедневно, при этом легитимных писем всего 1,5 млн. А ведь компания использует 68 серверов для блокирования спама! Компания Air France тратит $1,1 млн в год на антивирусное ПО. Все это, конечно, в меньшей степени проявляется в России (особенно в Сибири), но уже сейчас серьезные компании направляют значительную часть OPEX на борьбу с угрозами ИБ.

— Какие виды информации чаще всего подвержены утечке/краже?

Алексей Мездриков: — Это напрямую зависит от профиля деятельности компании. У торговых предприятий — базы клиентов и поставщиков, у проектных организаций и конструкторских бюро — собственные архитектурные разработки и ноу-хау, у операторов связи — информация об абонентах, базы данных биллинговых систем.

Виталий Ладыгин: — Крадут ту информацию в компании, которая содержит коммерческую тайну. Как правило, она связана с основным видом деятельности компании. Проблема заключается в том, что в большинстве сибирских компаний даже не существует перечня конфиденциальной информации и списка правил обращения с ней. Сотрудники могут понимать, что база клиентов — это достаточно важная информация, но не осознавать, что она критически важная и стоит очень больших денег. Например, в нашей компании перед каждым входом в CRM-систему сотрудникам напоминается, что информацию из системы можно использовать только в рабочих целях, что заходить в систему можно только по защищенному каналу и т. д. Такие простые правила необходимо обязательно соблюдать и регулярно напоминать об их существовании всем сотрудникам — люди чаще соблюдают правила, когда им регулярно о них напоминают.

Алексей Мездриков: — В РФ действует закон о коммерческой тайне, определяющий список документов в компании, необходимых для привлечения ее сотрудника к ответственности за разглашение конфиденциальных данных. Также на предприятии должен быть определен перечень данных, которые составляют коммерческую тайну, регламент доступа к ним и т. д. Такая работа не проделана в большинстве местных компаний.

Викентий Китушин, заместитель директора по развитию, Axistem:

— Руководство компании может осознавать необходимость внедрения режима конфиденциальности — регламентов работы с внутренними данными, политик безопасности и т. д., — но в то же время быть не готовым к сопутствующим изменениям, которые придется произвести. Причем изменения не столько в бизнес-процессах, сколько в собственном поведении и привычках.

Мы столкнулись с такой проблемой в одном из проектов, который делали совместно с юридической компанией. Заказчик сам обратился к нам за помощью во внедрении на своем производственном предприятии режима конфиденциальности. Этого требовали от него некоторые ключевые клиенты. Однако уже на предпроектном этапе руководитель компании осознал всю сложность проекта и объем требуемых изменений и испугался. В результате было принято решение о разработке только комплекта внутренних нормативных документов, необходимых для введения режима конфиденциальности, но само внедрение было отложено на неопределенный срок.

Алексей Мездриков: — Здесь еще сказываются особенности российского менталитета, когда главный бухгалтер, финансовый или даже генеральный директор могут позволять себе игнорировать ограничения, которые ИТ-специалисты вводят в целях обеспечения безопасности.

Виталий Зюляев: — Действительно, если нет поддержки топ-менеджмента при внедрении строгих правил информационной безопасности, то эффект от внедрения может вообще свестись на нет. Когда руководители, считая себя исключительными людьми в компании, попадают в какие-либо ограничения, многие из них оказываются не готовыми потерять былую свободу. Если же руководители говорят недовольным новыми правилами сотрудникам, что и сами находятся в такой же ситуации и пытаются научиться в ней работать, то это очень хорошая гарантия того, что проект окажется успешным.

Кирилл Керценбаум: — Это может быть совершенно любая информация — как данные, связанные с непосредственной деятельностью организации, так и информация личного характера, которая, например, может быть использована для дискредитации и организации в целом, и отдельных ее сотрудников. Поэтому, говоря о защите от утечек, мы должны подразумевать комплексные решения, которые способны решать проблему на всех уровнях.

Андрей Аксененко: — Красть могут вообще все что угодно. Важным моментом здесь служит материальная и моральная заинтересованность. А вот утечка информации происходит во всех подразделениях компании в основном при передаче ее между подразделениями или участниками информационного процесса. Но это будет всего лишь небольшим фрагментом картины по сравнению с халатным отношением сотрудников ИТ-службы.

Роман Тимощук: — Утечке или краже подвержены все виды информации, которые представляют ценность. И, к сожалению, на сегодняшний день нет ни одного эффективного способа борьбы с инсайдом. Ни какие регламенты и политики безопасности не гарантируют 100%-ной защиты. Гораздо эффективнее использовать методы не борьбы, а предотвращения утечки. Для этого крупные компании, такие как Cisco, проводят постоянные, обязательные для всех сотрудников тренинги, на которых наглядно показывается, сколько стоят компании различные виды нарушений политики ИБ. Уровень защиты от внутренних угроз растет вместе с ростом корпоративной культуры компании.

— Какие каналы утечки данных существуют?

Александр Шведов: — В первую очередь, конечно же, Интернет и электронная почта. На третьем месте — портативные накопители: «флешки», карты памяти, сотовые телефоны и т. д. В конце концов нужную информацию можно распечатать на принтере. Если организация будет отслеживать информацию, передаваемую по данным каналам, то риски в сфере ИБ можно свести к минимуму. Но эти действия с большой вероятностью обречены на провал, если в компании не существует корпоративной политики безопасности.

Виталий Зюляев: — Также есть серьезный риск утечки информации, когда после совещаний сотрудники компании оставляют в конференц-зале копии документов или бумаги, на которых что-либо писали во время обсуждения. Забытая таким образом информация очень часто попадает в руки к тем, к кому она не должна была попасть. Это происходит потому, что многие перестали относиться к бумаге серьезно. Ненужные бумажные документы необходимо уничтожать.

Кирилл Керценбаум: — Здесь нужно обязательно разграничить два понятия: сознательные утечки информации и случайные. В зависимости от этого могут варьироваться и каналы утечки, но остается неизменным: началом данного процесса всегда является человек. И если от злонамеренных утечек еще не существует полностью эффективных решений, то от утечек случайных такие технологии способны полностью защитить.

Роман Тимощук: — Ноутбук директора, руководителя отдела или даже обычного сотрудника является кладезем ценнейшей информации о бизнесе компании. В Москве не редки случаи кражи ноутбуков прямо из автомобиля во время движения по пробкам. Причем во многих случаях целью является не компьютер, а информация. Промышленный шпионаж, казавшийся невероятным еще несколько лет назад, сейчас процветает в столице. Защитой от этой угрозы является специализированное ПО шифрования, которое довольно просто в использовании и стоит недорого.

— Как конкретной компании оценить риски потери информационной безопасности вследствие той или иной угрозы и сформировать затем корпоративную политику безопасности?

Игорь Моисеев: — На рынке сегодня работает достаточно много консультантов, которые могут оказать услуги аудита степени информационной безопасности в компании, выдать заключение и дать рекомендации по формированию политики безопасности. Такие сервисы предлагают и вендоры — у EMC, например, эти услуги есть.

Я бы хотел отметить также, что вопрос реализации политики информационной безопасности стоит на стыке сфер ответственности ИТ-отдела и отдела безопасности в компании. Причем ИТ-отдел выступает в качестве исполнителя работ, а отдел безопасности является заказчиком и контролирует выполнение.

Помимо этого, при формировании политики безопасности компания может обратиться к стандарту ISO 27001 «Системы управления информационной безопасности». Внедрив этот стандарт своими собственными силами или силами консультантов, компания защитит себя от большинства угроз, о которых мы сегодня говорили.

Виталий Ладыгин: — Microsoft тратит очень много сил и ресурсов на обеспечение информационной безопасности своих продуктов, и на сайте компании в свободном доступе находится большое количество материалов на русском языке о том, как нужно формировать политику ИБ, что при этом необходимо учитывать и многое другое. Конечно, этот способ уступает в эффективности привлечению внешнего консультанта, который выдаст конкретные рекомендации для конкретной компании, но в то же время он поможет без финансовых затрат внедрить базовые принципы политики ИБ. Это шаг вперед.

Помимо этого, не нужно забывать, что обеспечение информационной безопасности не является проектом — это процесс, который не заканчивается после внедрения каких-либо программно-аппаратных средств и соответствующей политики. За обеспечением ИБ необходимо следить постоянно, регулярно оценивая актуальность внедренных решений по отношению к текущей ситуации.

Кирилл Керценбаум: — Существует большое число методик оценки — как свободно распространяемых, так и предлагаемых консалтинговыми подразделениями западных и российских компаний. Компания Symantec также активно участвует в этом процессе, опираясь на свой большой опыт разработки концепций и продуктов по информационной безопасности. Нашему консалтингу вполне по силам смоделировать подобные ситуации на конкретных примерах и предложить при этом эффективные и удобные решения для заказчиков.

Виталий Зюляев: — Хочется напомнить руководителям компаний, что к середине 2009 года заканчивается срок исполнения закона правительства РФ о защите конфиденциальных данных. В рамках этого закона все компьютеры, на которых содержатся конфиденциальные данные компании, в частности, базы данных бухгалтерских программ, должны быть защищены сертифицированными средствами. Контроль за выполнением закона возложен на ФСБ.

Андрей Аксененко: — Называют эту процедуру «аудитом безопасности», она включает в себя проведение обследования, идентификацию угроз безопасности, выявление ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита необходимо провести анализ текущего состояния ИБ, выявить уязвимости и наиболее чувствительные к угрозам ИБ бизнес-процессы. В результате аудита безопасности собираются и обобщаются сведения, необходимые для разработки политик безопасности. Если своими силами данную задачу конкретная организация выполнить затрудняется, то наиболее правильным решением будет обратиться к профессионалам.

Роман Тимощук: — Действительно, внешний аудит системы ИБ — это правильный путь. Аудит должен быть обязательно внешним, и причины очевидны. Несмотря на это, 80% политик безопасности разрабатывается компаниями исходя из умозаключений собственных отделов ИТ или ИБ. Рекомендуется поручать аудит наиболее важных компонентов ИБ (таких как сетевая безопасность) профессиональным организациям, имеющим широкий опыт аудита и внедрения систем ИБ. Такими организациями могут выступать вендоры и специализированные системные интеграторы.

— Насколько в таком случае безопасно доверять оценку информационной безопасности компании внешнему консультанту?

Кирилл Керценбаум: — Это можно и нужно делать, только данная работа должна доверяться компании с соответствующей репутацией и положением на рынке. Она должна проводиться с учетом жесткого документирования прав и обязанностей сторон по сбору и анализу информации, а также конфиденциальности на всех этапах оценки. Проведение такого аудита собственными силами может показаться более безопасным, однако при этом организация вряд ли получит от него ожидаемый результат.

Роман Тимощук: — Уровень доверия к «внешнему консультанту» определяет сама компания. Обычно репутация «консультанта» играет решающую роль. Известный брэнд, мировой опыт и примеры проектов являются важными критериями. Опытные «консультанты» или «аудиторы» применяют методики защиты клиентской информации, исключающие утечку.

Виталий Ладыгин: — Оценку доверить можно, а вот постоянную организацию обеспечения ИБ переложить на стороннего подрядчика, на мой взгляд, невозможно. Если уж вам не надо это делать, то, может, и бизнес вам совсем не нужен?

— Средства обеспечения ИБ: какими возможностями защиты обладают программные, аппаратные средства ИБ, а также когда могут помочь административные меры?

Алексей Воронцов: — Без правильной оценки информационных активов внутри компании начинать внедрение каких-либо мер может быть неправильным и вести либо к неадекватности мер защиты, либо к перерасходу средств. К примеру, на некоторых предприятиях добывающей промышленности критично предотвращение факта утечки данных, на предприятиях финансовой сферы — последующее расследование инцидентов утечки, а на некоторых предприятиях промышленности даже полное уничтожение ИТ-инфраструктуры приведет лишь к возникновению некоторых трудностей, но не остановит бизнес-процесс надолго.

Виталий Ладыгин: — Административные меры — это первое средство обеспечения безопасности, т. к. ИБ — это процесс, а в процессе важна в первую очередь организация. Программные средства позволяют автоматизировать процесс обеспечения ИБ практически в любой области контроля: программы, рабочие места, БД или целые сети. Аппаратные средства используются в основном в двух случаях — требуется серьезный уровень производительности (десятки тысяч подключений в минуту, например), либо когда решение уже типовое, легко масштабируется для продажи и востребовано рынком, например, домашние беспроводные точки с сетевым экраном, DSL-модемом и т. п.

Александр Шведов: — Для обеспечения ИБ в организации должны существовать корпоративные политики безопасности. А программные и аппаратные средства лишь призваны выполнять данные политики ИБ. Другими словами, в каждой организации есть четыре канала утечки данных: Интернет, e-mail, сменные накопители информации (CD, DVD, flash-накопители) и печатающие устройства. Технические средства должны анализировать информацию, передаваемую в канале, и в случае обнаружения конфиденциальной информации препятствовать ее утечке в соответствии с правилами и политиками ИБ.

В России пальма первенства в DLP-системах (Data Loss Prevention — предотвращение утечки данных) принадлежит дочерней компании KasperskyLab — Infowatch. Данный продукт позволяет перекрыть вышеназванные каналы, проводить контекстный анализ данных и предотвращать потерю информации.

В мире широкое применение находят продукты McAffee DLP. Распознование информации в данном продукте происходит по базе сигнатур, с помощью специального метатэга, присваиваемого документам в соответствие с политиками ИБ. В случае попытки отправки данной информации вне организации, система распознает сигнатуру и препятствует утечке информации.

Кирилл Керценбаум: — На рынке существует большой перечень продуктов, порой в них даже бывает сложно разобраться, но в целом при грамотном использовании они способны решить большинство проблем информационной безопасности, с которыми сталкиваются компании. Однако это возможно только тогда, когда использование данных продуктов четко регламентировано и подчиняется общей принятой в организации концепции информационной безопасности. Много продуктов предлагает и компания Symantec, исторически являющаяся одним из лидеров на этом достаточно конкурентном рынке.

Роман Тимощук: — Возможности современных средств обеспечения ИБ, которые предлагает компания Cisco, очень широки: защита инфраструктуры компании, защита от DoS и DDoS-атак, контроль поведения абонентов, защита периметра сети, мониторинг ИБ, защита от спама, отражение вирусов, применение политик, аутентификация почты, контроль приложений и аудит сетевой безопасности.

ОСТАВЬТЕ ОТВЕТ