![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68compИнициатором написания этой статьи был хороший человек Максим Мацкул на FaceBook, а также на LinkedIn. Насколько правильным будет ее выставлять в свободный доступ, не знаю, но не хотелось бы, чтобы она "потерялась".
В настоящее время в области информационной безопасности сложилась очень интересная ситуация, которую можно охарактеризовать как начало процесса осознания самого понятия самой безопасности, ее необходимого уровня, рисков и угроз, а также инструментов обеспечения защиты компании и достижения целевого уровня этой безопасности.
Работая с большим количеством клиентов в Украине мы встречаем самые разнообразные мнения и подходы в этой области: от откровенно наивных специалистов и компаний, близких к игнорированию данных вопросов и проблем как таковых, до зрелых компаний (в отношении вопросов безопасности), которые системно подходят к оценке рисков и угроз ИТ безопасности, подбору и использованию комплекса инструментов и решений для ее обеспечения. Но последних пока единицы.
Системный подход. Сколько в этих двух словах непонятного для многих и необъятного для профессионалов в этой области. Информационным ресурсам угрожают такие опасности, о которых многие даже не задумываются: например, мошенничество сплошь и рядом, шпионаж – ну, откуда у нас в стране промышленный шпионаж? – саботаж скрытый и явный, как наших работников, так и подрядчиков, и традиционно прописываемые в любом договоре форсмажорные обстоятельства: пожар, наводнение, отключение электроэнергии и многие другие. И как ни странно имеют место такие виды угроз, как заказные хакерские атаки.
Подходя к самой теме ИТ безопасности, специалистам за нее ответственным в компании следует откровенно ответить на вопрос «Какого уровня безопасность целесообразно обеспечивать в компании и какого уровня для каких данных и процессов?»
Одновременный рост опасностей вызывает зависимость компаний от информационных систем и сервисов и молниеносно увеличивает потенциальный ущерб в случае неприятностей.
И трезвое решение обеспечения безопасности всего лишь организационными мерами, стандартными паролями и распределением доступа, конечно, так же имеет право на существование.
Но если вы ответили себе и руководству на такой вопрос, что вам есть что терять, тогда нужно избавиться от целого ряда иллюзий. О них чуть позже, а пока об их основных причинах.
Одной из основных причин, по которой компании прибывают в мире «безопасных» иллюзий это то, что рынок услуг и продуктов в области ИТ безопасности формируется самими поставщиками этих продуктов и услуг. Ни в коем случае, не хочу сказать или поддержать старые слухи о том, что компании разработчики антивирусов самостоятельно их пишут. Но, как правило, интегратор/консалтинговая компания или поставщик «запугивают» своего потенциального клиента теми угрозами, с которыми умеет бороться он (его специалисты), или продвигаемое им оборудование. Приобретая в итоге решение или услуги клиент надеется, что теперь он в безопасности. И, как правило, покупая решение, клиент/собственник пытается экономить на таких статьях, которые, в конечном итоге, приводят к непониманию цели потраченных средств. А надежды на состояние безопасности становятся иллюзорными.
Если же о примерах иллюзий и надежд, которыми живут компании, то вот некоторые из них, полученные из открытых источников (аналитических отчетов, данных статистики), а так же встреч с ИТ-специалистами и специалистами безопасности предприятий в Украине:
- более 70% специалистов ИТ безопасности компаний, настраивая фаерволы и защищая периметр сети, сомневаются в их эффективности;
- инвестируя значительные ресурсы в модные ИТ решения, защиту периметра и т.д. и т.п., более 80% потерь конфиденциальных данных связано, с так называемыми, внутренними угрозами;
- компания приобрела и внедрила «модную» и защищенную ERP систему, поэтому ее данные в безопасности. На самом деле, даже в этом случае, все ваши конфиденциальные данные «стоят» не более чем 2-кратная заработная плата администратора базы данных (лежащей под вашей ERP системой). Переманивая такого специалиста, конкурент может попросить/намекнуть сделать копию всех данных, и, поверьте, это не составит труда при современных методах и инструментах;
- 90% ИТ сотрудников, покидая компанию, уносят с собой все, что можно скопировать «на всякий случай»;
- более 90% интеграторов и ИТ поставщиков, реализуя проект у заказчика имеют полный доступ к конфиденциальным данным компании клиента, и значительная часть – даже после завершения проекта;
- никакой облачный провайдер ни в Украине, ни за рубежом, не будет даже обсуждать вопрос «А отдавать ли данные клиента?», если к нему придут уполномоченные органы. Ни одна компания (особенно крупная и/или публичная) не поставит свой бизнес под угрозу из-за какого-то «временно» или реально не добросовестного клиента;
- даже если вы используете зарубежного поставщика облачных услуг, он передаст все ваши данные компетентным органам по письменному запросу локального комиссара полиции. Что уже говорить о локальных украинских туманных провайдерах;
- пока ИТ специалисты компании имеют открытый доступ к бизнес данным, говорить о безопасности нормального уровня несправедливо;
- компания использует шифрование данных с помощью специального программного обеспечения. Есть примеры, когда клиенты в итоге сами не могут открыть ранее зашифрованные данные ввиду низкого уровня профессионализма сотрудников ИТ-службы, которые не удосужились даже прочесть официальные руководства пользователя продуктов шифрования;
- локальные решения (собственный ЦОД) надежнее, чем решения в облаке. По нашему мнению, в случае облачных систем корпоративного уровня (например, SalesForce, Success Factors и др.) как раз наоборот (некоторые причины в пунктах выше);
- часть провайдеров облачных сервисов не могут предложить комплексное решение для обеспечения информационной безопасности в связи с тем, что ему выгоднее, чтобы заказчик должен был самостоятельно об этом позаботиться.
Как же быть с этими иллюзиями? Мы рекомендуем системный, взвешенный и открытый подход:
- то, что ваши ИТ специалисты потратили большой бюджет на оборудование от известного производителя в коробке с надписью «security» не говорит о том, что вы в безопасности;
- ИТ безопасностью, уж если ей заниматься, должны заниматься профильные специалисты, а не администратор-гуру, который еще и принтеры заправляет. В действительности ИТ-специалисты не должны заниматься информационной безопасностью. Это совсем другая область знаний. Основное отличие направления ИТ и информационной безопасности в том, что в первом должен работать принцип «чтобы все всегда работало», а во втором – «чтобы БЕЗОПАСНО работало». Этого не знают специалисты по ИТ. Нередко им проще выдать пользователю права локального администратора, чем разобраться в проблеме и предложить адекватное решение, которое уберегло бы компанию от утечки информации;
- оценивайте эффективность тех или иных средств, решений и услуг по поддержанию, повышению безопасности или защите от различных угроз. Кроме этого эти оценки должен делать не один специалист по информационной безопасности, а целый комитет ТОП-менеджеров;
- системно подходите к решению комплексной задачи обеспечения безопасности бизнеса – учите, прежде всего, своих ТОП-менеджеров информационной безопасности, а они уже научат подчиненных;
- осознайте, что не существует абсолютно-надежной системы и полной безопасности - это миф. Все что закрывается, потенциально можно открыть. Безопасность – это процесс. И как любой процесс он имеет свое течение. Свои взлеты и снижения. Работа специалистов информационной безопасности не может стоить тех же денег, что стоит работа ИТ-специалистов. Статус «хакера» означает в действительности не просто высокооплачиваемый, но самый высококвалифицированный специалист в ИТ. Многие не знают того, что, чтобы стать «хакером» необходимо подтвердить не одну сертификацию по информационной безопасности. Также и информационная безопасность – это процесс. Сейчас все было хорошо, а через 5 минут у нас может остановиться информационная система, а через 10 мы можем снова расслабиться потому, что предварительно приняли все необходимые меры для ликвидации угрозы. И совсем единицы понимают, что информационная безопасность включает в себя и безопасность и ИТ. Поэтому и так часто встречается скрытый саботаж по информационной безопасности: да мы все сами можем сделать, зачем нам аудит и тем более штатные специалисты информационной безопасности?
Хочется отметить, что тема информационной безопасности сама по себе интересна для любого мыслящего безопасника и затрагивает, в основном, проблему незрелости украинского бизнес-сообщества в плане информационной безопасности как таковой. У нас все по старинке – на авось. И это четко видно при общении не только с руководителями ИТ-подразделений крупных компаний, но и собственниками. С собственниками, пожалуй, еще сложнее. Они живут по принципу «Мы нанимаем людей, чтобы они говорили, что делать нам». Но при этом они забывают первую часть фразы Стива Джобса «Нет смысла нанимать толковых людей, а затем указывать, что им делать».
Собственник не должен быть экспертом по информационной безопасности. Главное, что ему нужно - это правильно представлять себе важность и ответственность данного направления.
Из "Стандарта Банка России..."
5.9.... Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
И, наверное, поэтому возникает устойчивое послевкусие любых переговоров – убеждение, что Украина лет на 10 отстала от ближайшей соседки – России. Обидно и злит. Но это так. Понятие информационной безопасности в Украине понимают единицы. В то время как в России любой ментообразный руководитель службы безопасности четко понимает, что без специалистов в информационной безопасности он уже не сможет квалифицированно и самое главное эффективно выполнять свою работу: защищать бизнес от угроз. Я говорю с уважением «ментооборазный» для России и с уничижением для Украины. Это люди разного мировоззрения. Хотя и имеют за плечами огромный опыт государственной службы, но одни уже ощутили прелести работы системы управления информационной безопасностью (СУИБ), а другие даже не слышали о том, что эта СУИБ существует и предполагает какую-то методологию, т.н. лучшие мировые практики. О лучших мировых практиках по информационным технологиям слышали все. Только не все представляют в скольки томах и на скольки страницах эти практики существуют. Где-то это все уже проходили. Конечно, даже бухучет двух одинаковых районных налоговых администраций отличается в корне, (хотя, казалось бы, как такое может быть в принципе при четко-расписанной регламентации этого самого учета), – как отличается один человек от другого. У каждого свои взгляды на жизнь. Своя реакция в одинаковых обстоятельствах. Мы все разные. И поэтому по-разному понимаем одни и те же строки ГОСТов и ИСО. Совсем недавно один из директоров по информационным технологиям с удивлением узнал от меня, что оказывается ГОСТы на документацию по информационным технологиям (комплекс стандартов на автоматизированную систему) существовали еще до провозглашения Независимости Украины. Но при всеобщей неграмотности руководителей такого уровня радует, что и в Украине есть профессионалы своего дела. Например, тот же перевод основополагающего стандарта по информационной безопасности ISO 27001 в Украине имеет статус официального, а в России – нет. Но только что это значит? То, что специалисты информационной безопасности в России учились по оригиналу, на английском языке, а у нас в Украине еще только пытаются учится. Вообще, меня всегда возмущало, что официальный перевод таких важных для государства документов как стандарты осуществляется за деньги. Мне кажется, если мы хотим жить в стране, где не только написаны Законы такие как Закон Украины «О информации» и Закон Украины «О защите персональных данных», но они и работают, чтобы каждый человек мог быть уверенным в своей «персональной» безопасности, то стандарты по информационной безопасности необходимо просто раздавать на каждом перекрестке за счет государства.
Информация представляет собой ценный деловой актив организации, и, следовательно, должна быть именно надлежащим образом защищена.
Десятилетиями для сферы информационных технологий были характерны методики, основанные на молчаливом признании того, что системы и сети изначально уязвимы, что защита требуется в связи с ростом количества подключаемых устройств, а не в связи с уязвимостями архитектуры самих устройств. Современные инциденты, связанные с несанкционированным проникновением в системы, а также публично признанные случаи компрометации данных являются слабым напоминанием: несмотря на огромные инвестиции, традиционные модели обеспечения информационной безопасности сегодня уже не работают. Что будет после нового витка таких технологий, как появление нанокомпьютеров? Все традиционные меры по обеспечению безопасности станут абсолютно детскими по сравнению с новыми вычислениями, т.к. основаны на построении любой сложности периметра информационной инфраструктуры. И эта концепция имеет тенденцию успокаивающей иллюзии: как сказал совсем недавно один ИТ-директор «на сегодня мы не знаем, что делать с концепцией «принеси свое устройство на работу - bring your own device», поэтому – внимание! – мы от нее откажемся в середине следующего года». Т.е. никого не тревожит, что на сегодня их информационная система недостаточно защищенная: начиная со способности вирусных программ и «червей» легко преодолевать воображаемые границы и заканчивая постоянными предупреждениями о том, что инсайдеры представляют собой значительную угрозу. На эти предупреждения не обращают внимания, поскольку создается ложное впечатление безопасности корпоративных и частных сетей. Из-за концентрации внимания на обеспечении сильной защиты по периметру сами внутренние системы остаются неконтролируемыми и потому недостаточно защищенными. Ведь признаемся, что в Украине только единицы осознали необходимость внедрения DLP-систем и систем интеллектуального мониторинга активности сетей. Широкое внедрение устройств, использующих мобильные и «облачные» технологии, удешевление широкополосного доступа в Интернет и расширение доступа к корпоративным ресурсам благодаря развитию социальных сетей навсегда уничтожили даже саму иллюзию защищаемого периметра. Все больше данных хранится и обрабатывается за пределами внутренней сети, и все большее количество неизвестных к ним имеют доступ. Самое смешное в том, что большинство компаний даже не прописывают в своих правилах работы в своей внутренней сети, что каждый пользователь должен руководствоваться хотя бы принципами здравого смысла и не использовать внешние ресурсы для хранения коммерческой информации компании. Я уж не говорю об отличии понятий конфиденциальной и коммерческой информации.
Размытость периметра существенно повысила подверженность бизнес-структур рискам информационной безопасности. И если добавить сюда осознание возможности обеспечения соответствия международным стандартам информационной безопасности, то мы увидим, что текущий год – это год, когда вопросы информационной безопасности должны стать не только зоной ответственности специалистов ИБ, но и предметом заботы руководства компаний.
Итак, иллюзии:
1. Иллюзия №1 во всем мире: информационная безопасность = компьютерной безопасности. Исторически понятие "информационная безопасность" возникло как расширение компьютерной безопасности. По-прежнему для большинства сотрудников эти два термина равнозначны. Для современного собственника отождествление информационной безопасности с компьютерной безопасностью - ошибка, чреватая серьезными убытками. Все виды информации, на всех видах носителей должны защищаться в соответствии с едиными правилами.
2. Информационную безопасность можно построить за счет бесплатных программных продуктов. Но все забывают, что коммерческие продукты обычно имеют службу поддержки и с которых можно спросить за явные баги программы. А бесплатные программы, может, и хороши, но где же искать ответчика, да и сколько для этого нужно потратить сил и времени?
3. Оплачивать консалтинг по информационной безопасности не нужно. Мы сами разберемся. Но как показывает практика специалисты заказчика не должны тратить время на самостоятельное изучение руководств пользователя. Для бизнеса выгоднее, чтобы их основная задача была именно «ставить грамотные задачи» поставщику решения, который сэкономит, в конечном счете, и вложенные финансы и предложит наиболее экономически выгодное решение.
4. Обучать своих сотрудников современным технологиям не нужно. Мы платим им достаточно денег для того, чтобы они сами были подкованы. Возможно. А возможно, вы теряете время и деньги за счет того, что решения, которые вам предлагают ваши самоучки не охватывают современные тенденции и узко специальны в отличие от того, как, если бы к решению задач подходил сертифицированный профессионал, которого специально обучили по мировым стандартам и лучшим практикам.
5. Информационная безопасность - это только борьба с преступниками. Внешними и внутренними. На самом деле грамотно построенная система управления информационной безопасности (СУИБ) решает гораздо более обширный круг задач и в том числе таких, как природные явления (наводнение, пожар) или же техногенные катастрофы (отключение электроэнергии). В одной организации главный энергетик путал понятия заземление и зануление из-за чего постоянно горело оборудование в период весенних гроз и именно сотрудники информационной безопасности убедили собственников компании выделить ресурсы на предотвращение инцидентов. Кроме этого стандартные для ИТ виды обеспечения долговременной сохранности целостных и аутентичных информации и документов зачастую вообще отсутствуют в планах восстановления деятельности организации в случае непредвиденных обстоятельств. Что уж говорить о защите юридических, имущественных и иных прав организации, ее сотрудников и клиентов путем соблюдения правил документооборота? Невольно вспоминается защита персональной информации и как в каждой второй компании решили этот вопрос: создали мертворожденное положение и назначили ответственных за неизвестные базы данных, но при этом реальных механизмов защиты не описали. Почему-то забывается, что наиболее ценная и важная информация хранится в головах сотрудников. Как говорят американцы, руководитель организации всегда должен помнить, что 65% информации ежедневно вечером покидает офис фирмы и может утром не вернуться, - или, хуже того, перебежать к конкурентам. О защите этого ресурса обычно не задумываются - до тех пор, пока не уволится ключевой сотрудник. Нередки увольнения в один день и истошный вопль в сторону информационной безопасности «обеспечьте предотвращение утечки конфиденциальной информации»! Если сотрудника уволили, как служба информационной безопасности может осуществить предотвращение утечки информации? Событие уже произошло. К нему нужно было подготовиться и предпринять ряд профилактических мер. Поговорить с увольняемым и напомнить об ответственности за разглашение документов, которые он подписывал при приеме на работу. Формально ответственность за этот ресурс не несет никто, но в первую очередь его защищенность зависит от действий ТОП-менеджмента компании и, в первую очередь, кадровой службы.
Уязвимость любой системы оценивается по наиболее слабому звену. Накопленный опыт недвусмысленно показал, что ключевая проблема в обеспечении безопасности - проблема кадровая.
Статистика свидетельствует о том, что большинство удачных атак либо идут изнутри организации, либо при содействии кого-то из сотрудников. При помощи одних только технических и программных средств надежную защиту обеспечить очень трудно, тем более, что сейчас в распоряжении злоумышленника может находиться арсенал средств, продаваемых в магазинах по вполне умеренным ценам, которому лет двадцать-тридцать назад позавидовали бы ведущие разведки мира, а на каждую новинку в области защиты быстро находится "противоядие".
Из "Стандарта Банка России..."
5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник, скорее, да, чем нет, может иметь сообщника(ов) внутри организации.
Для "взлома" систем использовались не столько недостатки оборудования и программного обеспечения, сколько отсутствие должной дисциплины и контроля на рабочих местах. Большинство преступлений было совершено ради наживы, но в четверти случаев основным мотивом была месть - как правило, за увольнение.
Сотрудники должны знать, что все их действия контролируются. По данным того же исследования, значительная часть преступников не подозревала о существовании в организации системы контроля, и многие из них в своих интервью говорили, что не стали бы нарушать закон, если бы знали, что их могут поймать. Необходимо обучение и регулярная переподготовка кадров как по основной деятельности, так и по вопросам информационных технологий, делопроизводства и безопасности.
Главное, что для себя должен решить собственник, - нужно ли вообще что-то делать для обеспечения информационной безопасности компании, и если да, то нужно ли для этого создавать отдельную службу. Собственник должен помнить, что если он считает эту работу важной и необходимой, он должен обеспечить ей постоянную поддержку и регулярное выделение ресурсов. Без поддержки со стороны ТОП-менеджмента компании успеха добиться невозможно.
Итак, что же стоит помнить:
1. Важно использовать сканеры вирусов, устанавливаемые на персональных компьютерах, серверах, прокси-серверах и шлюзах и обеспечивающие защиту от многих известных вирусов. Хотя практика показывает, что кол-во вирусов растет гораздо быстрее, чем антивирусные компании успевают пополнять базы известных сигнатур.
2. Сетевые экраны, инспектирующие сетевые пакеты на основе списков контроля доступа (access control list, ACL) позволяют осуществлять простую фильтрацию пакетов на основе номеров портов или IP-адресов. Сетевые экраны и IPS производят глубокое зондирование сетевых пакетов, устраняя известные угрозы. С учетом предсказываемого увеличения скорости передачи данных в Internet с 10 Гбит/с до терабит в секунду и взрывного роста электронной коммерции, эксперты в области безопасности должны произвести переоценку текущих решений — от шифрования до доверительных связей.
3. Совершенная безопасность стоит больших денег, и люди не желают их платить, поэтому они рискуют безопасностью систем реального мира в надежде на то, что злоумышленники побоятся нарушить имеющуюся несовершенную защиту в виду неизбежного наказания. В области компьютерной безопасности собственники также не готовы платить деньги за дорогие решения, пока не произойдет какое-либо чрезвычайное событие. Важное отличие состоит в том, что в случае нарушения компьютерной безопасности очень трудно найти злоумышленника и, тем более, наказать его.
4. системы компьютерной безопасности являются сложными программными системами, совершенство которых практически недостижимо.
5. политика доступа должна быть расширена точным описанием конфиденциальной информации и перечнем должным образом авторизованных пользователей.
6. несмотря на многочисленные исследования в области повышения точности распознавания червей и анализа трафика в реальном времени, практические решения остаются иллюзорными.
7. «Следуйте проверенной стратегии», «Минимизируйте персонализацию», «Цените своих квалифицированных пользователей».
8. Главная проблема информационной безопасности, по мнению знаменитого Митника, в пресловутом человеческом факторе, говоря о котором, все как-то сразу забывают, что люди — это еще и главный ресурс государств и корпораций. Он приводит смелую статистику, утверждая, что «если бы люди просто перезванивали по указанному хакером телефону, это решило бы проблему безопасности на 80%». В деле безопасности, по мнению Митника, доверять нельзя никому: «Верить можно только Богу. Все остальные — под подозрением».
Перейти к Оглавлению
В настоящее время в области информационной безопасности сложилась очень интересная ситуация, которую можно охарактеризовать как начало процесса осознания самого понятия самой безопасности, ее необходимого уровня, рисков и угроз, а также инструментов обеспечения защиты компании и достижения целевого уровня этой безопасности.
Работая с большим количеством клиентов в Украине мы встречаем самые разнообразные мнения и подходы в этой области: от откровенно наивных специалистов и компаний, близких к игнорированию данных вопросов и проблем как таковых, до зрелых компаний (в отношении вопросов безопасности), которые системно подходят к оценке рисков и угроз ИТ безопасности, подбору и использованию комплекса инструментов и решений для ее обеспечения. Но последних пока единицы.
Системный подход. Сколько в этих двух словах непонятного для многих и необъятного для профессионалов в этой области. Информационным ресурсам угрожают такие опасности, о которых многие даже не задумываются: например, мошенничество сплошь и рядом, шпионаж – ну, откуда у нас в стране промышленный шпионаж? – саботаж скрытый и явный, как наших работников, так и подрядчиков, и традиционно прописываемые в любом договоре форсмажорные обстоятельства: пожар, наводнение, отключение электроэнергии и многие другие. И как ни странно имеют место такие виды угроз, как заказные хакерские атаки.
Подходя к самой теме ИТ безопасности, специалистам за нее ответственным в компании следует откровенно ответить на вопрос «Какого уровня безопасность целесообразно обеспечивать в компании и какого уровня для каких данных и процессов?»
Одновременный рост опасностей вызывает зависимость компаний от информационных систем и сервисов и молниеносно увеличивает потенциальный ущерб в случае неприятностей.
И трезвое решение обеспечения безопасности всего лишь организационными мерами, стандартными паролями и распределением доступа, конечно, так же имеет право на существование.
Но если вы ответили себе и руководству на такой вопрос, что вам есть что терять, тогда нужно избавиться от целого ряда иллюзий. О них чуть позже, а пока об их основных причинах.
Одной из основных причин, по которой компании прибывают в мире «безопасных» иллюзий это то, что рынок услуг и продуктов в области ИТ безопасности формируется самими поставщиками этих продуктов и услуг. Ни в коем случае, не хочу сказать или поддержать старые слухи о том, что компании разработчики антивирусов самостоятельно их пишут. Но, как правило, интегратор/консалтинговая компания или поставщик «запугивают» своего потенциального клиента теми угрозами, с которыми умеет бороться он (его специалисты), или продвигаемое им оборудование. Приобретая в итоге решение или услуги клиент надеется, что теперь он в безопасности. И, как правило, покупая решение, клиент/собственник пытается экономить на таких статьях, которые, в конечном итоге, приводят к непониманию цели потраченных средств. А надежды на состояние безопасности становятся иллюзорными.
Если же о примерах иллюзий и надежд, которыми живут компании, то вот некоторые из них, полученные из открытых источников (аналитических отчетов, данных статистики), а так же встреч с ИТ-специалистами и специалистами безопасности предприятий в Украине:
- более 70% специалистов ИТ безопасности компаний, настраивая фаерволы и защищая периметр сети, сомневаются в их эффективности;
- инвестируя значительные ресурсы в модные ИТ решения, защиту периметра и т.д. и т.п., более 80% потерь конфиденциальных данных связано, с так называемыми, внутренними угрозами;
- компания приобрела и внедрила «модную» и защищенную ERP систему, поэтому ее данные в безопасности. На самом деле, даже в этом случае, все ваши конфиденциальные данные «стоят» не более чем 2-кратная заработная плата администратора базы данных (лежащей под вашей ERP системой). Переманивая такого специалиста, конкурент может попросить/намекнуть сделать копию всех данных, и, поверьте, это не составит труда при современных методах и инструментах;
- 90% ИТ сотрудников, покидая компанию, уносят с собой все, что можно скопировать «на всякий случай»;
- более 90% интеграторов и ИТ поставщиков, реализуя проект у заказчика имеют полный доступ к конфиденциальным данным компании клиента, и значительная часть – даже после завершения проекта;
- никакой облачный провайдер ни в Украине, ни за рубежом, не будет даже обсуждать вопрос «А отдавать ли данные клиента?», если к нему придут уполномоченные органы. Ни одна компания (особенно крупная и/или публичная) не поставит свой бизнес под угрозу из-за какого-то «временно» или реально не добросовестного клиента;
- даже если вы используете зарубежного поставщика облачных услуг, он передаст все ваши данные компетентным органам по письменному запросу локального комиссара полиции. Что уже говорить о локальных украинских туманных провайдерах;
- пока ИТ специалисты компании имеют открытый доступ к бизнес данным, говорить о безопасности нормального уровня несправедливо;
- компания использует шифрование данных с помощью специального программного обеспечения. Есть примеры, когда клиенты в итоге сами не могут открыть ранее зашифрованные данные ввиду низкого уровня профессионализма сотрудников ИТ-службы, которые не удосужились даже прочесть официальные руководства пользователя продуктов шифрования;
- локальные решения (собственный ЦОД) надежнее, чем решения в облаке. По нашему мнению, в случае облачных систем корпоративного уровня (например, SalesForce, Success Factors и др.) как раз наоборот (некоторые причины в пунктах выше);
- часть провайдеров облачных сервисов не могут предложить комплексное решение для обеспечения информационной безопасности в связи с тем, что ему выгоднее, чтобы заказчик должен был самостоятельно об этом позаботиться.
Как же быть с этими иллюзиями? Мы рекомендуем системный, взвешенный и открытый подход:
- то, что ваши ИТ специалисты потратили большой бюджет на оборудование от известного производителя в коробке с надписью «security» не говорит о том, что вы в безопасности;
- ИТ безопасностью, уж если ей заниматься, должны заниматься профильные специалисты, а не администратор-гуру, который еще и принтеры заправляет. В действительности ИТ-специалисты не должны заниматься информационной безопасностью. Это совсем другая область знаний. Основное отличие направления ИТ и информационной безопасности в том, что в первом должен работать принцип «чтобы все всегда работало», а во втором – «чтобы БЕЗОПАСНО работало». Этого не знают специалисты по ИТ. Нередко им проще выдать пользователю права локального администратора, чем разобраться в проблеме и предложить адекватное решение, которое уберегло бы компанию от утечки информации;
- оценивайте эффективность тех или иных средств, решений и услуг по поддержанию, повышению безопасности или защите от различных угроз. Кроме этого эти оценки должен делать не один специалист по информационной безопасности, а целый комитет ТОП-менеджеров;
- системно подходите к решению комплексной задачи обеспечения безопасности бизнеса – учите, прежде всего, своих ТОП-менеджеров информационной безопасности, а они уже научат подчиненных;
- осознайте, что не существует абсолютно-надежной системы и полной безопасности - это миф. Все что закрывается, потенциально можно открыть. Безопасность – это процесс. И как любой процесс он имеет свое течение. Свои взлеты и снижения. Работа специалистов информационной безопасности не может стоить тех же денег, что стоит работа ИТ-специалистов. Статус «хакера» означает в действительности не просто высокооплачиваемый, но самый высококвалифицированный специалист в ИТ. Многие не знают того, что, чтобы стать «хакером» необходимо подтвердить не одну сертификацию по информационной безопасности. Также и информационная безопасность – это процесс. Сейчас все было хорошо, а через 5 минут у нас может остановиться информационная система, а через 10 мы можем снова расслабиться потому, что предварительно приняли все необходимые меры для ликвидации угрозы. И совсем единицы понимают, что информационная безопасность включает в себя и безопасность и ИТ. Поэтому и так часто встречается скрытый саботаж по информационной безопасности: да мы все сами можем сделать, зачем нам аудит и тем более штатные специалисты информационной безопасности?
Хочется отметить, что тема информационной безопасности сама по себе интересна для любого мыслящего безопасника и затрагивает, в основном, проблему незрелости украинского бизнес-сообщества в плане информационной безопасности как таковой. У нас все по старинке – на авось. И это четко видно при общении не только с руководителями ИТ-подразделений крупных компаний, но и собственниками. С собственниками, пожалуй, еще сложнее. Они живут по принципу «Мы нанимаем людей, чтобы они говорили, что делать нам». Но при этом они забывают первую часть фразы Стива Джобса «Нет смысла нанимать толковых людей, а затем указывать, что им делать».
Собственник не должен быть экспертом по информационной безопасности. Главное, что ему нужно - это правильно представлять себе важность и ответственность данного направления.
Из "Стандарта Банка России..."
5.9.... Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
И, наверное, поэтому возникает устойчивое послевкусие любых переговоров – убеждение, что Украина лет на 10 отстала от ближайшей соседки – России. Обидно и злит. Но это так. Понятие информационной безопасности в Украине понимают единицы. В то время как в России любой ментообразный руководитель службы безопасности четко понимает, что без специалистов в информационной безопасности он уже не сможет квалифицированно и самое главное эффективно выполнять свою работу: защищать бизнес от угроз. Я говорю с уважением «ментооборазный» для России и с уничижением для Украины. Это люди разного мировоззрения. Хотя и имеют за плечами огромный опыт государственной службы, но одни уже ощутили прелести работы системы управления информационной безопасностью (СУИБ), а другие даже не слышали о том, что эта СУИБ существует и предполагает какую-то методологию, т.н. лучшие мировые практики. О лучших мировых практиках по информационным технологиям слышали все. Только не все представляют в скольки томах и на скольки страницах эти практики существуют. Где-то это все уже проходили. Конечно, даже бухучет двух одинаковых районных налоговых администраций отличается в корне, (хотя, казалось бы, как такое может быть в принципе при четко-расписанной регламентации этого самого учета), – как отличается один человек от другого. У каждого свои взгляды на жизнь. Своя реакция в одинаковых обстоятельствах. Мы все разные. И поэтому по-разному понимаем одни и те же строки ГОСТов и ИСО. Совсем недавно один из директоров по информационным технологиям с удивлением узнал от меня, что оказывается ГОСТы на документацию по информационным технологиям (комплекс стандартов на автоматизированную систему) существовали еще до провозглашения Независимости Украины. Но при всеобщей неграмотности руководителей такого уровня радует, что и в Украине есть профессионалы своего дела. Например, тот же перевод основополагающего стандарта по информационной безопасности ISO 27001 в Украине имеет статус официального, а в России – нет. Но только что это значит? То, что специалисты информационной безопасности в России учились по оригиналу, на английском языке, а у нас в Украине еще только пытаются учится. Вообще, меня всегда возмущало, что официальный перевод таких важных для государства документов как стандарты осуществляется за деньги. Мне кажется, если мы хотим жить в стране, где не только написаны Законы такие как Закон Украины «О информации» и Закон Украины «О защите персональных данных», но они и работают, чтобы каждый человек мог быть уверенным в своей «персональной» безопасности, то стандарты по информационной безопасности необходимо просто раздавать на каждом перекрестке за счет государства.
Информация представляет собой ценный деловой актив организации, и, следовательно, должна быть именно надлежащим образом защищена.
Десятилетиями для сферы информационных технологий были характерны методики, основанные на молчаливом признании того, что системы и сети изначально уязвимы, что защита требуется в связи с ростом количества подключаемых устройств, а не в связи с уязвимостями архитектуры самих устройств. Современные инциденты, связанные с несанкционированным проникновением в системы, а также публично признанные случаи компрометации данных являются слабым напоминанием: несмотря на огромные инвестиции, традиционные модели обеспечения информационной безопасности сегодня уже не работают. Что будет после нового витка таких технологий, как появление нанокомпьютеров? Все традиционные меры по обеспечению безопасности станут абсолютно детскими по сравнению с новыми вычислениями, т.к. основаны на построении любой сложности периметра информационной инфраструктуры. И эта концепция имеет тенденцию успокаивающей иллюзии: как сказал совсем недавно один ИТ-директор «на сегодня мы не знаем, что делать с концепцией «принеси свое устройство на работу - bring your own device», поэтому – внимание! – мы от нее откажемся в середине следующего года». Т.е. никого не тревожит, что на сегодня их информационная система недостаточно защищенная: начиная со способности вирусных программ и «червей» легко преодолевать воображаемые границы и заканчивая постоянными предупреждениями о том, что инсайдеры представляют собой значительную угрозу. На эти предупреждения не обращают внимания, поскольку создается ложное впечатление безопасности корпоративных и частных сетей. Из-за концентрации внимания на обеспечении сильной защиты по периметру сами внутренние системы остаются неконтролируемыми и потому недостаточно защищенными. Ведь признаемся, что в Украине только единицы осознали необходимость внедрения DLP-систем и систем интеллектуального мониторинга активности сетей. Широкое внедрение устройств, использующих мобильные и «облачные» технологии, удешевление широкополосного доступа в Интернет и расширение доступа к корпоративным ресурсам благодаря развитию социальных сетей навсегда уничтожили даже саму иллюзию защищаемого периметра. Все больше данных хранится и обрабатывается за пределами внутренней сети, и все большее количество неизвестных к ним имеют доступ. Самое смешное в том, что большинство компаний даже не прописывают в своих правилах работы в своей внутренней сети, что каждый пользователь должен руководствоваться хотя бы принципами здравого смысла и не использовать внешние ресурсы для хранения коммерческой информации компании. Я уж не говорю об отличии понятий конфиденциальной и коммерческой информации.
Размытость периметра существенно повысила подверженность бизнес-структур рискам информационной безопасности. И если добавить сюда осознание возможности обеспечения соответствия международным стандартам информационной безопасности, то мы увидим, что текущий год – это год, когда вопросы информационной безопасности должны стать не только зоной ответственности специалистов ИБ, но и предметом заботы руководства компаний.
Итак, иллюзии:
1. Иллюзия №1 во всем мире: информационная безопасность = компьютерной безопасности. Исторически понятие "информационная безопасность" возникло как расширение компьютерной безопасности. По-прежнему для большинства сотрудников эти два термина равнозначны. Для современного собственника отождествление информационной безопасности с компьютерной безопасностью - ошибка, чреватая серьезными убытками. Все виды информации, на всех видах носителей должны защищаться в соответствии с едиными правилами.
2. Информационную безопасность можно построить за счет бесплатных программных продуктов. Но все забывают, что коммерческие продукты обычно имеют службу поддержки и с которых можно спросить за явные баги программы. А бесплатные программы, может, и хороши, но где же искать ответчика, да и сколько для этого нужно потратить сил и времени?
3. Оплачивать консалтинг по информационной безопасности не нужно. Мы сами разберемся. Но как показывает практика специалисты заказчика не должны тратить время на самостоятельное изучение руководств пользователя. Для бизнеса выгоднее, чтобы их основная задача была именно «ставить грамотные задачи» поставщику решения, который сэкономит, в конечном счете, и вложенные финансы и предложит наиболее экономически выгодное решение.
4. Обучать своих сотрудников современным технологиям не нужно. Мы платим им достаточно денег для того, чтобы они сами были подкованы. Возможно. А возможно, вы теряете время и деньги за счет того, что решения, которые вам предлагают ваши самоучки не охватывают современные тенденции и узко специальны в отличие от того, как, если бы к решению задач подходил сертифицированный профессионал, которого специально обучили по мировым стандартам и лучшим практикам.
5. Информационная безопасность - это только борьба с преступниками. Внешними и внутренними. На самом деле грамотно построенная система управления информационной безопасности (СУИБ) решает гораздо более обширный круг задач и в том числе таких, как природные явления (наводнение, пожар) или же техногенные катастрофы (отключение электроэнергии). В одной организации главный энергетик путал понятия заземление и зануление из-за чего постоянно горело оборудование в период весенних гроз и именно сотрудники информационной безопасности убедили собственников компании выделить ресурсы на предотвращение инцидентов. Кроме этого стандартные для ИТ виды обеспечения долговременной сохранности целостных и аутентичных информации и документов зачастую вообще отсутствуют в планах восстановления деятельности организации в случае непредвиденных обстоятельств. Что уж говорить о защите юридических, имущественных и иных прав организации, ее сотрудников и клиентов путем соблюдения правил документооборота? Невольно вспоминается защита персональной информации и как в каждой второй компании решили этот вопрос: создали мертворожденное положение и назначили ответственных за неизвестные базы данных, но при этом реальных механизмов защиты не описали. Почему-то забывается, что наиболее ценная и важная информация хранится в головах сотрудников. Как говорят американцы, руководитель организации всегда должен помнить, что 65% информации ежедневно вечером покидает офис фирмы и может утром не вернуться, - или, хуже того, перебежать к конкурентам. О защите этого ресурса обычно не задумываются - до тех пор, пока не уволится ключевой сотрудник. Нередки увольнения в один день и истошный вопль в сторону информационной безопасности «обеспечьте предотвращение утечки конфиденциальной информации»! Если сотрудника уволили, как служба информационной безопасности может осуществить предотвращение утечки информации? Событие уже произошло. К нему нужно было подготовиться и предпринять ряд профилактических мер. Поговорить с увольняемым и напомнить об ответственности за разглашение документов, которые он подписывал при приеме на работу. Формально ответственность за этот ресурс не несет никто, но в первую очередь его защищенность зависит от действий ТОП-менеджмента компании и, в первую очередь, кадровой службы.
Уязвимость любой системы оценивается по наиболее слабому звену. Накопленный опыт недвусмысленно показал, что ключевая проблема в обеспечении безопасности - проблема кадровая.
Статистика свидетельствует о том, что большинство удачных атак либо идут изнутри организации, либо при содействии кого-то из сотрудников. При помощи одних только технических и программных средств надежную защиту обеспечить очень трудно, тем более, что сейчас в распоряжении злоумышленника может находиться арсенал средств, продаваемых в магазинах по вполне умеренным ценам, которому лет двадцать-тридцать назад позавидовали бы ведущие разведки мира, а на каждую новинку в области защиты быстро находится "противоядие".
Из "Стандарта Банка России..."
5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник, скорее, да, чем нет, может иметь сообщника(ов) внутри организации.
Для "взлома" систем использовались не столько недостатки оборудования и программного обеспечения, сколько отсутствие должной дисциплины и контроля на рабочих местах. Большинство преступлений было совершено ради наживы, но в четверти случаев основным мотивом была месть - как правило, за увольнение.
Сотрудники должны знать, что все их действия контролируются. По данным того же исследования, значительная часть преступников не подозревала о существовании в организации системы контроля, и многие из них в своих интервью говорили, что не стали бы нарушать закон, если бы знали, что их могут поймать. Необходимо обучение и регулярная переподготовка кадров как по основной деятельности, так и по вопросам информационных технологий, делопроизводства и безопасности.
Главное, что для себя должен решить собственник, - нужно ли вообще что-то делать для обеспечения информационной безопасности компании, и если да, то нужно ли для этого создавать отдельную службу. Собственник должен помнить, что если он считает эту работу важной и необходимой, он должен обеспечить ей постоянную поддержку и регулярное выделение ресурсов. Без поддержки со стороны ТОП-менеджмента компании успеха добиться невозможно.
Итак, что же стоит помнить:
1. Важно использовать сканеры вирусов, устанавливаемые на персональных компьютерах, серверах, прокси-серверах и шлюзах и обеспечивающие защиту от многих известных вирусов. Хотя практика показывает, что кол-во вирусов растет гораздо быстрее, чем антивирусные компании успевают пополнять базы известных сигнатур.
2. Сетевые экраны, инспектирующие сетевые пакеты на основе списков контроля доступа (access control list, ACL) позволяют осуществлять простую фильтрацию пакетов на основе номеров портов или IP-адресов. Сетевые экраны и IPS производят глубокое зондирование сетевых пакетов, устраняя известные угрозы. С учетом предсказываемого увеличения скорости передачи данных в Internet с 10 Гбит/с до терабит в секунду и взрывного роста электронной коммерции, эксперты в области безопасности должны произвести переоценку текущих решений — от шифрования до доверительных связей.
3. Совершенная безопасность стоит больших денег, и люди не желают их платить, поэтому они рискуют безопасностью систем реального мира в надежде на то, что злоумышленники побоятся нарушить имеющуюся несовершенную защиту в виду неизбежного наказания. В области компьютерной безопасности собственники также не готовы платить деньги за дорогие решения, пока не произойдет какое-либо чрезвычайное событие. Важное отличие состоит в том, что в случае нарушения компьютерной безопасности очень трудно найти злоумышленника и, тем более, наказать его.
4. системы компьютерной безопасности являются сложными программными системами, совершенство которых практически недостижимо.
5. политика доступа должна быть расширена точным описанием конфиденциальной информации и перечнем должным образом авторизованных пользователей.
6. несмотря на многочисленные исследования в области повышения точности распознавания червей и анализа трафика в реальном времени, практические решения остаются иллюзорными.
7. «Следуйте проверенной стратегии», «Минимизируйте персонализацию», «Цените своих квалифицированных пользователей».
8. Главная проблема информационной безопасности, по мнению знаменитого Митника, в пресловутом человеческом факторе, говоря о котором, все как-то сразу забывают, что люди — это еще и главный ресурс государств и корпораций. Он приводит смелую статистику, утверждая, что «если бы люди просто перезванивали по указанному хакером телефону, это решило бы проблему безопасности на 80%». В деле безопасности, по мнению Митника, доверять нельзя никому: «Верить можно только Богу. Все остальные — под подозрением».
Перейти к Оглавлению
