Бойся работника

Большинство утечек информации на промпредприятиях происходит по злому умыслу. Наиболее опасны с этой точки зрения инсайдеры. Минимизация рисков зависит от грамотного комбинирования программных и организационных методов защиты.

В конце октября компания EY опубликовала итоги 16-го ежегодного глобального исследования по информационной безопасности (ИБ), в ходе которого опрошено более 1,9 тыс. руководителей бизнес-структур, работающих по всему миру. По данным исследования, 93% компаний сохраняют значительный объём инвестиций в средства безопасности и наращивают его, при этом 83% не удовлетворены работой внутренних служб. Главный вывод: несмотря на серьёзные вложения, организации всё чаще сталкиваются с пробелами в системах безопасности, и сегодня вопрос уже не в том, попадёт компания под прицел хакеров или нет, а в том — когда это произойдет.

Специалисты EY указывают, что вопросы безопасности всё чаще оказываются в центре внимания топ-менеджмента. Если в ходе прошлогоднего опроса не было выявлено ни одной компании, в которой ИБ-служба докладывала бы о своей работе высшему руководству, то в 2013 году таких организаций оказалось 35%. Одновременно растёт обеспокоенность относительно недооценки масштаба проблемы со стороны высшего руководства (её высказали 31% респондентов против 20% в 2012-м).

И ещё несколько важных моментов: 65% респондентов называют главной проблемой в сфере ИБ дефицит бюджета, а 50% — дефицит квалифицированных кадров.

"Компаниям следует работать на предупреждение, при этом инициатива должна исходить сверху, — указывает в заключение руководитель международного центра EY по управлению ИТ-рисками Пол Ван Кессел. — Необходимо уделять повышенное внимание информированию персонала и выделять больше денёжных средств и других ресурсов на внедрение инновационных решений в сфере безопасности".

Совет очевидный. Чтобы понять, готовы ли ему следовать уральские предприятия, журнал и аналитический центр "Эксперт-Урал" в партнёрстве с крупнейшей ИТ-компанией Урала "СКБ Контур" организовал круглый стол "Информационная безопасность: внутренние угрозы и решения".

Несколько предваряющих замечаний. Во-первых, мы пытались сделать ставку на приглашение ИТ-директоров предприятий, а не представителей ИТ-компаний. Точка зрения последних описана не раз, теперь хотелось бы услышать мнение их клиентов. Во-вторых, для нас наибольший интерес представляют промышленники — их вклад в экономику региона наиболее существен. В-третьих, мы решили сосредоточиться на внутренних угрозах: представители ИТ-компаний и топ-менеджмент производственных предприятий указывают, что именно здесь сегодня заключена наибольшая опасность. Если огрубить, речь идет о сотрудниках, злонамеренные или неумышленные действия которых приводят к утечкам информации.

— Основная точка уязвимости информационной безопасности любой организации — низкая квалификация пользователей и системных администраторов, — уверен генеральный директор компании "ЛАНИТ-Урал" Александр Кондаков. — Сотрудники используют служебные компьютеры для личных целей, могут выносить флешки с территории предприятия. До сих пор на некоторых рабочих местах можно увидеть стикер с паролем, приклеенный к монитору. Отсутствие стандартов и правил защиты информации и безответственное отношение специалистов предприятия к коммерческой информации может привести к её утечке и создать дополнительные риски для репутации и коммерческой тайны организации.

С такой оценкой согласны и аналитики: по данным исследовательской компании Forrester, внешние атаки составляют лишь около четверти от общего числа инцидентов.

Кража на продажу

— Уважаемые участники круглого стола, прежде всего хотелось бы узнать, а есть ли у вас что красть? Как вы определяете ценность той или иной информации? И есть ли методы устранения последствия утечек?

Заместитель начальника отдела ИТ по безопасности машиностроительного завода им. Калинина (ЗИК) Николай Каин:

— Преступники, как правило, крадут ту информацию, которую можно продать. Мы решили провести опыт: зашли на один из форумов и спросили, кто хочет купить информацию о ЗИКе и почем? Вы не поверите, какой был ответ: "Нас ничего не интересует". Вероятно, в области технологий всё, что можно было украсть, уже украдено и продано.

Тем не менее работы по ИБ мы не свернули. Наш подход был основан на следующем постулате: преступникам прежде всего интересны коммерческие данные (отчёты, выводы аудиторов, потребление энергии, объёмы выбросов и т.д.) и люди, имеющие доступ к неким целостным кускам информации: это топ-менеджеры и те, кто работает с разного рода тайнами.

По нашему опыту, 99% воров информации договариваются о сделке в соцсетях — "Одноклассниках", "Вконтакте", Твиттере. Все эти ресурсы легко сканируемы и взламываемы.

Директор регионального центра "АСКОН-Урал" Елена Каблова:

— Инженерные данные являются ключевым интеллектуальным активом любого промпредприятия. В особенности это касается ОПК. Ценность конструкторской и технологической документации для заводов сравнима с ценностью информации о клиентах и транзакциях для банка.

Сегодня большинство предприятий разрабатывают изделия в 3D и ведут составы изделий в CAD- и PDM-системах (системы проектирования и управления данными). Какие риски существуют при этом с точки зрения утечек? Неизвестный исходный код в программном обеспечении. А точнее, недекларированные возможности несанкционированного доступа к информации (если говорить грубо — есть риск, что производители ПО в интересах СГА или ЕС украдут конструкторскую информацию. — Ред.).

— А каково соотношение злонамеренных и случайных утечек?

Региональный представитель ГК InfoWatch на территории УрФО Игорь Фридман:

— По нашим данным, в 2012 году около 77% утечек в России были злонамеренными (в мире — 46%). В большинстве случаев речь идет о краже персональных данных. Вероятно, это связано с тем, что именно персональные данные обладают самой высокой ликвидностью. Наибольшая угроза исходит от сотрудников, особенно вновь нанятых.

В то же время подавляющее большинство предприятий не знает, что у них крадут информацию, и совсем печальная статистика по доведению подобных инцидентов до суда. Как правило, организация не может предоставить юридически значимое доказательство кражи даже при условии фиксации какими-то средствами утечки информации.

Не дай мне повод

— И каковы эти средства?

Игорь Фридман: Один из наиболее эффективных программных инструментов предотвращения утечек и защиты от инсайдеров — DLP-система (Data Leak Prevention, пресечение утечек; её компоненты контролируют движение всей корпоративной информации. — Ред.). Естественно, это не панацея. 99% компаний используют DLP для мониторинга, а не для блокирования информации. Тем не менее это решение позволяет ответить на вопросы "кто? куда? кому?". Следующее логическое звено — "зачем?". Поняв это, можно выработать комплекс мер по предотвращению утечек на предприятии.

Технические средства защиты информации в отрыве от организационных никогда не будут работать достаточно эффективно. Помимо внедрения DLP-систем необходимо доводить до сведения сотрудников принципы политики ИБ, и предупреждать об ответственности за их нарушение.

Далеко не все предприятия готовы ответить на вопрос, что делать с инцидентами. Если этого понимания нет, то внедрять DLP не надо.

Коммерческий директор компании "Корус АКС" Евгений Варывдин:

— DLP — хоть и очень мощный, но только один из инструментов, позволяющих защититься от внутренних угроз, сам по себе он тоже не панацея. Непродуманность организационных мер может нивелировать использование даже очень хорошо настроенной системы DLP.

Зачастую мы сталкиваемся с тем, что сотрудники предприятий негативно воспринимают внедрение DLP. В их умах силён стереотип: таким способом работодатель контролирует личную жизнь подчинённых. Но на самом деле эта система призвана контролировать информацию, а не работника, и её цель состоит в том, чтобы конфиденциальные данные не покинули защищаемый периметр организации. Да и по-хорошему анализ почты и ICQ на корпоративном компьютере не должен восприниматься как вмешательство в личную жизнь.

Замруководителя Центра компетенции информационной безопасности компании "АйТи" Аркадий Прокудин:

— Основная проблема при внедрении ИБ-решений — это непонимание рядовыми сотрудниками того, зачем им усложняют работу и жизнь. Решение — грамотная работа руководства с персоналом. Хорошим тоном считается организация встреч с подчинёнными и объяснение, зачем компания пошла на те или иные меры. В таком случае персонал понимает, что компания защищается не от него, а обороняется вместе с ним.

Директор департамента инновационных проектов и кооперации НПО автоматики им. Семихатова Никита Плотников:

— О какой личной переписке с рабочих машин мы можем вести речь? Сотрудник предприятия в рабочее время должен работать. Альтернатива проста: либо мы заботимся о каждом сотруднике, боясь его обидеть, либо делаем единое дело. Для нас выбор очевиден.

Игорь Фридман: DLP-система призвана контролировать информацию, а не сотрудника, и её цель состоит в том, чтобы конфиденциальные данные не покинули корпоративную сеть организации.

Начальник управления ИТ корпорации "ВСМПО-Ависма" Павел Ковальногов:

— Я не считаю просмотр переписки сотрудника чем-то аморальным. Тем более что контролировать всех поголовно не нужно. Есть очевидные группы риска, например сотрудники коммерческих подразделений. Мы рассматриваем варианты внедрения DLP-системы, но пока структурной работы в этом направлении не ведём.

— Получается, работа по повышению грамотности в области информбезопасности, какие-либо инструктажи при внедрении новых систем не являются распространенной практикой?

Николай Каин: Конечно, у нас есть пакет документов по работе в корпоративной сети. Но 99% людей их подписывает, не читая (особенно если инструкия больше двух страниц).

Ситуация та же, что и с пользователькими соглашениями Google или Apple. Люди думают: "Я же уже видел этот документ пять минут (день, месяц, год) назад, зачем его снова читать?" Чтобы эффективно контролировать этот процесс, нам пришлось бы создать ещё одно подразделение.

Никита Плотников: У нас каждый человек при поступлении на работу проходит ряд инструктажей, также с персоналом ежегодно проводится работа в области повышения знаний компьютерной безопасности. Абсолютно все, и рядовые сотрудники, и топ-менеджеры, знают регламенты обращения с флешками и компьютерами. За конкретным человеком закреплена конкретная машина, если произойдет сброс информации, сразу можно отследить, кто за него ответствен.

— А если говорить о системах защищённой аутентификации, насколько высока их эффективность?

Руководитель направления развития сервисов электронной подписи компании "Аладдин Р.Д." Максим Чирков:

— Если мы говорим о банальном логине и пароле — эффективность невысока (тем более они иногда хранятся под клавиатурой). Следующий уровень защиты — это смарт-карты и токены. Первые могут интегрироваться с RFID-метками (тогда можно контролировать, вошел сотрудник в здание или нет) или банковским пластиком (таким образом, мы снижаем риск передачи карты другому лицу до минимума). Особое внимание необходимо обратить на поддержание жизненного цикла аутентификации. Наиболее эффективно использовать систему централизованного управления, которая позволяет мониторить, что происходит у пользователя, и оперативно реагировать на ситуации (например, дистанционно сменить пин-код заблокированного токена).

Николай Каин: Идея со смарт-картами кажется крайне привлекательной. Она позволяет, например, контролировать использование станков с ЧПУ. Если работник вдруг захочет похалтурить на свободном оборудовании, мы это заметим.

Не всё в кучу

— Давайте повернём осбуждение в другую сторону. Аутентификация, DLP-системы и другие средства в теории хороши. Но где тот самый уровень целесообразности защиты?

Николай Каин: Принципиальный момент — соотношение цены и качества. Вложения в системы должны быть соизмеримы со стоимостью информации. Если мы начнём защищать компьютер человека, ответственного за покупку халатов, теми же методами, что применяем в конструкторском бюро НПО автоматики, нас ждёт разорение.

Игорь Фридман: Обычно у заказчика понимание, какие объекты нужно защищать, появляется во время реализации пилотного проекта.

Павел Ковальногов: Пытаясь защитить всё и вся, можно дойти до маразма и не получить никаких бенефитов и эффектов. Для каждого предприятия уровень защиты должен быть своим. Он зависит от ценности информации, её объёма, размера самого предприятия и многих других показателей.

Евгений Варывдин: Ещё одна проблема нахождения баланса лежит в плоскости взаимоотношений подразделений ИТ и безопасности. Стремление первых обеспечить максимально простой доступ сотрудников к необходимым информсервисам может вступать в противоречие с требованиями ИБ к методам аутентификации.

— Какая тенденция станет основополагающей на рынке ИБ в ближайшей перспективе?

Максим Чирков: Основной упор все разработчики средств защиты делают на мобильные платформы. Пока эффективных инструментов не найдено. Недавно был прецедент, когда злоумышленники перехватили сессию руководителя и подписали за него важный документ. Хотя всё было защищено по ГОСТу.

Павел Ковальногов: Список сервисов, которые руководство требует получать с мобильных устройств, год от года растёт. Естественно, это создаёт определённую дыру в безопасности. Отказаться от использования телефонов и планшетов невозможно. Генеральные директора — стратеги, люди, которые постоянно двигаются, и им нужно, чтобы информация была под рукой.