Rambler's Top100
Статьи ИКС № 8 2006
Алексей ЛУКАЦКИЙ  01 августа 2006

Безопасность по вертикали

Но ситуация меняется, многие уже изучают, что же творится по «ту сторону баррикад». Поэтому так популярны стали в последнее время тренинги типа Ethical Hacking, книги по взлому и т.п. Впрочем, тенденция, едва начавшись, успела устареть: сегодня «знать мысли» потенциального противника недостаточно. Надо еще понимать, ч т о ты защищаешь и охраняешь, привязывая все СЗИ к стратегии развития организации. А так как в разных отраслях стратегии ведения бизнеса различаются кардинально, то и СИБ в них будут разными, даже на уровне технических средств. Посмотрим на вертикальные рынки в свете предложений поставщиков решений по ИБ.

Госструктуры

Начнем с государственных организаций, коих в России огромное количество, умножающееся с каждым новым этапом административной реформы. Рост организаций приводит к проблемам в развитии их ИС и, естественно, к слабости в плане ИБ. Важность второй проблемы неоднократно отмечали и министр ИТ и связи Л.Д. Рейман, и его заместитель Д.А. Милованцев, указывая на крайне низкий уровень обеспечения ИБ.

Выделим основные кате гории СЗИ для госорганизаций:
  1. Средства защиты БД (встроенные и дополнительные, сетевые и установленные на самих узлах с БД). Несмотря на высший приоритет данной задачи и постоянные утечки информации, в отечественных органах госвласти такие системы почти не используются. Да и на российском рынке решения по «прочной» защите БД практически не представлены.
  2. Средства построения VPN, позволяющие объединить разрозненные автоматизированные системы. Хотя данный сегмент отечественного рынка ИБ достаточно развит, до решения проблемы очень далеко. Отечественные шифраторы активно используются внутри российских госструктур, но заставить их работать в единой системе нереально, так как «государевы» разработчики пока не могут договориться между собой о совместимости своих решений.
  3. Инфраструктура открытых ключей (PKI) – одно из наиболее развитых направлений благодаря присутствию на рынке русифицированных иностранных решений (например, RSA Keon, купленного компанией EMC), а также наличию законодательной базы (которая, впрочем, еще развивается).
  4. Системы электронной цифровой подписи, позволяющие эффективно использовать электронный документооборот и обеспечивать легитимность документов в цифровой форме. С ними дела обстоят почти благополучно.
  5. Средства защиты интернет-приложений, эффективно отражающие атаки на различные веб-сервисы (XML, SOAP и т.п.). Их на российском рынке практически нет, и так называемые application firewall мало кто продвигает. Основное внимание «продавцов» фокусируется на традиционных межсетевых экранах, которые, к сожалению, уже не справляются с современными атаками на прикладном уровне.
Важно: все устанавливаемые в госорганизациях СЗИ обязательно должны иметь сертификат ФСТЭК или ФСБ.

Финансы

В этой области приоритеты совершенно иные. Здесь главное – соответствие различным нормативным требованиям, забота о клиенте, снижение издержек и, конечно же, увеличение доходов. Причем первый пункт очень важен, так как финансовые организации вынуждены следовать большому числу различных требований, как международных (в частности, «Базель II»), так и локальных (например, соблюдение банковской тайны или стандарт Банка России по ИБ). Поэтому для банков-ской отрасли актуально применение средств проверки соответствия (compliance), которым эксперты прочат большое будущее. Такие системы есть не только на Западе, но и в России – например, решения питер-ской компании Digital Security (семейство Digital Office). Кроме того, банкам необходимы средства, способные проверять, как реализуются требования. А значит, в ближайшее время понадобятся системы защиты БД, хранящих всю информацию о клиентах и их сделках, системы управления рисками и т.д.

Современный банк, чтобы охватить как можно больше клиентов из разных слоев населения, старается использовать различные каналы продаж своих финансовых продуктов – отделения, центры обслуживания вызовов, банкоматы, киоски самообслуживания, мобильные агенты, интернет-банкинг и т.д. Именно это «лицо» банка следует защищать от несанкционированных воздействий. Но понимают ли это производители СЗИ? И часто ли об этом думают службы безопасности банков? Ведь внедрение системы интерактивных голосовых меню в центре обработки вызовов позволяет не только клиенту дистанционно получать информацию о состоянии своего счета, но и злоумышленникам выполнять те же операции .

Вот одна лишь насущная задача – защита клиента интернет-банка. Если со стороны самого банка все более-менее решено: межсетевые экраны, системы предотвращения атак, антивирусы и т.п., то про клиента этого не скажешь. Допустим, во время командировки вам понадобилось срочно перевести деньги с текущего счета на кредитную карту. Возможность только одна – из интернет-кафе с недоверенной машины, на которой могут быть установлены вредоносные программы, ворующие конфиденциальную информацию (пароли доступа и т.д.). Для этого (в мире) существует специальное ПО, загружаемое на компьютер пользователя при обращении к интернет-банку. С помощью технологии Java или ActiveX (через браузер) запускается апплет, реализующий все функции защиты. К сожалению, в России многие банки перекладывают ответственность и финансовые затраты на клиентов.

Страховые компании

В страховой индустрии, хотя ее часто относят к рынку финансовых услуг, немного другие задачи, а значит, и приоритеты в области безопасности. Здесь головная боль менеджеров по персоналу – текучесть кадров. С точки зрения безопасности это сигнал к тому, что надо очень серьезно задуматься о предотвращении утечки информации: чтобы увольняющийся сотрудник не унес с собой базу клиентов, где хранятся истории контактов, приобретенные страховые продукты и др. Для решения этой задачи существует целый набор средств защиты: БД контроля доступа к портам и периферийным устройствам, а также мониторинга электронной почты и веб-трафика с целью контроля утечки информации.

Другая актуальная задача – безопасность мобильных сотрудников, которые в поездах используют КПК или смартфоны, подключаясь к центральной БД через Интернет. И выход из положения – не только VPN. Следует обеспечить защиту мобильных устройств, т.е. установить на них антивирусное ПО, средства шифрования и специальные защитные агенты, которые будут авторизовывать пользователя, разграничивать доступ к БД и др. В будущемэти средства могут быть объединены, а возможно, даже интегрированы непосредственно в мобильный терминал. Но пока в арсенале российских страховщиков в лучшем случае лишь VPN.

Операторы связи

Многие компании-производители СЗИ пытаются предлагать свои корпоративные решения по безопасности операторам связи, однако для последних они, по большому счету, неактуальны (если не считать защиту собственной корпоративной сети). Самая большая головная боль оператора – потеря контроля над сетью: это ведет к невозможности правильной тарификации услуг и потере денег. А значит, надо сконцентрироваться на следующих вопросах:

Контроль поведения абонентов. Здесь помогут специальные инструменты, которые «понимают», как работает большинство приложений и протоколов (не только на сетевом уровне!). Такие системы на основании заранее созданной политики контролируют действия абонентов вплоть до их полного блокирования в случае обнаружения нарушений.

Обеспечение доступности ядра сети. Эту задачу решают специальные механизмы обнаружения и отражения DoS-атак. Такие СЗИ представлены на рынке в виде как интегрированных в сетевое оборудование, так и отдельных устройств.

Доставка клиентам «чистого» контента. Для этого нужно использовать не только антивирусное ПО, но и системы предотвращения атак и системы контроля содержимого. Последние анализируют и блокируют любой вредоносный контент – от вирусов и шпионского ПО до спама и нелицензионного ПО.

Защита биллинга. Решение этой проблемы предусматривает реализацию на сети двух технологий – защиты БД и прикладного шлюза безопасности, который отражает попытки несанкционированного доступа к приложениям, являющимся «лицом» биллинговой системы.

Традиционные решения по безопасности: межсетевые экраны, средства построения VPN, системы предотвращения атак и т.д. – нужны, но только тогда, когда оператор предлагает услуги по аутсорсингу безопасности (Managed Security Services). В остальных случаях традиционные решения малоэффективны.

ТЭК и промышленность

Основными ИТ-инструментами организации и оптимизации бизнеса в топливно-энергетической отрасли и промышленностиявляются системы управления предприятием (ERP), управления цепочками поставок (SCM) и управления технологическим производством (АСУ ТП или SCADA). И безопасность должна фокусироваться именно на этих трех китах промышленности и ТЭК, а отнюдь не на классических межсетевых экранах, традиционных системах предотвращения атак, антивирусах и других широко рекламируемых средствах защиты.

Всего лишь десятиминутный простой SCM может нанести ущерб в миллионы долларов. А много ли на отечественном рынке сегодня представлено средств защиты указанных приложений? Их практически нет. Несмотря на огромный спрос, заметны усилия лишь двух грандов этого сегмента ИТ-рынка, SAP и Oracle, которые заботятся о безопасности своих решений. В их «свите» еще полсотни фирм, предлагающих продукты для защиты решений как SAP, так и Oracle. Вот, пожалуй, и весь выбор.

Торговые компании

У торговой компании, особенно с разветвленной сетью офисов продаж и складских помещений, проблемы другие. Здесь главная забота «безопасников» – люди. Надо, чтобы они занимались обслуживанием продаж, а не чтением анекдотов и просмотром сайтов для взрослых. Еще одна сложность: торговые площадки часто меняют арендуемые складские помещения, которые не всегда оснащены всем необходимым для эффективной логистики.

Первую задачу можно решить с помощью систем контроля действий сотрудников в Интернете (content filtering): они просматривают запросы пользователей к интернет-ресурсам и запрещают все, не соответствующие служебным полномочиям сотрудников. Разумеется, это не значит, что после внедрения такой системы люди начнут трудиться лучше и больше (нужны и другие методы работы с персоналом), но, по крайней мере, расходы на интернет-трафик снизятся, а вероятность проникновения во внутреннюю сеть вредоносных программ с зараженных сайтов (развлекательные – в первых рядах) снизится.

А чтобы свести разрозненные торговые площадки в единую сеть, надо построить VPN. Однако следует помнить, что российские и западные VPN суть разные вещи. У нас VPNустройством называют обычный IP-шифратор. У «них» механизмы шифрования трафика занимают в составе VPNсистемы не более 10–15% «содержательной части», остальное – механизмы приоритизации трафика, распределения конфигурации, функционирования в динамическом окружении, отказоустойчивости, интеграции с MPLS и т.д.

Теперь о проблеме, связанной с местом арендуемых площадей. В условиях, когда вас могут в любой момент попросить покинуть помещение, прокладывать собственную кабельную систему нецелесообразно. А значит, возникает необходимость применения беспроводных технологий – многие считают их слабо защищенными. На самом деле все не так плохо, как расписывают аналитики и СМИ. Уже сейчас рынок защищенного Wi-Fi достаточно зрелый и предлагает потребителю как интегрированные в беспроводное оборудование механизмы защиты, так и отдельные решения, повышающие защищенность уже построенной сети.

Медицинские учреждения

Рассмотрим последний пример «вертикальной» безопасности – из области будущего. Это медицина, которая на Западе давно уже обосновалась в авангарде применения ИТ, а у нас только-только начинает перемещаться из арьергарда ближе к центру.

Что актуально для медиков? В первую очередь беспроводные технологии, позволяющие определять местоположение пациента, вызывать медсестру, имеющую беспроводной IP-телефон, на который можно передавать информацию о пациенте и т.д. Инновационные возможности IP-телефонии велики: мониторинг пациентов, просмотр карты больного с экрана телефона, проверка наличия лекарств на складе и т.п. Но коль скоро мы используем радиосети, то должны обеспечить их безопасность, чтобы никто не мог ни перехватить информацию, ни нарушить доступность контролируемых и взаимодействующих медицинских устройств. И если пока у нашей медицины нет «продвинутых» ИТ-средств, то средства защиты имеются.

Другая задача – телемедицина, о которой сегодня много говорят и даже применяют на практике. В Концепции информационных технологий это направление выделено особо. Но телемедицина невозможна без учета требований ИБ. В противном случае мы не только придем к нарушению врачебной тайны, но и до угрозы жизни пациентов недалеко. «К счастью», в России эти технологии еще не развиты, как не развито и законодательство в области защиты медицинской информации и врачебной тайны (в отличие от того же HIPAA в США).

С одной стороны, это позволяет пока не задумываться о безопасности новых медицинских ИТ, а с другой – делает утечку врачебной тайны очень простой и практически никак не контролируемой. Например, страховые компании по роду своей деятельности собирают сведения о состоянии здоровья клиентов (для медицинской страховки), а вот ответственности за разглашение этой информации не несут…

***


Очевидно, что подход, пропагандируемый большинством производителей СЗИ («покупайте продукт – он вам поможет»), коренным образом отличается от того, что нужно потребителю. Представленные на рынке решения не только не учитывают специфику той или иной вертикальной отрасли, но и ориентированы в первую очередь на защиту LAN и распространенных операционных систем. До уровня приложений (ERP, SCM, VoIP, XML, SOAP и т.п.) практически никто «не поднимается».

С аналогичной проблемой сталкивается потребитель, который, имея классическое ИТ-образование, рассматривает информационную безопасность в отрыве от своей ИТинфраструктуры.

Современный же подход подразумевает, что во главу угла должны быть поставлены потребности бизнеса и его риски: это позволит сделать его более защищенным и прозрачным.

В Концепции использования ИТ в деятельности федеральных органов госвласти до 2010 г. выделены основные направления развития информатизации, которые невозможно реализовать без учета требований ИБ:
  • Формирование БД по основным направлениям деятельности федеральных органов госвласти.
  • Проекты интеграции государственных информационных ресурсов между собой в рамках внедрения электронных административных регламентов предоставления госуслуг.
  • Проекты внедрения автоматизированных ИС в сфере электронного документооборота.
  • Проекты создания и использования веб-сайтов для размещения информации о своей деятельности, а также для предоставления услуг и интерактивного информационного обслуживания граждан и организаций (в том числе для налогового декларирования).
  • Создание систем мониторинга (например, технического состояния коммунальных систем жизнеобеспечения) и прогнозирования (угроз техногенного и террористического характера и т.д.).
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!