• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Будни «дневных дозорных»

Внешние атаки современных безопасников не пугают, самая большая проблема сегодня – внутренние угрозы. И она, как считают эксперты «ИКС», еще долго не будет решена.

В  к а м е н н о м   в е к е  

«ИКС»: Какие организационные меры обеспечения информационной безопасности компании обычно забывают принять?

Андрей ПРОЗОРОВ, ведущий эксперт по информационной безопасности, InfoWatch: Несмотря на то, что организационные меры обычно недороги и достаточно эффективны, их часто недооценивают и не применяют. Вот топ-5 важных мер, которые обычно забывают принять: разработка и утверждение политики допустимого использования ресурсов (электронной почты, интернета, мобильных устройств, ноутбуков и пр.); первичный инструктаж по правилам обработки и защиты информации; повышение осведомленности пользователей по вопросам актуальных угроз и защиты информации; внедрение политики «чистых столов и экранов»; составление детализированного перечня информации ограниченного доступа, обрабатываемой в компании, и правил работы с ней.

Артур СКОК, ведущий специалист по внедрению систем защиты информации, «СКБ Контур»: Чаще всего слабым звеном в защите оказываются сами сотрудники. В некотором роде идеальным способом защиты является построение системы по принципу «всё, что не разрешено, – запрещено». То есть сотрудник должен иметь доступ только к тем информационным сервисам, которые ему требуются для выполнения должностных функций. Но в реальности это может сильно демотивировать персонал и снизить его производительность.

Александр ХРУСТАЛЕВ, директор департамента информационной безопасности, МГТС: Как правило, забывают именно про обучение персонала азам грамотности по части информационной безопасности. Мало ввести правила и проинформировать о них сотрудника, надо донести до него практическую необходимость соблюдения этих правил для защиты конфиденциальной информации и обозначить его персональную ответственность за их нарушение. В МГТС для сотрудников действуют обучающие курсы по инфобезопасности с последующим тестированием. Это позволило вдвое сократить риски утечек конфиденциальной информации.

Александр САНИН, коммерческий директор, «Аванпост»: Выстроенную и функционирующую систему периодического обучения персонала и повышения осведомленности в области информационной безопасности я за все время работы в ИБ (это больше 10 лет) встречал не более 10 раз. И в основном это были западные компании, действующие и в России.

Рустэм ХАЙРЕТДИНОВ, исполнительный директор, Appercut Security: По организационным мерам российские компании находятся в «каменном веке», чаще всего единственный «инструктаж» – подписание пары страниц текста при приеме на работу. Поскольку борьбой с утечками занимается служба ИБ, которая не имеет административных ресурсов для воздействия на персонал, исповедуется «технический» подход – установка на компьютеры или шлюзы агентов, собирающих данные о перемещении информации, и их постанализ.

Дмитрий БАРАБАШ, руководитель отдела защиты данных, T-Systems CIS: Сегодня многие российские компании уже используют меры повышения осведомленности персонала. Для тех, кто этого еще не делает, можно предложить градацию по степени доступности: информационные рассылки по почте, публикация тематических новостей на интранет-портале, размещение постеров и памяток в переговорных и около общих принтеров, очные тренинги силами специалистов информационной безопасности. По опыту нашей компании, КПД этих мер достаточно высокий.

Александр БОДРИК, ведущий консультант Центра информационной безопасности, R-Style: Как правило, основная проблема при обеспечении инфобезопасности в компаниях – недостаточная поддержка со стороны администрации. Это не позволяет реализовать наиболее эффективные меры, такие, как регулярная аттестация и проверка знаний сотрудников по вопросам ИБ, создание горячих линий, интеграция показателей нарушений правил информационной безопасности с финансовой мотивацией сотрудников. Без них классические меры – внедрение режима коммерческой тайны, обучение персонала, интеграция обязанностей по соблюдению правил ИБ в должностные обязанности сотрудников – недостаточно эффективны.

У ч и т ь с я   и   у ч и т ь с  я

«ИКС»: Какие плюсы и минусы существующей системы подготовки специалистов по информационной безопасности вы бы отметили?

Игорь КОРЧАГИН, руководитель группы обеспечения безопасности информации, ИВК: Один из наиболее заметных и важных минусов существующей системы подготовки в вузах специалистов по инфобезопасности – крен самой программы обучения в теоретические основы и недостаток практических знаний по техническим и организационным методам защиты информации. В особенности это заметно при оценке знаний молодых специалистов по совершенно новым методам защиты информации, а также по актуальным требованиям законодательства в области ИБ.

Аркадий ПРОКУДИН, заместитель руководителя Центра компетенции информационной безопасности, «АйТи»: Обучать работе с конкретными средствами защиты не имеет смысла. Основной плюс российской системы образования безопасников заключается в том, что учат не конкретике, а принципам построения систем. При изменениях в средствах защиты сами принципы не меняются.

А. ПРОЗОРОВ: К плюсам можно отнести то, что на рынке услуг обучения инфобезопасности довольно много курсов и учебных центров. Минусов, впрочем, тоже немало. В первую очередь, это качество образования: программы четырех- и шестилетнего высшего образования часто устаревшие и неактуальные, краткосрочные программы обучения также неоптимальны, а цены на них весьма высокие. При этом краткосрочных программ стало слишком много, сложно выбрать действительно стоящие. Уровень подготовки преподавательского состава – еще одно слабое место, поскольку часто преподаватели не имеют практического опыта.

Вячеслав МЕДВЕДЕВ, старший аналитик, DrWeb: Современная система обучения не направлена на формирование эрудированных и мыслящих специалистов.Очевидно, не хватает грамотных преподавателей и курсов, обучающих управлению совместно с бизнесом. Подразумевается, что хороший студент должен работать с третьего курса. Это приводит к непосещению лекций и неполучению возможных знаний. Вместо обучения студенты работают и сдают экзамены. Можно ли назвать специалистом человека, который только сдавал экзамены?

А. БОДРИК: Хорошее фундаментальное образование позволяет профилировать экспертов самых разных специализаций для сферы ИБ, вместе с этим фактическая готовность к работе после окончания вуза составляет порядка 10%. Без дополнительного обучения выпускники могут выполнять только простые рутинные задачи, такие, как обработка заявок на доступ, поддержка простых средств безопасности и выпуск сертификатов.

Сергей ИВАНОВ, руководитель офиса технологии защиты информации, «Первый БИТ»: Широко распространены два подхода к обучению специалистов по инфобезопасности. Первый – подготовка специалистов для работы по стандартам и требованиям ИБ, второй – знание инструментов защиты информации. У флагманов рынка, как производителей средств защиты информации, так и крупных интеграторов, есть авторизованные курсы и учебные центры. Таким образом, на российском рынке обладающий фундаментальными знаниями специалист всегда сможет повысить свою квалификацию. Подход же, сочетающий теорию и практику, вырабатывается «в полях».

Р. ХАЙРЕТДИНОВ: Когда речь идет о защите информации от внешних атак, то можно сказать, что современные безопасники готовы к современным вызовам. Методическая и техническая подготовка их в массе своей соответствует задачам, перед ними стоящим. В противодействии же внутренним угрозам ИБ-образование находится только в начале пути – для эффективного решения задач внутренней информационной безопасности специалистам необходима подготовка в области психологии, юриспруденции, навыки описания бизнес-процессов и многое другое, чему сейчас в вузах на такой специальности не учат.

Т е м н а я ,   с в е т л а я   г д е   с т о р о н а?

«ИКС»: Считаете ли вы оправданной практику некоторых компаний привлекать к работе молодых талантливых «взломщиков»?

А. САНИН: Я к такой практике отношусь сугубо положительно. Есть те, кто защищают, и те, кто нападают. И если первые – это вполне легитимные специалисты, то ко второй категории относят полукриминальных и криминальных личностей (в народе – «хакеров»). Я считаю, что чем раньше «защитники» увидят потенциал и талант в специалисте и раньше переведут его на светлую сторону, тем лучше: одним потенциальным преступником будет меньше. Но я вполне отдаю себе отчет, что темная сторона так же активно пополняет свои ряды такими же талантливыми специалистами. Там и соблазнов больше, и доход порой обещается просто заоблачный. В современной инфобезопасности эти две стороны неразрывно связаны. Отчасти можно даже сказать, что именно проделки хакеров, нашедших, к примеру, критическую уязвимость, зачастую двигают развитие ИБ вперед.

А. ПРОЗОРОВ: С этим надо быть очень аккуратным, я бы не рекомендовал принимать на работу лиц с «подмоченной» репутацией. Особенно, если дело касается информационной безопасности.

Р. ХАЙРЕТДИНОВ: В крупных компаниях есть свои подразделения внутренних аудиторов инфобезопасности, в задачу которых входят в том числе и тесты на проникновение. По их словам, пользы от «юных дарований» немного. Пентест – методически сложный процесс, и для исследования комплексной системы мало просто уметь «ломать», нужно уметь работать в команде, документировать свою работу и, самое главное, – предлагать решения по закрытию найденной «дыры». В этом юные хакеры ужасно слабы, если не сказать некомпетентны – они могут только писать в твиттере «нашел дыру на сайте – ха-ха-ха». Обычно компании рассматривают их не как пентестеров, а как стажеров, из которых после нескольких лет наставничества может получиться (а может и не получиться – ввиду вспыльчивости, неуживчивости и интровертности) неплохой корпоративный пентестер.

Александр ТРОШИН, технический директор, «Манго Телеком»: Не скажу, что люди, которые учатся, и талантливо учатся (или только собираются учиться) на факультетах инфобезопасности, не могут в детстве «шалить» и быть «взломщиками». Могут, так как часто это серьезные вызовы, заставляющие работать мозг, искать и находить нетривиальные решения, вырабатывающие привычку не бросать поиск решения на полпути и справляться со сложными задачами. Главное, чтобы все это было в правовом поле и не наносило ущерба компаниям, их репутации и бизнесу. В правовом поле оставаться можно, как минимум, за счет проводимых многими мировыми компаниями конкурсов по взлому их информационных систем и привлечению к работе победителей таких конкурсов. Это больше мировая практика, в России пока отмечены единичные случаи. Но участие российских специалистов в подобных конкурсах – уже система.

B Y O D   н е   ж д е т

«ИКС»: Насколько ощутимы проблемы безопасности в условиях широкого использования личных мобильных устройств на работе и как противостоять угрозам BYOD?

Сергей СЕРЕДА, руководитель проектов, «Энергодата»: Наиболее вероятная проблема – вынос с рабочего места распечатки или флешки с конфиденциальной информацией или ее копирование в облако через сервисы типа Dropbox. Продвинутым пользователям заменой флешки довольно часто служат мобильные телефоны или планшеты при том, что записываемые туда данные никак не защищаются. Противодействовать подобным угрозам можно по крайней мере двумя путями: использовать устройства, поддерживающие многопользовательский режим работы (с несколькими учетными записями и разделением доступа), либо создавать на мобильном устройстве защищенное виртуальное окружение. Второй подход более перспективен, так как требует сертификации средства создания защищенного виртуального окружения, а не устройства в целом. Кроме того, нельзя списывать со счетов и запретительный подход со сдачей на хранение всех мобильных устройств при входе в служебное помещение (возможно, с перенаправлением вызовов через офисную АТС).

А. ХРУСТАЛЕВ: В МГТС было принято решение не ограничивать использование мобильных устройств в работе сотрудников, а создать механизм, который позволит повысить эффективность их труда и соблюсти все требования политики конфиденциальности. Так, любой сотрудник компании имеет доступ к корпоративной почте через интернет. Как только он подключается к серверу, на его мобильное устройство автоматически загружаются корпоративные политики информационной безопасности (парольная политика, антивирус, контроль приложений, защищенное хранилище и пр.). Конечно, единый подход, который подойдет всем организациям, тут вряд ли возможен, но современные технические средства позволяют найти приемлемое решение для любых сценариев.

А. ПРОЗОРОВ: Основная проблема BYOD – существенное повышение рисков утечки информации. Организации должны ответственно подходить к принятию решения о разрешении/запрете BYOD. Должны быть оценены риски компрометации важной информации. А если все же принимается решение о допустимости BYOD, то необходимо внедрить комплексную систему защиты: начиная с повышения осведомленности пользователей и обучения минимальным правилам инфобезопасности мобильных устройств и заканчивая внедрением специализированных средств обработки и защиты информации на мобильных устройствах.

Владимир ВОРОТНИКОВ, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»:  К личным мобильным устройствам следует относиться так же, как и к прочим устройствам сети. Если они получают доступ к корпоративным ресурсам, они должны быть аутентифицированы, их работа должна контролироваться в рамках существующей политики безопасности. Это касается не только очевидных аспектов, вроде списка разрешенных и запрещенных ресурсов, но и менее очевидных – например, наличия актуального антивируса.

Михаил БАШЛЫКОВ, руководитель направления информационной безопасности, КРОК: Число мобильных устройств в корпоративном сегменте растет, сервисами стали пользоваться даже топ-менеджеры при решении своих бизнес-задач. Производители ПО прекрасно видят эту тенденцию и стремятся представить решения, которые эффективно защитили бы от утечек. Например, сейчас востребованы технологии контейнеризации. Они позволяют размещать рабочее приложение  (ту же электронную почту) в защищенную ячейку. А использовать приложение можно, только если владелец введет дополнительно пароль.

К у л ь т у р н а я   э в о л ю ц и я

«ИКС»: Нужна ли государственная политика формирования культуры информационной безопасности в обществе?

А. ПРОЗОРОВ: Скорее нужна, но насколько она будет эффективной? Тут вопрос надо решать на уровне ниже. Например, внедрять в школьную и университетскую программы уроки по «гигиене инфобезопасности», проводить соответствующие курсы на предприятиях. Но не уверен, что тут нужна единая и «утвержденная сверху» программа обучения.

Антон РАЗУМОВ, руководитель группы консультантов по безопасности, Check Point Software Technologies: Разумеется, государство обязано не только регулировать эту отрасль, но и играть важную роль в формировании культуры инфобезопасности в обществе в целом. К сожалению, принимаемые законы свидетельствуют о том, что даже если в процессе их подготовки эксперты привлекались, то их мнение было проигнорировано, а основное регулирование заключается не столько в обеспечении безопасности, сколько в запрете неугодных ресурсов. В частности, дико смотрятся недавние требования к интернет-провайдерам блокировать некоторые страницы пользователей социальных сетей по защищенному протоколу HTTPS (https://facebook.com/<имя> или https://twitter.com/<имя>). Этот протокол специально разрабатывался для того, чтобы было невозможно «подслушать» содержимое, в том числе выделить <имя>.

С. ИВАНОВ: Только осознание личной ответственности каждым участником процесса обработки конфиденциальной информации является надежным средством обеспечения безопасности. Сформировать это осознание поможет выработка прозрачного механизма доказательств вины и адекватной системы наказаний.

Р. ХАЙРЕТДИНОВ: Нужна планомерная работа по формированию правил пользования информационными ресурсами, начиная со школы и продолжающаяся всю жизнь. Так, как это делается с пропагандой гигиены заболеваний: мой руки перед едой, чихай в платок, в эпидемию носи маску, заболел – сходи к врачу и т.д. Правила поведения в корпоративной системе и домашней сети должны внедряться постоянно, примеры пострадавших из-за собственной глупости (попил из лужи – заболел холерой) должны приводиться не только в специализированных, но и в обычных СМИ.