• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Р.Хайретдинов: Просто «купить» решение – мало

Технические средства инфобезопасности способны защитить ИТ-инфраструктуру, но для защиты собственно информации от утечек необходимы организационные меры.

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 1.

? «ИКС»: Число утечек конфиденциальной информации с каждым годом растет, как злонамеренных, так и неумышленных. В каких случаях в борьбе с ними срабатывают традиционные подходы ИБ, в каких оказываются бессильны и почему?

Александр Санин, коммерческий директор, Аванпост: Начать нужно с того, что в вопросах утечки конфиденциальной информации важную роль играет сам факт фиксации такой утечки. Мы ведь понимаем, что фиксируются далеко не все случаи, а в реальности, я полагаю, фиксируется всего лишь небольшой процент таких случаев. И если на Западе этот процесс хоть как-то регулируется, заставляя бизнес давать информацию об утечках, то в России дела обстоят гораздо хуже. В СМИ, как правило, попадают только самые громкие и серьёзные случаи утечек, ставшие достоянием гласности, а также те утечки, о которых сообщает пострадавшая сторона. Но, как вы понимаете, по объективным причинам сообщать об этом пострадавшая сторона не сильно заинтересована. Таким образом, мы имеем ситуацию, в которой оценить реальный масштаб утечек конфиденциальной информации крайне затруднительно.

Касательно мер защиты можно говорить очень много. Но к первостепенным мерам я бы обязательно относил системы защиты классов DLP и смежных с ними. Именно функционал этих систем позволяет зафиксировать и предотвратить факт утечки информации по техническим каналам, таким как e-mail, съемные носители информации (флешки, жесткие диски и т.д.), различные мессенджеры и т.п. Но важно понимать, что тут нет волшебной пилюли, которая полностью исключит риск утечки. И для успешной борьбы необходимо работать по многим направлениям ИБ: надо действовать комплексно, начиная от наведения порядка в системе управления доступом к корпоративным ресурсам (включая внедрение IDM-решения) и заканчивая введением системы обучения и информирования персонала. Возвращаясь к вопросу, можно резюмировать ответ в следующем ключе: традиционные подходы обеспечения ИБ, которые базируются на контроле информационных систем и инфраструктуры, работают хорошо и существенно снижают риск непреднамеренного «слива» конфиденциальной информации по техническим каналам. Но в то же время эти средства становятся практически бессильны перед лицом преднамеренного и грамотного злоумышленника, который пользуется своими абсолютно легитимными правами. Таким образом, в борьбе с утечками нельзя все списывать на технические меры, нужно серьезно задумываться и о мерах организационного характера, таких как обучение персонала и повышение осведомленности. Это далеко не новая тема и обсуждается уже очень давно, но в России, к сожалению, этот метод до сих пор применяется крайне редко. Если говорить о моем личном опыте и о том, что я вижу в реальном секторе, то по ощущению могу сказать: не более пяти-семи компаний из 100 применяют системы повышения осведомленности.

Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: Традиционный подход подразумевает деление мира на черный и белый. Эти данные мы пропускаем, а те блокируем. К сожалению, даже людям зачастую непросто определить, насколько секретным является тот или иной документ. И тем более это непросто объяснить компьютеру, написав формальные правила. Приводит это к тому, что либо правила создаются слишком жесткие, и это ведет к нарушению бизнес-процессов, либо слишком мягкие, и тогда утечки данных продолжаются. Поэтому современный подход предусматривает привлечение людей к принятию решений. Если есть уверенность, что данные должны быть заблокированы, – они блокируются; если должны быть пропущены — пропускаются. А в сомнительных случаях можно предупредить сотрудника, что данный документ напоминает один из тех, что отправлять запрещено, и дать ему второй шанс подумать, отказаться от отправки документа или все же послать его (разумеется, потребовав написать обоснование такого решения).

Как невозможно автоматизировать хаос, так и невозможно настроить технические средства, чтобы они эффективно защищали от утечек при отсутствии формализованных политик безопасности, признаков, по которым те или иные данные относятся к определенным категориям конфиденциальности, правил обработки данных.

Дмитрий Барабаш, руководитель отдела защиты данных, T-Systems CIS: Рост числа утечек связан с несколькими факторами. Один из них, как ни странно, – это недостаточная эффективность деятельности служб ИБ на уровне эксплуатации. Нередко приходится наблюдать ситуацию, когда в компаниях проходят проекты внедрения технических средств защиты информации, но потом этими средствами практически не пользуются. Выбрали современную систему DLP, внедрили, на этом остановились или перешли к следующему внедрению. А в отчеты DLP-системы на регулярной основе никто не смотрит, не работает с инцидентами, не реагирует на них. Утечки как происходили, так и происходят, несмотря на наличие разных, часто дорогостоящих, систем информационной безопасности. Постановка в компании процесса эксплуатации средств информационной безопасности – отдельная, требующая дополнительных усилий и опыта задача.

Вячеслав Медведев, старший аналитик, DrWeb: Традиционные подходы срабатывают всегда. Они по сути были разработаны задолго до появления компьютеров. Меняются технологии, но не меняется  психология пользователей этих технологий.

Вопрос в другом – а используются ли эти подходы? Почему они не используются в России? Почему они не используются в большинстве компаний? Можно ли избежать утечек защищаемой (с точки рения бизнеса или регуляторов) информации?

Владимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»: С развитием технологий количество каналов, по которым может происходить утечка данных, растет. Если говорить о неумышленных утечках, то важно, что технологии передачи данных становятся проще: одно дело запись данных на USB-флешку и совсем другое дело – автоматическая синхронизация данных между телефоном и ноутбуком через беспроводную сеть. Как результат, пользователь чаще теряет контроль над тем, какие данные и где у него хранятся. А это первый и очень существенный шаг к утечке этих данных. Количество технологий выросло, периметр безопасности все чаще размыт (или его вообще нельзя выделить). По этой причине и перестают работать некоторые традиционные подходы ИБ. Ситуация осложняется еще и тем, что удобство пользования и безопасность являются конфликтующими понятиями, а повышение простоты использования – один из ведущих трендов в последнее время.

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Традиционные подходы ИБ совершенно бессильны в отношении угроз, возникающих вследствие действий пользователей, умышленно направленных на нарушение безопасности информации, к которой они допущены. Например, даже самые современные средства защиты информации не позволят предотвратить попытки пользователя сделать с помощью мобильного телефона снимки экрана, на котором отображаются конфиденциальные сведения. Но это не означает, что меры защиты не должны применяться. Четко продуманная и реализованная политика ИБ позволит значительно затруднить реализацию злоумышленных действий, получить больше сведений о различной активности пользователей, что в дальнейшем может существенно помочь при расследовании инцидентов, а также исключит или существенно сократит число неумышленных нарушений безопасности. Так как, например, наличие контролируемого использования отчуждаемых носителей, в том числе запрет их использования, автоматически повлияет на актуальность угроз случайной утери таких носителей.

Дмитрий Селиванов, вице-президент по работе с ключевыми клиентами, MAYKOR: Информационная безопасность – один из основных вопросов, которые встают перед заказчиками при планировании перевода ИТ-функций на аутсорсинг. И часто ИБ является непреодолимой преградой для решения в пользу аутсорсинга. Но риски утечки конфиденциальной информации при аутсорсинге значительно меньше, чем от собственных сотрудников. Аутсорсер, который дорожит своей репутацией на рынке, и который намерен продолжать на этом рынке работать, понимает, что для него ущерб от потери конфиденциальной информации заказчика может оказаться в разы больше, чем для самого заказчика. И это не только финансовые потери, но и огромные репутационные риски. Их следствие – потеря клиентов и, более того, угроза самому существованию компании на рынке. Поэтому поставщик услуг в сфере ИТ не меньше заказчика заинтересован в сохранности информации и будет принимать все необходимые меры, чтобы ее обеспечить. И эти меры не будут ограничиваться пометкой «конфиденциально» на документах и принятием инструкции по ИБ.

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Когда в компании реализована эффективная система мер противодействия утечкам на всех уровнях ИТ, защита работает достаточно хорошо. Каждая утечка, если и не оказывается предотвращена, то, как минимум, будет выявлена и необходимые меры приняты будут приняты. Тем временем, проблемы возникают там, где автоматизация защиты осложнена. Речь идет о бумажных документах, утечках сведений по личным мобильным телефонам и корпоративной связи. В силу разных причин организации не уделяют достаточно внимания персоналу – сегодня редко встречаются программы развития сотрудников, лояльности персонала, управления эффективностью трудового процесса. А когда программа лояльности не внедрена или не продумана, мотивация сотрудников оказывается не связана с соблюдением корпоративных норм и процедур (в том числе в области защиты от утечек).

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Так получилось, что борьбой с утечками в компаниях занимаются те же сотрудники, которые занимаются и всей остальной информационной безопасностью. У них исторически сложился «технократический» подход, состоящий в том, что надо внедрить какое-то техническое решение, и оно «само все сделает». Этот подход отлично работает при защите ИТ-инфраструктуры (серверов, компьютеров, каналов передачи данных), но практически бесполезен при защите собственно информации. Каждое перемещение информации имеет бизнес-контекст, без понимания которого принять автоматическое решение «разрешить/запретить» – невозможно. Поэтому просто «купить» решение  – мало, необходимо потратить большую часть времени на понимание и модификацию правил обращения информации в компании, чему большинство сотрудников служб информационной безопасности просто не обучены.

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Последние два-три года понятие «традиционного подхода в области ИБ» постепенно размывается, так как участившиеся случаи реализации целенаправленных атак заставляют специалистов по ИБ менять свои взгляды и на модель обеспечения ИБ, и на способы ее реализации, и на технические меры. Ни одно средство предотвращения утечек (DLP) сегодня не справляется даже с половиной утечек. В ходе недавнего проекта, реализованного экспертами по мониторингу угроз Cisco, было обнаружено, что в каждом случае организации демонстрировали признаки того, что их сети использовались не по назначению или были взломаны. Например, из 100% проанализированных Cisco коммерческих сетей трафик направлялся на веб-сайты, на которых было размещено вредоносное ПО, а в 92% сетей обнаружился трафик на пустые веб-страницы, на которых обычно реализуются вредоносные действия. Из девяноста шести процентов проанализированных сетей трафик направлялся на уже взломанные и скомпрометированные сервера.

Алексей Раевский, генеральный директор, Zecurion: Число утечек растет с каждым годом в связи с тем, что растут объемы данных, растет число мест их хранения – серверы, компьютеры и мобильные устройства пользователей, с недавних пор еще и облачные хранилища и т. д. Все больше и больше процессов переходит в компьютерно-сетевую сферу, и утечки, как логичное следствие этого, неизбежны. Что же касается традиционных подходов ИБ, то обычно сначала появляется уязвимость, неважно какого типа – техническая, в программном коде, или организационная – в виде неправильно спроектированного бизнес-процесса или новых сущностей. После того, как этой уязвимостью воспользуются, причем, возможно, не один раз, появляются средства, концепции и подходы ИБ, направленные на борьбу с этой уязвимостью. Естественно, чтобы уязвимость была закрыта, эти средства должны правильно использоваться. Таким образом, чтобы традиционные подходы ИБ работали для борьбы с утечками, они должны прежде всего применяться по прямому назначению. Это может казаться очевидным, но и по сей день встречаются случаи, когда, например, с утечками через USB-устройства борются с помощью антивирусного ПО. Соответственно, в таких случаях средства ИБ могут не сработать. Также чаще всего они оказываются бессильны в тех случаях, когда речь идет о так называемых уязвимостях нулевого дня.

Сергей Середа, руководитель проектов, «Энергодата»: Традиционные подходы ИБ работают только в том случае, когда они применяются полноценно и в комплексе с остальными мерами обеспечения безопасности предприятия. Если защита информации, по классике, начинается с контроля физического доступа в защищённый (физический) периметр и завершается на уровне программного обеспечения, а параллельно со службой информационной безопасности работают службы внутренней и экономической безопасности, то, как правило, всё очень даже неплохо работает. В то же время, организация такой комплексной защиты является весьма непростым и довольно затратным делом. Плюс многие меры обеспечения безопасности являются непопулярными, и далеко не всегда их применение «стоит свеч». По этим причинам многие компании ограничиваются минимальным набором из средств парольной аутентификации, антивируса и брандмауэра. Организационные меры при этом зачастую не принимаются вообще. Если же говорить, например, о банках, где уже достаточно давно применяются именно комплексные меры обеспечения безопасности, а утечки всё равно происходят, то, во-первых, необходимо уточнить частоту подобных инцидентов именно в банках и сравнить с общей частотой для всех коммерческих предприятий. Во-вторых, для предотвращения утечек с участием инсайдеров недостаточно мер, направленных собственно на обеспечение безопасности. Необходимы также действия по обеспечению/повышению лояльности сотрудников, что относится уже к сфере ответственности HR-служб. Ну, а, в-третьих, не следует забывать, что абсолютных систем защиты не бывает и что направленная атака скорее всего будет успешной. Меры защиты лишь делают её более трудоёмкой и дорогой, что сокращает её вероятность, но не исключает её возможности.

Подготовила Лилия Павлова