• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Д.Барабаш: Внимания требуют все каналы утечек

Не все эксперты «ИКС» берутся рейтинговать существующие каналы утечек по важности контроля, но сходятся во мнении, что в первую очередь службам информационной безопасности нужно здраво анализировать риски.

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 4.

? «ИКС»: Какие каналы утечек требуют повышенного внимания служб ИБ (кража/потеря устройства, мобильные устройства, съемные носители, электронная почта, бумажные носители, др.)? Расположите в порядке рейтинга по важности.

Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: Разумеется, приоритеты сильно зависят от принятой в организации модели угроз, реализованных технических решений. Например, если в компании разрешен удаленный доступ с мобильных устройств, их защита станет исключительно важной задачей в связи с высокими рисками их утери. Если же с корпоративными данными можно работать исключительно с корпоративных компьютеров, запись на схемные носители запрещена  и т.п., на первое место выйдут организационные меры, препятствующие фотографированию с экрана, выносу бумажных копий… 

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: Самый распространенный способ утечки - это потеря носителя информации. Стоит учесть тот факт, что собственные сотрудники, не соблюдающие правила "информационной гигиены" и правила работы с информацией, имеют доступ ко всей информации организации.

Александр Санин, коммерческий директор, Аванпост: Я бы расположил важность контроля предложенных каналов утечки следующим образом (самый важный сверху):

– съемные носители (в том числе и у привилегированных пользователей и администраторов);

– электронная почта;

– мессенджеры (Skype, ICQ и т.п.);

– кража/потеря устройства и сюда же относятся мобильные устройства, т.к. именно их и теряют;

– веб-формы (почта, файлообменники, социальные сети);

– бумажные носители.

С другой стороны, располагать по рейтингу важности было бы более правильно не сами каналы утечки, а именно характер информации, способной по этим каналом утечь. Думаю, все мы понимаем, что традиционный канал утечки через электронную почту безусловно нужно контролировать, но по нему вряд ли возможно увести какую-нибудь базу данных ввиду ее большого размера. Таким образом, в данном вопросе я бы расставлял «рейтинги» в первую очередь с оглядкой на сферу деятельности конкретной компании и на ее процессы. Так, например, в условном банке риск утечки конфиденциальной информации через бумажные носители может стоять в рейтинге существенно выше, чем тот же риск в какой-нибудь ИТ-компании. За примерами далеко ходить не нужно – все читали о неожиданных находках на свалках целых залежей информации конфиденциального характера на граждан, обратившихся за выдачей кредита, выброшенных туда одним из российских банков.

Дмитрий Барабаш, руководитель отдела защиты данных, T-Systems CIS: Все каналы утечки требуют внимания со стороны служб ИБ. Какие-то могут быть более вероятными для эксплуатации злоумышленниками, какие-то – менее. Это зависит от вида бизнеса, от архитектуры информационных систем и сетей, от классификации информации и других переменных факторов. Расстановка приоритетов и выбор контрмер начинаются с анализа рисков, который службы ИБ должны провести совместно с бизнесом, так как именно владельцы информации (представители бизнеса) могут оценить ее чувствительность к утечкам. Еще лучше, если оценка проводится количественная. В этом случае обоснование использования службами ИБ тех или иных технических средств защиты от утечек происходит более прозрачно.

Например, в нашей компании эксплуатируется значительное количество ноутбуков и других мобильных устройств, с которыми программисты-разработчики и сотрудники отдела продаж часто ездят в командировки, к заказчикам и т.д. Для нашей компании высоки риски потери/кражи портативных устройств, визуального доступа к информации на экране и т.д. Поэтому для снижения этих специфических рисков мы применяем дополнительные меры – шифрование дисков ноутбуков, резервное копирование информации, использование защитных поляризационных пленок на экраны и др.

Вячеслав Медведев, старший аналитик, DrWeb: С учетом того, что в большинстве случаев система контроля отсутствует – начинать нужно с контроля почты и запрета сменных носителей. И нужно помнить, что наиболее эффективное средство защиты от утечек и целевых атак – не антивирус и не DLP. Наиболее эффективна постоянная работа с пользователями, воспитание в них культуры ИБ

Владимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»: Я бы разделил в этом вопросе случаи неумышленной утечки конфиденциальной информации и умышленной кражи. В первом случае особое внимание следует уделить тем каналам, которые с одной стороны просты в эксплуатации, с другой – постоянно используются в повседневной работе в явном или неявном виде. Например, это электронная почта и мобильные устройства. Для второго случая я бы сделал акцент на защите каналов связи и доступа в корпоративную сеть. Это включает в себя шифрование данных, передаваемых через недоверенные сети, использование межсетевых экранов, систем обнаружения вторжений, антивирусной защиты, своевременное обновление операционных систем и программного обеспечения, используемого в компании.

Александр Трошин, технический директор, «Манго Телеком»: Самый простой и самый уязвимый канал сегодня – электронная почта и различные онлайн-сервисы с функциями совместного доступа к информации. На бумажных носителях нужный объем важной информации унести достаточно сложно и это не лучший способ. С помощью фотоаппарата или мобильного телефона сделать это намного проще, как мне кажется. Съемные носители, безусловно, это риск-фактор, если у сотрудника есть права экспорта файлов на этот съемный носитель. И здесь важен баланс между лояльностью сотрудника и наличием у него прав для таких операций. У нас контроль за выдачей прав производится владельцем ИС и в рамках процесса, соответственно, владелец уже понимает роль и степень участия сотрудника в процессе, осведомлен о лояльности сотрудника к компании и проч. То есть, до получения прав на экспорт информации проходит какое-то время, позволяющее оценить бизнес-риски в случае каждого сотрудника. И, конечно, есть определенные процедуры и бизнес-процессы, предотвращающие их.

Александр Хрусталев, директор департамента информационной безопасности, МГТС:   Канал утечек – характеристика, которая имеет прямое практическое приложение. В зависимости от частоты утечек по тому или иному каналу можно планировать внедрение средств защиты, а также определить приоритет – какими каналами надо заниматься в первую очередь. Но помимо статистических данных нужно учитывать специфику работы организации, какие средства и инструменты чаще всего используются для передачи информации – и именно их защищать и контролировать. Сегодня компании уделяют огромное значение каналам утечек информации и стараются их контролировать. Как показало исследование «Глобальное исследование утечек корпоративной информации и конфиденциальных данных за 2012 г.» аналитического центра InfoWatch, основная доля утечек корпоративной информации происходит через интернет, мобильные устройства и съемные носители, электронную почту и бумажные носители. Применение технических систем защиты позволило снизить долю web-утечек вдвое – до 6,7%, доли утечек через ПК (- 1%) , съемные носители (снижение 0,2%), через электронную почту – практически не поменялись. Факты утечки информации, отправленной по электронной почте и переданной огласке, составили всего 6,3%. Этот канал также как и «web» является самым популярным каналом распространения и передачи информации. В последние два года еще одним каналом утечки корпоративной информации являются кража или потеря мобильных устройств (планшеты, ноутбуки, смартфоны), на которые сотрудники заносят рабочую информацию. Переносные устройства теряются и крадутся в огромных количествах, обойтись без них в современной жизни почти невозможно. Поэтому актуальны технические и организационные меры по контролю за подобными мобильными устройствами и информацией, которая на них хранится. Не записывать на мобильные носители секретную информацию без нужды, а если записывать — то в зашифрованном виде. Соблюдение этих правил позволит избежать значительного числа инцидентов в эпоху BYOD. Эти тенденции актуальны для многих компаний, в том числе и для МГТС. Компания выделяет основные каналы, по которым может произойти утечка, – это доступ в интернет, электронная почта сотрудников, съемные носители, кража/потеря устройства, бумажные носители. Для их предотвращения МГТС проводит на постоянной основе обучающие тренинги для персонала.

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Ранжировать перечисленные каналы утечки информации по степени важности в отрыве от реальных условий эксплуатации информационной системы и её бизнес-процессов нет смысла. Всем этим каналам утечки информации в равной степени должно быть уделено повышенное внимание, если в конкретной системе угрозы такого типа актуальны.

Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: С точки зрения ценности информации повышенного внимания требуют съемные носители. Распространена практика обеспечения безопасности посредством использования системы резервного копирования данных финансового и управленческого учета. С точки зрения угрозы нарушения конфиденциальности, особого внимания требует и электронная почта. Этому полностью открытому каналу передачи данных доверяют конфиденциальную переписку руководители даже самого высокого уровня.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Все каналы требуют повышенного внимания служб информационной безопасности. Нельзя быть уверенным в полной защите, если хоть одно направление ИБ остается неприкрытым. При наличии технических и финансовых возможностей любой риск нужно постараться минимизировать. Сложно составить рейтинг каналов утечек, они неравносильны. Канал может быть небольшой, например, потерянное устройство. Но если это устройство генерального директора, оно содержит много важной конфиденциальной информации, и передача злоумышленникам хотя бы одного такого устройства может привести к значительным неприятным последствиям. Второй вариант для сравнения — электронная почта. Канал может быть более широким, но по нему не передается конфиденциальная информация. Соответственно, этот канал потенциально менее опасен при утечках. Одним словом, нужно здраво анализировать риски и подходить к вопросам ИБ взвешенно и результативно.

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Традиционные каналы связи, а также новые, дополнительно, можно расположить в порядке важности следующим образом: электронная почта (утечки происходят как намеренно, так и по халатности), съёмные носители (большой объём утечек), веб-сервисы (легко выгрузить в «облако» большой объём информации), бумажные носители (сложно контролировать вынос за периметр компании), социальные сети (легко ненамеренно разгласить важную информацию), мобильные устройства (сложно контролировать информационные потоки), кража\потеря устройства (по сравнению с предыдущими рисками реализуется довольно редко).

Рустэм Хайретдинов, исполнительный директор, Appercut Security: Рейтинг каналов, по которым происходят утечки, сильно зависит от зрелости конкретной компании и уровня паранойи ответственных людей. Довольно просто вообще запретить доступ сотрудников в интернет и присоединение сменных носителей, поэтому те компании, которые на это идут, утечек по таким каналам не наблюдают. Контролировать принтеры и электронную почту, которые нельзя отключить, довольно легко, поэтому массовых утечек и по этим каналам можно избежать. Если же дать возможность сотрудникам беспрепятственно пользоваться интернетом или бесконтрольно присоединять запоминающие устройства – этот канал тут же станет основным каналом утечки.

Алексей Лукацкий, эксперт по информационной безопасности, Cisco: Каналов утечки информации существует много десятков, но в каждой компании этот перечень, тем более с указанием приоритета, будет свой. Я бы выделил следующие пути потери или кражи информации: при наличии мобильных устройств – кража самого устройства, перехват данных через Wi-Fi, установка вредоносной программы на мобильное устройство, перехват данных через GSM; при отсутствии мобильных устройств – внешние съемные носители, электронная почта, установка вредоносных программ, печать на принтере, перехват данных в Интернет, перехват данных в локальной сети.

Алексей Раевский, генеральный директор, Zecurion: По статистике, первую тройку каналов по количеству утечек возглавляют веб-сервисы, кража/потеря устройства (в том числе мобильного) и электронная почта. Стационарные компьютеры занимают четвертое место, неэлектронные носители, в первую очередь, бумажные – пятое. Но из этой статистики не следует, что какие-то каналы требуют больше внимания ИБ-служб, а какие-то – меньше. Для каждой организации, в зависимости от бизнес-процессов и специфики использования различных способов передачи и хранения информации, наиболее важным может оказаться любой из этих каналов.

Сергей Середа, руководитель проектов, «Энергодата»: Как нам представляется, каналы утечки следует ранжировать по доступности и привычности для пользователя, а также риска раскрытия: бумажные носители; съёмные носители; электронная почта; мобильные устройства; кража/потеря устройства – при условии, что оно либо корпоративное, либо личное, но с конфиденциальной информацией, и не применяются средства шифрования.

Катажина Хоффманн-Селицка, менеджер по продажам, HID Global в Восточной Европе: Наиболее распространенный канал утечки сегодня – мобильные устройства, риск случайной утери или кражи которых довольно велик. В связи с этим, чтобы обезопасить конфиденциальную информацию, на смартфонах и планшетах требуется осуществлять шифрование данных. Одним из наиболее эффективных решений этой задачи является формирование в мобильном устройстве защищенных зон, в которых отдельно хранятся персональные и корпоративные данные. Таким образом, на каждом устройстве создается дистанционно управляемая зашифрованная зона, и для доступа к ресурсам, находящимся в корпоративной области, создается дополнительный слой безопасности на основе строгой двухфакторной аутентификации. Такое зонирование данных обеспечивает безопасность всей мобильной среды и существенно снижает риск утечки данных.

Значительное место в рейтинге занимают также съемные носители. Их случайные потери сотрудниками, передача третьим лицам, умышленная кража клиентских баз с помощью мобильных носителей – все это может нанести огромный ущерб организации. На третье место можно поставить электронную почту. Большое число утечек через нее в прошлые годы привело к тому, что компании стали серьезно контролировать этот канал. Однако до сих пор, к сожалению, еще довольно большое число компаний для входа в компьютерную систему и электронную почту используют статические пароли, то есть простую комбинацию «имя пользователя – пароль». Многие сотрудники записывают пароли на стикерах и приклеивают их к монитору компьютера или хранят под клавиатурой. Однако вредоносное ПО, существующее сегодня, содержит кейлоггеры, и такие программы позволяют легко вычислить пароль сотрудника. Отсюда большое число утечек данных через электронную почту.

Подготовила Лилия Павлова