ИБ-руководители говорят о насущных проблемах

На состоявшемся в Москве III "Межотраслевом форуме директоров по информационной безопасности" руководители ИБ-служб предприятий, работающих на территории России, обсудили актуальные, на их взгляд, проблемы.

Госрегулирование

Среди наиболее важных была выделена ситуация с законодательным регулированием области информационной безопасности. Начальник отдела защиты информации дирекции по безопасности холдинга "Атомредметзолото" Сергей Овчинников отметил, что если бы законодательная база была приведена в соответствие с экономической целесообразностью, работать "безопасникам" (и не только) было бы легче.

По определению заместителя по ИБ руководителя службы безопасности компании "Объединенная авиастроительная корпорация" Вадима Антонова, иначе как бессистемным наше законодательное регулирование ИБ назвать трудно. Наиболее очевидным, по его мнению, это стало на примере внедрения закона "О персональных данных" (ЗоПД). Говоря о ситуации конкретно в своей отрасли [на самом деле типичной для подавляющего большинства операторов персональных данных (ОПД) всех направлений деятельности], он отметил, что непосредственно после принятия этого закона в 2006 г. ни регуляторы, ни ОПД никаких ощутимых мер предпринимать не стали.

Пассивное наблюдение за ситуацией продолжалось вплоть до осени 2009 г. Тогда для обсуждения проблем, порожденных ЗоПД, был создан координационный совет, в котором для преодоления кризисной ситуации, возникшей в связи с применением ЗоПД, объединились и регуляторы, и исполнители закона. Хотя, как отмечают все участники обсуждения, с этого нужно было начинать принятие закона. Тогда же наиболее зрелые и консолидированные отрасли страны - банки и операторы связи - активно включились в лоббирование переноса сроков ввода в действие основных положений закона и добились этого.

В процессе обсуждения было отмечено, что Генеральная прокуратура, получившая весной 2009 г. по приказу Генерального прокурора полномочия требовать от Роскомнадзора в обязательном порядке согласования плановых и неплановых проверок (плановых до 31 декабря предыдущего проверкам года, а внеплановых минимум за три дня до проверки), активно пользовалась своими правами в завершающемся году. По словам участников обсуждения, в 2010 г. прокуратура запретила примерно половину рейдов Роскомнадзора, мотивируя запреты нецелесообразностью проверок. Исполнительный директор LETA IT-company Андрей Конусов считает это поведение вполне адекватным сложившемуся положению дел, вспоминая призыв Президента страны защищать бизнес от произвола госрегуляторов и проводить проверки обоснованно.

Отраслевые ИБ-стандарты

Как отметил начальник управления ИБ "Россельхозбанка" Артем Сычев, перенос на год полномасштабного действия ЗоПД российские банки использовали с большой пользой для себя. Для российских финансовых структур сегодня важное значение имеет так называемое "письмо шести" от 28 июня 2010 г. "О введении в действие стандартов и рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации Российской Федерации", составленное ЦБ РФ при участии Ассоциации российских банков и ассоциации "Россия" с целью выполнения российскими банками требований ЗоПД. Его согласование подтвердит признание госрегуляторами соответствия банков, выполняющих требования новой редакции стандарта СТО БР, одновременно и соответствия ЗоПД.

Как подчеркнул Андрей Конусов, требования стандарта СТО БР к защите данных шире, чем у ЗоПД, и у финансовых организаций сегодня появился выбор: либо выполнять требования ЗоПД и самостоятельно улаживать отношения с Роскомнадзором, либо внедрять СТО БР и тем самым встать "под крыло" ЦБ РФ.

Ожидается, что значимым событием станет принятие (уже одобренного Президиумом Правительства РФ) закона "О национальной платежной системе", который тоже будет стимулировать банки выполнять требования имеющего рекомендательный характер стандарта СТО БР, поскольку аспекты информационной безопасности, содержащиеся в этом законе, скорее всего, будут увязаны с этим действующим стандартом.

По примеру банковского сообщества профессиональные стандарты обеспечения ИБ разрабатывают российские операторы связи, организации здравоохранения (во главе с Минздравом) и страховщики. В этих стандартах прежде всего более адекватно применительно к отраслям интерпретируются требования ЗоПД. В то же время стандарты решают более общие задачи комплексной защиты информации в отраслях. Эта работа идет сейчас активно и, по общей оценке экспертов, весьма конструктивно. Так, LETA IT-company привлечена в качестве основного разработчика стандарта по защите ПД для негосударственных пенсионных фондов, принадлежащих к числу крупнейших российских ОПД. Ожидается, что к началу 2011 г. этот стандарт будет принят официально.

Кадровый вопрос

О дефиците и неадекватной подготовке ИБ-специалистов говорится практически на каждом мероприятии, собирающем представителей сферы защиты информации. И вот, наконец, Минкомсвязи инициировало проект разработки стандартов на специальности в области информационной безопасности. Как информировали представителей прессы, стандарт будет включать набор современных квалификационных требований, которым должен отвечать специалист по ИБ. В данный момент эта работа только начата, и пока неизвестно, будет ли она завершена в следующем году. Несмотря на неопределенность сроков завершения, эксперты считают проект огромном делом, потому как признают нынешний уровень подготовки ИБ-специалистов крайне низким. Объясняют они это во многом тем, что официальные требования к профессиям по защите информации были сформулированы давно и относились в первую очередь к защите гостайны. "Нынешние выпускники вузов прекрасно знают совершенно не нужные на коммерческом рынке вещи, такие как организация подавления прослушивания современными электронными средствами, требования к толщине стен в переговорных помещениях. Но про современные системы, которые чаще всего используются в реальной жизни, они информированы слабо. Стандарт профессии обяжет вузы пересмотреть свои программы, он также станет основой сертификации ИБ-специалистов", - сказал Андрей Конусов.

Актуальные технологические аспекты ИБ

Среди технологических направлений, на которых, по мнению ИБ-экспертов, в ближайшее время должна сфокусироваться ИБ, была названа защита АСУ ТП. Ярким свидетельством очевидности угрозы в этом жизненно важном для общества технологическом сегменте стал вирус Stuxnet, продемонстрировавший способность атаковать объекты ИТ-инфраструктуры гражданских объектов атомной энергетики, в которой активно используются продукты компании Siemens.

Конструктивная изолированность АСУ ТП не является достаточным фактором их защищенности. Ведь фактически все крупные предприятия территориально распределены, и структуры АСУ ТП тоже должны взаимодействовать в этих условиях, т. е. удаленно. Понятно, что они не имеют прямого выхода в Интернет, но при желании, как утверждают эксперты (а Stuxnet это доказал на практике), подключиться к ним можно. Сбой же в АСУ ТП означает техногенную катастрофу того или иного масштаба.

Вместе с тем, как отметили участники встречи, реально работающих систем защиты АСУ ТП нет - вендоры предлагают только отдельные наработки. В то же время эти системы уже находятся под давлением новых, общих для современных ИТ, технологических течений - виртуализации и облачных вычислений, и избежать влияния с их стороны они никак не смогут. По общему мнению, эти технологии привнесут в работу АСУ ТП множество новых угроз.

РКП как завершающая фаза борьбы с кибер-преступностью

По оценкам, представленным LETA IT-company, количество привлеченных к ответственности по суду "черных" хакеров в нашей стране составляет менее 0,1% от их общего выявленного числа. Это связано с тем, что доказательство компьютерного преступления является сложной задачей, решение которой начинается со стадии сбора улик в цифровой среде. По этой причине кибер-преступников гораздо чаще привлекают к суду не за компьютерные преступления, а за побочные незаконные действия, как правило, их сопровождающие.

Силовые структуры, занимающиеся расследованием компьютерных преступлений (РКП) "заточены" сегодня, как считают ИБ-специалисты, на выполнение в первую очередь государственных заказов. Они перегружены обращениями от государственных учреждений, и рассчитывать на полноценное расследование по заявлению коммерческих компаний сегодня не приходится - силовикам, как показывает опыт коммерсантов, не до них.

В то же время, в США рынок коммерческих расследований кибер-преступлений измеряется миллиардами долларов. Там подобные услуги оказывают сотни крупных компаний. У нас же сегодня в стране начали работать первые компании, которые на коммерческой основе оказывают услуги по расследованию компьютерных преступлений и юридическому сопровождению связанных с ними дел в суде. Их пока единицы.

Раньше или позже, мы тоже, как считают ИБ-эксперты, придем к выводу, что наносить адекватные ответные удары выгоднее, чем только строить защиту. Как показывает опыт, неотвратимость ответственности - отличный сдерживающий фактор для преступников. Компании-пионеры, которые начнут (или уже начали) пользоваться услугами по расследованию компьютерных преступлений, как считает Андрей Конусов быстро попадут в "белый список" организаций, которые преступники предпочтут обходить стороной. Эти компании получат по отношению к другим конкурентные преимущества. Председатель российского отделения American Society for Industrial Security International (ASIS) Дмитрий Буданов указывает также на то, что расследования кибер-преступлений важно проводить не только для того, чтобы добиваться наказаний для преступников, но еще и для выявления изъянов в своей защите и их последующего устранения.

Те иностранные компании, которые работают на территории России и обязаны по законам своих стран проводить подобные расследования в случае ИБ-инцидентов, сегодня вынуждены приглашать специалистов по расследованию из-за рубежа. "В условиях российской действительности эти специалисты совершенно не ориентируются, поэтому их эффективность остается под большим вопросом. Появление же российских компаний, специализирующихся на таких расследованиях, даже с учетом несовершенства российского законодательства и слабых возможностей адекватно наказывать виновных, является крупным шагом вперед. Это направление однозначно будет развиваться в России. Что же касается темпов развития, то это связано с системностью подхода в стране к организации ИБ", - считает Дмитрий Буданов.

Несмотря на то что кибер-преступления становятся все более наглыми, а ущерб от них все более значительным, они не имеют эффективного юридического преследования. Ситуация, по мнению ИБ-специалистов, переломится тогда, когда потери от компьютерных преступлений станут для бизнесменов критичными. Пока же они терпят.