Оборотная сторона популярности ИБ: проблемы множатся

По данным исследования Gartner, проведенного в конце 2010 года, повышение безопасности входит в Топ-10 приоритетов в бизнесе и ИТ. При этом само это понятие многими понимается по-разному, а сам рынок систем безопасности решает проблемы, в числе которых отношения с регулятором, обеспечение ИБ в облаках и многое другое. Эти и другие вопросы были в центре внимания на конференции "Информационная безопасность бизнеса и госструктур", организованной CNews Conferences и CNews Analytics.

На сегодняшний день развитие рынков информационной безопасности (ИБ) идет двумя путями: естественным и искусственным. К первому можно отнести варианты, когда решения по безопасности в уже существующих областях докупают новые заказчики, либо когда возникают новые ниши, где клиенты могут внедрять проекты, ранее недоступные в принципе. К таким нишам сейчас относится виртуализация, в определенной мере - "облачные" сервисы - и совсем специфичное направление - расследование ИБ-инцидентов, то есть взаимодействие коммерческих структур с правоохранительными органами.

Под искусственным путем развития рынка ИБ понимается его определенное ограничение теми или иными условиями. В частности, здесь можно говорить о протекционизме отечественных вендоров, когда на российском рынке принудительно сокращается количество зарубежных поставщиков. Еще к одному варианту искусственного направления относится разработка госпрограмм по информационной безопасности. В этом случае схема проста: лоббирование - получение гарантированного финансирования - производство продукта.

Если же вернуться к новым нишам, то сейчас решения по ИБ можно применять, например, в ЦОДах или контролировать использование интернета, в частности, защищать данные в соцсетях, запрещать рассылку нелицензионного контента, изымать детское порно и т. п.

Мобильность защите не помеха

Современные сотрудники мобильны, они зачастую работают за пределами офиса и это постепенно становится нормой. Однако, по данным компании 3M, в 50% случаев каналами утечки данных являются ноутбуки, телефоны, КПК и т. д. При этом 77% потери информации происходит из-за халатного обращения с ней, например, когда работники не обращают внимания на такие простые вещи, как подглядывание.

Елена Крушатина, маркетолог российского отдела мобильных интерактивных решений компании 3М, поделилась с присутствующими интересными выкладками. Она рассказала, что компанией было опрошено 800 респондентов на тему, почему человек подглядывает. Из них 70% ответили, что обязательно смотрят в ноутбук коллеги, если видят открытой корпоративную почту или презентацию, причем некоторые делают это намеренно. Для того чтобы свести такое подглядывание к минимуму, госпожа Крушатина предложила новый продукт, разработанный 3М, - экран защиты информации, подчеркнув, что он может выступать в качестве одной из составляющих комплексного похода в области ИБ.

Функция экрана - ограничение угла обзора. Человек, сидящий перед монитором и смотрящий на него под углом 90°, видит всю информацию, но если угол обзора немного меняется, то экран превращается в однотонную поверхность золотого либо черного (по выбору заказчика) цвета. Для реализации такого эффекта используется запатентованная технология микрожалюзи. Спикер рассказала об основных преимуществах экрана и отметила, что его сейчас широко применяют, в том числе в парламенте Венгрии и Великобритании.

Как объять необъятное

Несмотря на то, что обеспечение ИБ является приоритетной задачей в стратегии развития российского информационного общества, решается она весьма своеобразно. Так, закон об организации и предоставлении государственных муниципальных услуг переадресует вопросы регулирования отношений, связанных с ИБ, правительству РФ, которое должно разрабатывать требования и правила в части создания соответствующих информационных систем. Последние строятся, но правил до сих пор нет, а если необходимо создать конкретные требования, то происходит переадресация запросов на более низкий управленческий уровень, где регуляторы в определенной степени уже сформулированы. Кроме того, есть ряд других документов, где приводятся механизмы, которые должны быть реализованы с точки зрения ИБ.

Подробнее об этом говорил Михаил Емельянников, ведущий эксперт по вопросам ИБ компании "Код безопасности". Он добавил, что сетевое экранирование, регистрация обслуживания, мониторинг защищенности и другие средства по обеспечению безопасности на государственном уровне должны осуществляться уполномоченным подразделением ФСБ России. Оно же выдает и соответствующие сертификаты на продукцию, предназначенную для обеспечения ИБ.

Рабочий инструмент службы безопасности

Как правило, в каждой организации существует большое количество различных средств защиты информации (СЗИ) от разных производителей. Это межсетевые экраны, антивирусы, UTM-устройства, системы обнаружения и предотвращения вторжений, DLP-системы, специализированные Web и Email шлюзы безопасности и т. д. Все они в процессе своей работы генерируют большое количество логов, которые содержат важную информацию, необходимую для тонкой настройки СЗИ, оценки общего уровня защищенности систем и расследования инцидентов.

Кроме того, в каждой компании имеются сетевые устройства типа коммутаторов, маршрутизаторов, средств удаленного доступа и решений типа DPI. Они собирают статистику о прохождении сетевого трафика и помещают ее в логи, которые тоже могут быть интересны для сотрудников служб ИБ. И, наконец, логи пишутся разнообразными серверными и клиентскими операционными системами, а также приложениями, которые на эти системы установлены.

По мнению Алексея Кривоноса, технического директора российского представительства Headtechnology, для решения изложенных задач применяются линейка продуктов компании Q1Labs, основным из которых является устройство SIEM (Security Information Event Management). Оно допускает не только объединение логов различных источников, но и позволяет коррелировать их между собой, выдавая на выходе потенциальные инциденты или нарушения безопасности с тем или иным уровнем приоритета.

Спикер привел характеристики продуктов класса SIEM, отметив, что сейчас на рынке спросом пользуются решения нового поколения - линейка QRadar. Господин Кривонос рассказал, какие продукты в нее входят и для чего предназначены. В заключение докладчик подчеркнул преимущества SIEM-устройств и добавил, что они становятся рабочим инструментом сотрудников службы безопасности.

Все об аудите

В комплексе мер по защите информации одной из важных составляющих выступает аудит безопасности. Его следует рассматривать, как элемент содействия, а официальный документ, являющийся результатом проверки, - основанием развиваться, модернизировать инфраструктуру, решать организационные и кадровые вопросы. При этом многообразие подходов, применяемых в аудите, позволяет выявить ту картину, которая наблюдается в каждом конкретном случае.

Александр Иржавский, директор технологического департамента компании "Инфорион", в своем докладе отметил, что аудита часто боятся, но на самом деле этого делать не следует. Для пояснения ситуации спикер дал ответы на ряд наиболее часто встречающихся у клиентов вопросов из области аудита, прежде всего рассказав, что же такое аудит безопасности. По мнению выступающего, это комплекс мероприятий для определения реальной ситуации с ИБ, призванный выявить, как она соотносится с требованиями, предъявляемыми к уровню защищенности.

Господин Иржавский подробно рассказал, зачем проводится аудит безопасности, кто его осуществляет и как выглядит непосредственный процесс проверки. В частности, в компании "Инфорион" используется последовательность из трех этапов: структурного анализа, функционального анализа и заключительного. Причем спикер считает, что заказчик с большой вероятностью получит тот результат, на который он рассчитывал, при наличии всех трех этапов.

Практика показывает, что большинство компаний обладают внушительным программным наследством. Как правило, на предприятии один системный администратор устанавливает ПО, второй или третий его переделывает, после смены руководства происходит переход на новые продукты и т. п. В результате оказывается, что с учетом существования ряда регламентированных жестких требований к ИБ, непонятно, как грамотно реализовать защиту данных. С учетом изложенного правильная формулировка задачи, стоящей перед бизнесом в области безопасности, звучит так: необходима надежная защита при условии минимизации затрат на обеспечение безопасности, включая ее поддержку в актуальном состоянии. Вячеслав Медведев, руководитель сектора продакт-менеджмента отдела маркетинга компании "Доктор Веб", считает, что для решения подобной задачи организация должна понимать, что у нее есть, для чего это нужно использовать и как управлять процессом такого использования. По мнению спикера, на эти вопросы в полной мере отвечает аудит ИБ.

В заключение выступающий рассказал о способах организации антивирусной защиты и защиты конфиденциальной информации, привел пример структуры системы безопасности с централизованным управлением и добавил, что решение задачи по обеспечению ИБ упрощается при использовании программно-аппаратных комплексов Dr.Web Office Shield.

Что такое уязвимость?

Если рассматривать взаимоотношения любой компании с государственными регуляторами в общем виде, то в них обязательно присутствует необходимость решения массы вопросов договорного порядка посредством переговоров. Такой деятельности менеджмента сопутствует обмен потоками данных в информационном мире, и чем полнее они соответствуют друг другу, тем лучше для организации. Для оценки соответствия данных используются такие понятия, как их полезность, доступность, объективность и т. п. Отдельно выступает защищенность.

Корпоративная безопасность складывается из двух компонентов - качества управления в областях ИТ и ИБ. При этом в них существует и общий сектор, в котором также приходится решать задачи по безопасности. Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России, считает, что эффективность решения подобных задач зависит от правильного их понимания, а значит - внимательного изучения понятийного материала. Спикер обратил внимание присутствующих на фундаментальные понятия в сфере безопасности (угроза, субъект или агент угрозы, атака, уязвимость, инцидент и т. п.) и их соотношения, привел некоторые постулаты (например, атаки на объект защиты и уязвимости систем защиты объекта не связаны и не коррелируются) и остановился на деятельности службы безопасности. Цель такой деятельности, по мнению докладчика, заключается не столько в реализации новых проектов по безопасности, сколько в выявлении и устранении уязвимостей в системе защиты. Чтобы понять, как добиться минимального числа уязвимостей, надо определить, из-за чего они возникают и какие из них наиболее опасны. Господин Курило ответил на эти вопросы и предложил несколько направлений борьбы с уязвимостями.

Безопасность в АСУ ТП

Понятие безопасности в сетях информационных систем отличается от ее определения в автоматизированных системах управления технологическими процессами (АСУ ТП). Если для первых важна конфиденциальность данных, то для вторых на первом месте находится скорее безопасность персонала, оборудования и самого технологического процесса. Отсюда следуют различия в подходах обеспечения безопасности АСУ, в выборе используемых для этого инструментов. О некоторых аспектах таких подходов рассказал присутствующим Александр Митрейкин, советник заместителя министра энергетики РФ.

Докладчик дал определение АСУ ТП, привел ее типичный состав и добавил, что независимые исследования показали множественные уязвимости, которые могут привести к нарушению корректной работы ТП. Господин Митрейкин указал на наиболее часто встречающиеся уязвимости, особо подчеркнув, что для АСУ ТП в ТЭК реальную угрозу представляют и специальные вредоносные программы, в частности, компьютерный червь Stuxnet. Спикер подробно остановился на одной из ключевых проблем - уровне квалификации работников компаний в области информационной безопасности. Выступающий отметил, что такие работники должны обязательно обладать определенными минимальными знаниями и навыками.

Господин Митрейкин также заметил, что промышленно развитые страны, такие как США, достаточно серьезно относятся к проблеме защищенности АСУ ТП своих энергетических объектов, причем не только от непосредственных опасностей - террористических атак, но и от атак информационных. Он добавил, что в России, в рамках деятельности профильных федеральных органов исполнительной власти (ФСБ РФ, ФСТЭК), тоже ведется работа по обеспечению ИБ критически важных объектов. Спикер рассказал, что в конце прошлого года в России была создана соответствующая рабочая группа, полем деятельности которой является проведение анализа текущего состояния существующих систем обеспечения ИБ и нормативной базы.

Облака пока не защищены

Облачные вычисления - относительно недавно появившаяся технология, которая с каждым годом становится все более популярной. Основные преимущества перехода в облака очевидны, но существуют и сдерживающие факторы - это вопросы доступности и безопасности виртуальных сервисов. Традиционная модель защиты данных компании - эшелонированный подход, когда в центре находится ценный информационный актив компании, вокруг которого выстраивается многоступенчатая система безопасности. Если же перенести часть информации в облако, в защите появляется дыра, поскольку неизвестно, что происходит у поставщика услуг - ведь уровень его безопасности нельзя проконтролировать.

По словам Евгения Климова, вице-президента RISSPA, на текущий момент возможности контроля нет ни у кого. Угрозы же для защиты вполне реальны. К ним можно отнести злоупотребление и нечестную игру при использовании облачных ресурсов, небезопасные интерфейсы, отсутствие контроля над сотрудниками провайдера, утрата или утечка данных и др. Свежие примеры потери данных - взлом сети Sony PlayStation Network, инциденты с компаниями Amazon и Google. Докладчик также подчеркнул, что не спасает ситуацию и возможность заключить договор SLA с поставщиком - последнего все равно будет очень сложно привлечь к юридической ответственности.

Господин Климов отметил, что в российской практике сейчас тяжело выделить инициативы по информационной безопасности облачных сервисов, но за рубежом государства пошли по пути создания некоммерческой организации, выдвигающей на всеобщее обсуждение проекты документов и впоследствии предлагающей их в качестве открытых стандартов. На текущий момент таких организаций две - CSA (Cloud Security Alliance) со штаб-квартирой в США и российская RISSPA (Russian Information Systems Security Professional Association), недавно получившая статус филиала CSA. Выступающий рассказал, что на ближайшее время в планах RISSPA перевод нормативных документов, выпущенных CSA, и запуск в России учебных курсов по безопасности облачных технологий.

Телеком: забота о статусе

В настоящее время в телекоммуникационных сетях можно выделить достаточно много угроз. Это мобильное мошенничество, СМС-троянцы и спам, отправка денег с использованием пополнения счета телефона, наличие вирусов и т. п. По данным исследования "Безопасный Интернет", выполненного независимым агентством MASMI по заказу "ВымпелКома" в декабре 2009 года, 74% респондентов полагало, что провайдер должен предоставлять простые решения для обеспечения безопасности. При этом сегодня ни один оператор не воспринимается опрошенными, как обеспечивающий безопасность, а ведь ее проблематика обширна - выделяют финансовую, моральную, психологическую, технологическую, интеллектуальную и другие виды безопасности.

Дмитрий Устюжанин, руководитель департамента информационной безопасности компании "ВымпелКом", считает, что под безопасностью в телекоме подразумевается не столько защита электронных кошельков или личных данных, сколько забота о персональных ценностях, типа положения в социуме, общественного мнения, официального статуса. Спикер подчеркнул, что если игнорировать такой подход, то велика вероятность потери клиентов.

Докладчик рассказал, что основой операционной безопасности в компании является Security Operation Center, построенный несколько лет назад. В то время особое внимание уделялось технологической защите. Сейчас, по мнению господина Устюжанина, нужно следовать по другим направлениям. Актуальные векторы развития ИБ на сегодня - сервисы по ИБ для клиентов, защита Cloud Computing, выработка согласованных требований по ИБ и их контроль, CERT/CSIRT-кооперация, а также некоторые другие специальные подходы, с помощью которых можно защититься от неизвестных угроз.

Закон о персональных данных: грядут изменения?

Обычно стандартная ситуация, в которой, как правило, пребывают сотрудники отдела обеспечения ИБ, описывается следующим образом: средств на оборудование недостаточно, сервер подвержен постоянным атакам, в наличии внутренние конфликты, при этом надежность сотрудников гарантировать нельзя. Напрашивается вывод: если устранить изложенные проблемы, то ИБ в компании будет идеальна. Однако, как рассказал присутствующим Павел Головлев, начальник управления безопасности информационных технологий "СМП Банка", это далеко не так. Спикер отметил, что у них в организации была достигнута договоренность о полном доверии к службе ИБ, установлено самое современное оборудование, закрыты все уязвимости, разрешены все внутренние конфликты, при этом все работники на 200% лояльны. Но проблемы остались. И вытекают они из федерального закона № 152-ФЗ "О персональных данных".

Докладчик привел ряд ситуаций, когда из-за упомянутого закона возникают вопросы, не решаемые законодательным путем. Например, как начать обрабатывать персональные данные третьего лица при оказании услуги человеку, который пришел в банк? Господин Головлев резюмировал, что таким образом защита персональных данных сейчас превращается в защиту от закона о персональных данных. По его мнению, в условиях современной информационной гонки вооружений законодатель очень односторонне смотрит на проблему, то есть практически все права отданы на одну сторону, другая же получается совершенно беззащитна. При таком подходе можно придти к тому, что все ресурсы организации будут направлены на обеспечение физической безопасности и технической защиты, а о клиентах придется забыть.

О несовершенстве закона о персональных данных говорил и Александр Токаренко, председатель Правления НП "ДАТУМ". Он также привел ряд примеров, где отрицательно сказывалось буквальное исполнение федерального закона № 152-ФЗ. При этом докладчик продемонстрировал целый список совершенствований, благодаря принятию которых многие недоразумения были бы разрешены.

В частности, господин Токаренко предложил убрать раздражающий, по его мнению, пункт, в котором говорится что "оператором является лицо осуществляющее обработку", ввести определение "получателя персональных данных", изменить термин "обработчик", дать четкое описание того, что такое "согласие на обработку персональных данных" и т. п.