Я не перестаю удивляться тому ощущению безопасности, которое живет в наших людях
А. Конусов*
«Мы уверены, что наша информация защищена на 100 %? Мы можем гарантировать, что не произойдет ее утечки? На такие вопросы всегда сложно ответить руководителю по информационной безопасности, даже если внедрены современные технические средства, никто не может однозначно сказать: «Мы уверены, что закрыли все имеющиеся дыры», — говорит Андрей Конусов, генеральный директор LETA IT-company. О реальной оценке рисков, выявлении наиболее критических уязвимых мест, выстраивании процессов вокруг них — в интервью журналу Управление Персоналом.
О рынке информационной безопасности
В настоящий момент рынок информационной безопасности переживает очень серьезный подъем. И для этого есть целый ряд причин. Так, экономический кризис внес свою лепту в возросшую ценность информационной безопасности (ИБ). Если в период бурного роста рынка клиентов было в достатке и не было необходимости серьезно изучать работу конкурентов, пытаться заполучить их клиентские базы, какие-то наработки, так как места под солнцем хватало всем, то сейчас ситуация ужесточилась и ценность подобной информации значительно возросла. А значит, вопросы обеспечения ее защиты тоже стали важным фактором. Второй серьезной составляющей роста интереса к информационной безопасности стало вступление в действие Федерального закона «О персональных данных», который хоть и был принят в 2006 году, но активное приведение в соответствие с ним систем информационной безопасности компаний началось только в конце 2008-го, когда приближался дедлайн по установленным срокам. Закон стал первой законодательной ласточкой на российском правовом поле. И это действительно очень знаковое событие, потому что уровень регламентации вопросов ИБ в развитых западных странах в разы более серьезный, чем в России. У нас до настоящего момента большая часть всех законодательных требований относилась только к государственным структурам, имеющим целый перечень соответствующих положений по обеспечению информационной безопасности. Что же касается работы коммерческих организаций — было абсолютное соборотворчество. С появлением этого закона можно говорить о том, что его положения подвигли многие компании и их руководителей посмотреть на тему ИБ немного с другой стороны. Самое важное, что появилось понимание того, что это только первый шаг и ситуация с ИБ на законодательном уровне будет продолжать развиваться.
Возможно, это будет носить отраслевой характер, а значит, появятся новые отраслевые требования и рекомендации по обеспечению безопасности. Но вполне допускаю, что и на уровне федерального законодательства еще будут происходить серьезные изменения.
Именно поэтому мы внимательно отслеживаем все тенденции и можем с уверенностью говорить, что сегодня происходит качественное изменение рынка ИБ. Его основная суть в том, что раньше защита информации воспринималась как набор технических средств, внедрив которые, можно было чувствовать себя спокойно. Сейчас подход к ИБ совершенно иной. Сама по себе система обеспечения информационной безопасности не дает уровня защиты. Его обеспечивают, с одной стороны, люди, которые работают с этой системой, а с другой — процессы использования информации, которые выстроены в компании (с информацией работают все сотрудники, а ее безопасность обеспечивают немногочисленные подразделения ИБ). Если это подразделение не имеет возможности устанавливать единые правила для всех сотрудников, работающих с информацией, а также определенным образом влиять на процессы, происходящие в ней, то было бы наивно предполагать, что сохранность информации будет обеспечена. Соответственно, суть качественного изменения рынка в том, что мы переходим от простого внедрения технических средств к выстраиванию комплексных систем ИБ в рамках компании. Поэтому с точки зрения услуг на первый план выходит не внедрение технических решений, а консалтинговая помощь клиентам в выстраивании процессов управления.
Совсем недавно основные средства защиты были ориентированы на обеспечение безопасности от внешнего вторжения, когда предполагалось, что есть некий внешний злоумышленник, куда проще для конкурентов внедрить в компанию «своего» чело века или замотивировать кого-то из уже работающих сотрудников, для того чтобы он, имея доступ к информации изнутри, мог совершенно спокойно что то вынести, скопировать и т. д. Поэтому по следние года два основной тенденцией является использование средств защиты от утечек и краж информации инсайдерами. Дей ствительно, гораздо проще человеку, который имеет легальный доступ к информации, в удобный момент аккуратненько ее куда ни будь скопировать, переписать, вынести и отдать — никто никогда в жизни не узнает (или узнает, но будет уже поздно). Ведь внешний взлом — это событие: кто-то взломал сеть, обрушил средства за щиты, украл… по крайней мере, организация, у которой информацию вырвали таким силовым методом, точно понимает, что произошло и как нужно реагировать.
О вторжении извне
Это атаки на компьютер через удаленные машины для запуска опасного кода. Сегодня такое вторжение — хорошо планируе мая операция. Это хорошо проду манная последовательность дей ствий. При этом современная атака автономна, «человеконезависима»: если раньше крупные «взломы» должны были одновре менно проводить несколько людей, которым обязательно нужно было предварительно договориться между собой, то сегодня все уже автоматизируется — количество «зомби компьютеров», участвующих в атаке, время и спо соб активации вируса, или трояна, алгоритм и последовательность их действий. Не изменилось только то, что и сегодня вторжения готовятся заранее. Глупо пытаться пробить бронированную стену из пистолета, а потом перебивать тонкий телефонный шнур крупнокалиберным снарядом — скорее, заранее спланировав задачи, оценив ресурсы и слабые места противника, правильно сделать наоборот и адресно воздействовать самым сильным оружием на самые слабые места. Аналогичным образом строятся внешние атаки.
Злоумышленники часто длительное время проверяют существующие уязвимости, анализируют их доступность для использования, потом пробуют их «пробить». Способов много. Например, часто хакеры намеренно создают видимость постоянного и якобы «случайного» срабатывания какого-то средства защиты — допустим, системы оповещения об уровне опасности поступающих писем, требующие всякий раз нажимать «Игнорировать», чтобы убрать выскакивающее окно. Через некоторое время пользователь или сетевой администратор компании, устав отвлекаться на «ложные» срабатывания, временно отключает оповещения, чего как раз и ждут злоумышленники, и на компьютер пользователя или в локальную сеть компании попадает вредный код, угрожающий информационной безопасности. Попавшие внутрь файлы могут или сработать сразу, или запуститься в какой-то момент, когда средства защиты отключаются самостоятельно (или блокируются вредоносными программами).
Именно тогда происходит инцидент по нарушению защищенности информации — она удаленно копируется и отправляется на «вшитый» адрес, или искажается, и в нее вносятся изменения, или удаляется и т. п. Современные вирусы в большинстве своем настроены на бизнес-полезность для своих разработчиков. Если раньше запуск вируса был своеобразной формой протеста молодых ребят, вирусы которых просто ломали все вокруг: портили, тормозили, стирали… то сейчас большая часть из них имеет абсолютно четкий посыл: они позволяют скачивать ценную информацию с компьютеров, на которых были расположены, или используют компьютер, на котором были развернуты, например, для (D)DoS-атак.
Машина, зараженная вирусом, сама генерирует трафик, который может использоваться для рассылки спама либо массовых запросов на серверы каких-то компаний. Термин «DoS-атака» — атака типа «отказ в обслуживании», направленная на систему с целью вывести ее из строя чрезмерно большим количеством поступающих к ней от других компьютеров запросов, которые система не успевает обработать. Причем весь этот объем трафика, который сыпется, генерируется как раз зараженными компьютерами. Это не то что 10000 хакеров одновременно сели в каком-то месте и разом с 10 000 компьютеров осуществляют рассылку этих писем. А просто вирус, который по цепочке (рассылкой писем через контакты в почте и т. п.) заразил целую сеть компьютеров, по команде по указанному адресу начинает отправлять определенные сообщения со всех зараженных машин. Замечу, что это вполне возможно сделать даже силами одного человека. Однако современные средства защиты от внешних угроз достаточно эффективны. Поэтому, чтобы пробиться через них, нужны огромные трудозатраты. К тому же компания, на которую будет совершено такое нападение, сразу узнает, что это случилось. По этой причине атаки требуют от злоумышленников серьезной изобретательности и предварительного продумывания.
Об инсайдерах
Информация, унесенная инсайдером, сам факт утечки — может не вскрыться никогда или вскрыться, когда информация, которую украли, была уже использована. Что касается примеров, у нас был клиент, страховая компания, потративший почти год и несколько миллионов долларов на разработку некоего инновационного страхового продукта, который должен был быть предложен этой компанией первой на рынке и привести к серьезным конкурентным преимуществам. Понятно, что конкуренты среагировали бы и через 2-3 месяца они бы просчитали, что сделала эта компания, а с задержкой на квартал у них появились бы аналогичные продукты. Но за этот квартал компания рассчитывала снять с рынка сливки. Некий уволенный сотрудник (его уволили по иным причинам), причем не ключевой, но принимавший участие в разработке, унес все расчеты, которые были произведены для этого продукта и благополучно продал их компании конкуренту. В итоге эта компания, не потратив ни рубля на разработку, выпустила продукт на полтора месяца раньше, чем компания, которая планировала запустить этот продукт сама. Конечно, они сразу, как только данный продукт появился у конкурента, вдо гонку форсированными темпами запустили этот продукт. Но все равно они не были первыми — раз, и не имели того времени, за которое планировали реализовать конкурентные преимущества. А главное, что ключевой конкурент этой компании сэкономил деньги на разработку аналогичного продукта и остался в двойном выигрыше — не только получил продукт без серьезных затрат на НИОКР, но также обеспечил себе все преимущества первопроходца на рынке.
Был еще известный прецедент, когда одна из нефтяных компаний потратила очень серьезные сред ства на геолого разведывательную деятельность. Не секрет, что геологоразведка в «нефтянке» — одна из самых затратных статей: миллионы замеров, измерений с целью найти, а как только нашли — это крупнейший секрет, потому что своевременно получить лицензию на разработку этого ме сторождения проблематично, как говорится, кто успел, тот и съел. И та же ситуация — кража информации. Понятно, что эта информация не из разряда тех, которая выкла дывается на ресурсах, доступных извне.
Кто-то из инсайдеров ее вынес. Закончилось, правда, все благополучно, и компания через суд смогла доказать, что именно она производила геологоразведку. Но на это потребовался почти год судебных разбирательств. Если бы другая нефтяная компа ния смогла бы получить эту лицензию, то сэкономила бы сотни мил лионов долларов. Вот это самые простые примеры, когда некая ин формация в электронном виде обходится в огромные деньги.
Когда уволившийся сотрудник забирает с собой клиентскую базу, какие-то контакты — это тоже инсайд. Ни для кого не секрет, что сотрудник, которого в кризис потенциально увольняли или могли уволить (это классика), уходя с работы, может унести максимум информации. И не обязательно он планирует использовать ее во вред своему предыдущему работодателю, но для себя лично, что называется, пусть будет. Многие, меняя место работы, копируют какие-то собственные наработки, авось пригодятся. С другой стороны, той компании, из которой люди уходят, логично было бы постараться сохранить свои ключевые ценности. Тут есть интересная грань: только 1,5-2 % информации, которая была вынесена из организации, было использовано со злым умыслом. Эти люди осмысленно искали и находили информацию, потом передавали ее кому-то еще, используя во вред той компании, из которой вынесли. А вот более 98 % информации — это информация, которая попала во внешнюю среду по халатности или незнанию. Например, бухгалтер с чистой совестью и добрыми намерениями просит своих коллег поработать в выходные дома (допустим, не успевают с отчетностью). А дома у кого-то из них оказывается, что компьютер не защищен, антивирус не обновлен. И эти файлы уходят злоумышленникам, людям, которые до сего момента про эту компанию и не знали. Но они-то ребята уже достаточно искушенные, и понять, что это внутренняя финансовая информация определенной организации — не так трудно. А дальше, чуть-чуть пофантазировав, можно придумать случай, как обратиться к руководству этой компании, сказав: «Вот вся ваша бухгалтерия (не секрет, что многие ведут двойную). Не хотите ли вы предложить нам что-нибудь в обмен на то, чтобы она не попала в соответствующие органы?»
О типизации мошенников
Первая категория — это конкурирующие между собой корпорации, когда одна компания пытается найти какие-то данные на другую и целенаправленно нанимает инсайдеров. Вторая: организованные группы, которые работают широким фронтом. Они сами не являются коммерческим лицом. Их можно сравнить с командой физлиц, которые выкачивают деньги всеми возможными способами. Есть вполне логичная схема — например, те же самые вирусы. Когда в какой-то момент у вас на компьютере появляется табличка, что вы в тестовом режиме использовали некий программный продукт, сами его скачали, запустили, срок его легального использования истек, и теперь вам нужно заплатить определенную сумму, чтобы использовать этот программный продукт дальше. Табличка будет выскакивать таким образом, что закроет весь экран компьютера. И убрать ее невозможно. Вам предлагают отправить СМС-сообщение по такому-то номеру с вашего телефона, и эта сумма будет списана с мобильного. Например, рублей 200. Вроде бы деньги небольшие… Но вас должно сразу насторожить то, что легально используемый программный продукт не подразумевает столь жесткого требования.
Вы попользовались тестовой версией, она может закрыться и не открываться, но не должна блокировать весь компьютер. Для менее искушенного человека это неочевидно. Он вводит номер, и в итоге исчезают не 200 рублей, а все деньги, которые были на телефоне. При этом деньги, которые у вас украли нелегальным путем, попадают на счет, который выстроен цепочкой: они быстро перекидываются по всему миру, и где-нибудь в далекой стране в течение нескольких часов человек их обналичивает. Пока кто-то серьезно займется расследованием и отследит всю эту цепочку движения денег, их фактически уже нет, их сняли. Понятно, что вряд ли у кого-то на счету мобильного миллионы. Но поскольку это происходит одновременно с большим количеством людей, то мошенник, который пойдет снимать деньги через банкомат, конечно же обналичит много тысяч долларов. Потому как в один и тот же момент такую глупость совершило энное количество людей, которые потеряли свои деньги.
У меня была подобная ситуация: я сам эту программу не скачивал, но компьютером пользуется и мой ребенок. Поскольку опыт большой, я никогда никакие эсэмэски просто так не отправляю. Если говорить об информационной безопасности в принципе, уровень развития современных технологий сейчас таков, что это уже не только дело крупных корпораций, но и личное дело каждого человека.
О будущем
Основная идея информатизации нашей жизни: возрастающая роль компьютеров в жизни общества. Хоть этот процесс идет медленно, простые люди могут и не осознавать того уровня проникновения ПК в жизнь, который имеет место. Простейший пример: те же самые социальные сети. Портал «Одноклассники» каждый месяц рапортует о количестве зарегистрированных пользователей. Сегодня уже много миллионов людей пользуются компьютерами, причем не только в столичных городах, где число пользователей Интернетом приближается к 70-80 %, но и в небольших поселках. Мои родственники живут в деревне на Алтае, где на всю округу всего два компьютера, но и там 70 % населения (всего живет около 100 человек) ходят к этим двум людям в гости, для того чтобы поискать в «Одноклассниках» старых друзей.
Даже люди, которым уже далеко за 50 раз в месяц ходят узнать, как дела у их родственников, живущих в другой стране, или где-то еще — это кажется логичным способом. Но, с другой стороны, если посмотреть на потенциальные угрозы, которые таят социальные сети — об этом никто пока не думает.
О социальных сетях и безопасности
Социальные сети предлагают рассказать о себе, своей истории: заполнить подробную анкету, где учились, работали, жили и т. д. Приведу несколько примеров использования социальных сетей со злым умыслом. Человек пишет о себе всю информацию, выкладывает фотографии, при этом через сеть реально с ним установить контакт, поскольку все инструменты ориентированы на то, чтобы общаться. Понятно, что эти сайты могут использоваться огромным количеством даже вполне легальных государственных органов. То же самое громкое дело, когда девушка подала в суд на местный военкомат за использование ее фотографии в качестве «приманки» для призывников. Логика предельно простая: симпатичная девушка, зарегистрированная на сайте, вступает в контакт с некоторыми молодыми людьми. Они какое-то время мило беседуют, общаются, потом логично приходят к идее встретиться. Назначают место, время, молодой человек приезжает с цветами, а его встречает военком с парой крепких ребят, которые давно его искали и никак не могли найти… и молодой человек благополучно идет служить. До этого ему девушки звонили домой (секретари из военкомата), спрашивали: «Васю можно?» — он отвечал: «Да, я Вася, привет». Далее шел записанный по телефону разговор: «Я из военкомата, Вы должны явиться такого-то числа туда-то», что уже является достаточным основанием для уголовного преследования за неявку. Но эффективность этих когда-то модных и новых методов воздействия сегодня почти нулевая. Поэтому и военкоматы, и коллекторские агентства, другие структуры, от которых скрываются должники, все больше используют в работе современные технологии, применяя методы «социальной инженерии» в них. Еще совсем недавно в ходу была классика жанра: приходит повестка домой — «не получал», приходят люди домой — «его нет».
Сыновей душой и телом ограждали от воинской повинности. Сын расписаться не может — родители за него не расписываются. Поэтому до тех пор, пока ему повестка не поступила, он никакой ответственности за неявку не несет. По телефону застать тоже трудно. А теперь у вас есть все шансы проверить, потому что человек на сайте заполняет анкету о себе, где описывает всю историю своей жизни, плюс фотографии (в личном деле тоже наверняка есть, сопоставить несложно). Дальше все достаточно просто... Не секрет, что примерно по такой же схеме службы безопасности банков и коллекторские агентства находят своих должников. Я не перестаю удивляться тому ощущению безопасности, которое живет в наших людях: если ты дома не появляешься, при этом кому-то должен, то общаться в сети так же опасно, потому что через нее тебя могут благополучно вычислить. Если ты встречаешься с девушкой, с которой поддерживал контакт два месяца до этого, и рассуждаешь: «Кто там из банка будет со мной два месяца переписываться о личных делах, кокетничать?.. Ерунда какая-то!» А вот подумайте сами: невелика задачка для какого-то коллекторского агентства посадить трех-четырех студенток на небольшую зарплату, которые будут в свободное от учебы время переписываться. Их задача: вывести такого-то человека в такое-то место и сообщить агентству, где этого человека можно забрать — ничего трудного нет, даже не особо затратно.
В аналогичных целях сегодня часто используют роботов — автоматические программы, заранее «знающие», что ответить собеседнику, исходя из обычного, повседневного построения диалога. Роботы на форумах работают очень четко. Но обычно робот оправдан для маркетинга: там работа выстраивается на целевую аудиторию, и если 20 % людей поймут, что это роботы и откажутся от общения, 80 % сработают все равно. Когда же мы говорим о поиске конкретного человека, то все-таки лучше работать живому человеку — шансов прокола гораздо меньше. Вывести робота на чистую воду несложно — достаточно построить диалог невпопад или задать несколько логически несвязанных вопросов, предполагающих конкретные ответы.
Способов легального использования социальных сетей в своем бизнесе огромное количество. Даже мы иногда находим некоторых кандидатов, если знаем, что есть в такой-то компании-конкуренте интересный нам человек, но его публичные координаты достать невозможно, выходим на него через социальные сети. Реакция бывает разной, но это лучше, чем вообще не иметь возможности достучаться. Потом, не секрет, что сейчас те же самые кадровые службы просто обязаны посмотреть, например, «Живой журнал». Человек был у тебя на собеседовании, а потом вечером в ЖЖ пишет, как он воспринял работодателя и что по этому поводу думает и т. д.
Информационная безопасность сегодня — это не разовая закупка каких-то средств защиты информации и даже не однократное привлечение компании — системного интегратора, а непрерывный, самостоятельный и важный бизнес-процесс, который потребует постоянного внимания со стороны руководства компании.