Звоните
8(919)770-20-38
(в Москве)
Главная >  Декабрь 2010 

 

На сто процентов защититься нельзя, но к этому надо стремиться


Предыстория такова. Управляющая компания холдинга «Сухой» была создана в 1996 году, и поначалу число сотрудников и информационных ресурсов в ней было невелико.

 

Управляющая компания российского авиационного холдинга «Сухой», обнаружив факт лавинообразного роста Интернет-трафика, провела пилотный проект по проверке информационной безопасности внешнего сегмента сети. Результаты проверки стали поводом для реализации в компании ряда мероприятий по укреплению ИБ.

 

Внешний открытый сегмент, примерно на десять рабочих мест, был организован для поиска аналитической информации и минимальной связи с контрагентами и партнерами холдинга. Для пользователей этой сети были созданы регламентирующие документы, запрещающие использование информации «ограниченного доступа», а системные администраторы без труда осуществляли необходимый контроль. Владимир Феоктистов, начальник управления ИТ-проектов дирекции ИТ авиационного холдинга «Сухой» рассказал: «Мы долго скептически относились к мировой практике, где считалось, что «зло» находится внутри, полагая, что «зло» у нас находится «за забором». Поэтому, развернув этот сегмент, мы сочли, что вполне защитились от внешних угроз с помощью антивирусных решений и предоставили пользователям практически неограниченные полномочия». До 2006 года ИТ-служба холдинга основные усилия сосредотачивала на решении внутренних задач и обслуживанию внутренней корпоративной ИТ-инфраструктуры.

 

При строительстве информационной инфраструктуры, согласно требованиям службы безопасности, ИТ-подразделение полностью физически отделила внутренний сегмент корпоративной сети, обслуживающей ключевые бизнес-процессы компании от внешнего сегмента, имеющего выход в Интернет.

 

Вполне естественно встала проблема организации контроля исходящего трафика. Другими словами, требовалась проверка существующей ситуации по информационной безопасности. Чтобы проверка была объективной и беспристрастной, решили обратиться к внешней компании, для чего объявили тендер. Требования к аудитору выдвигались такие: наличие соответствующих лицензий, потому что холдинг «Сухой» работает с государственной тайной и конфиденциальной информацией; наличие опыта аналогичной деятельности, а также владение инструментальным средством для анализа. Тендер выиграла компания LETA IT-company.

 

Однако последние два года управляющая компания начала разрастаться. Подобно снежной лавине, стал увеличиваться компьютерный парк с возможностью выхода во всемирную сеть, на порядки вырос трафик. Контроль за тем, что происходит во внешнем сегменте сети прежней численностью «сисадминов» осуществлять стало невозможно.

 

Примечательно, что проект был инициирован средним менеджментом – руководителями управлений и отделов, которые отвечают перед высшим руководством за то, что творится в компании. Организаторы проверки – ИТ-служба и служба безопасности «Сухого».

 

Пилотный проект

 

По словам Владимира Феоктистова, одним из значительных достоинств инструмента InfoWatch Traffic Monitor является централизованное управление, которое можно проводить с одного рабочего места. Проект длился с ноября 2007 года по январь 2008-го. «Мы постоянно находились в контакте со специалистами LETA IT-company, вместе анализировали статистические данные, собирали доказательную базу утечек. Оценили трудоемкость – оказалось, что без такого инструмента аналогичный анализ «вручную» потребовал бы порядка пяти тысяч часов рабочего времени».

 

В ходе проекта специалисты LETA IT-company проанализировали нормативную базу «Сухого», показали, где имеются недочеты. Затем с помощью InfoWatch Traffic Monitor в течение трех месяцев производился анализ того, что происходит во внешнем сегменте сети заказчика. Проверке, в частности, подвергся SMTP и HTTP трафик компании.

 

Ознакомившись с результатами проверки, руководство «Сухого», выделило средства на полномасштабное внедрение InfoWatch Traffic Monitor, убедившись в его высокой эффективности. Второе важное решение руководства – о переработке нормативной базы, включая концепцию безопасности предприятия, а затем, в соответствии с этим, выстраиванию единообразной политики безопасности.

 

В ходе проверки был найден ряд нарушений информационной безопасности. Плюс к этому аудиторы выявили огрехи в построении самой инфраструктуры открытого сегмента. В частности, передача в этот сегмент компьютерной техники, выведенной из эксплуатации во внутреннем сегменте сети, проводилась без должного контроля. Никто не задавался вопросом, какие задачи обрабатывались на этих компьютерах, и какого характера информация там осталась.

 

Intelligent Enterprise: Сегодня, кажется нет предприятия, где не проводились бы мероприятия по защите информации. Однако проблема существует. Как, на ваш взгляд, должна быть организована эффективная защита?

 

Одним из организаторов пилотного проекта, о котором мы рассказали, был начальник отдела техзащиты и противодействия иностранным техническим разведкам авиационного холдинга «Сухой» Вадим Антонов. Он поделился с нами своими соображениями по поводу того, как, должна быть построена политика безопасности на государственных предприятиях и в коммерческих компаниях.

 

Нелишне будет провести аудит, анализ существующих и потенциальных каналов утечки, проверки используемых методов и способов защиты. Дело в том, что технические средства промышленного шпионажа, применяемые в конкурентной борьбе, совершенствуются с каждым годом, а сами предприятия развиваются, растет и модернизируется их ИТ-инфраструктура, приходят новые сотрудники.

 

Вадим Антонов: Пожалуй, основное – это понимание, что обеспечение безопасности информации - не разовое мероприятие, а непрерывный бизнес-процесс. Прежде всего, руководитель должен определить, что он считает на своем предприятии информацией закрытой, утечка которой может повлечь за собой ущерб. С гостайной более-менее всё понятно – государство это жестко регламентирует. А степень защиты коммерческой тайны определяет руководитель предприятия – в этом вопросе всё возложено на него.

 

Словом, если руководитель предприятия понимает, что такое безопасность и не экономит на этом деньги, то на таких предприятиях, как правило, проблем не возникает. Однако это вовсе не означает - чем больше средств вложено, тем лучше. Важен баланс между объемом средств, затраченных на защиту информации и степенью критичности утечки. Для этого следует объективно оценивать возможные угрозы со стороны конкурентов. Конечно, руководителю предприятия нужен рядом человек, который профессионально разбирается в данном вопросе. Очень рекомендую серьезным организациям брать на работу профессионалов в области защиты информации.

 

По заключению аудиторской проверки следует разработать и выпустить внутренние документы, описывающие концепцию или политику информационной безопасности предприятия, где определен перечень конфиденциальной информации (без этого не ясно, что нужно защищать), как она должна защищаться. После всех согласований и подписания документа с ним необходимо ознакомить всех сотрудников организации. И обязательно ежегодно выделять определенную часть бюджета на мероприятия по обеспечению информационной безопасности, внедрение средств защиты, мониторинга, регламентных проверок и так далее.

 

С кадрами, как и везде, проблема. Остались еще выходцы из советских режимных предприятий. Но, к сожалению, их знания уже устарели. В те времена средства технической разведки были настолько несовершенны по сравнению с нынешними! Вся эта сфера развивается семимильными шагами. Те же мобильные телефоны. Ещё 10 лет назад это была массивная трубка, с помощью которой можно было только звонить, а сейчас это изящное коммуникационное устройство, которое может многое. Или, например, подслушивающие устройства – они стали буквально микроскопическими. Их можно оставить где угодно.

 

Много ли таких профессионалов?

 

Известен такой курьезный случай. Проверку нелинейным локатором (для обнаружения полупроводниковых приборов) проводили сотрудники, не умеющие им пользоваться. Это прибор сложный, и чтением инструкции здесь не обойтись – при неправильном обращении он найдет любые сопряженные железки, даже ржавые гвозди, но не «жучки». Так вот эти ребята, осуществляя проверку, переломали всю дорогую мебель в кабинете у генерального директора компании – они ломали ножки стульев, потому что прибор реагировал на металлический крепёж. А случается такое от нехватки специалистов…

 

А вообще, наука о комплексной защите информации еще очень молодая. Положительный факт: специалистов по информационной безопасности сейчас уже готовят несколько российских вузов – МИФИ, Гуманитарный университет и другие. Студентам этой специальности, конечно, практика нужна – теоретических знаний здесь не достаточно. Ситуация, как с системным администратором – если он ни разу не видел «живой» сети, администрировать ее он не сможет.

 

Защитой корпоративной сети меры безопасности, конечно, не ограничиваются. Представьте: люди приходят утром на работу, а в серверной прорвало трубу, сервер, на котором хранилась вся важная информация, выведен из строя. Если не было предусмотрено резервное копирование, то фирма не может дальше функционировать. И всё из-за какой-то протекшей трубы… Я уж не говорю про пожары и т.д. То есть безопасность начинается, грубо говоря, с контроля работы сантехника. Влияние человека, отвечающего за безопасность, должно распространяться на все подразделения компании, на каждого человека. И сотруднику хозяйственного отдела следует объяснить, например, что кондиционер, с которого капает вода, нельзя размещать над серверами. И так далее.

 

Когда речь заходит об информационной безопасности, многие начинают перечислять средства защиты сетей, антивирусное программное обеспечение – этого достаточно?

 

Однако комплексная защита информации стоит немалых денег, и чем дальше, тем более серьёзные вложения требуются в эту сферу. Я уже сказал, что некоторые закладные устройства сегодня представляют собой весьма миниатюрные устройства («шпионская пыль»). Такое устройство, обладая памятью большой емкости, накапливает информацию, в течение, скажем, недели, а затем за полчаса сбрасывает её в эфир. Раз в неделю к зданию подъезжает машина с соответствующей аппаратурой, и оператор принимает весь объем данных. Для обнаружения таких «закладок» существуют комплексы радиомониторинга. Сам процесс их выявления – это один-два месяца проверки – нужно отсканировать в широком диапазоне все радиосигналы, и из всего частотного спектра выявить именно тот, который передаёт закладное устройство – тот самый шпион или открытый канал утечки информации, через который конфиденциальная информация попадает к конкурентам.

 

Безопасность – это всегда комплексное решение. Причем, нельзя однажды придти, поставить огнетушитель, повесить датчики пожарной сигнализации и на этом успокоиться. Всё это нужно по регламенту проверять, контролировать, чтобы всё в экстренной ситуации сработало, как требуется. Та же пожарная сигнализация должна быть под контролем подразделения по безопасности.

 

Опять-таки, здесь руководитель должен принять решение, оценить уровень критичности информации, насколько серьезные последствия повлечет ее утечка. Например, нужны ли будут предприятию специалисты, ежедневно проверяющие помещение после визитов делегаций конкурирующих фирм на отсутствие «закладок». Если руководитель понимает проблему и принимает адекватные меры, то предприятие будет работать нормально.

 

И это лишь один из многих видов шпионской техники.

 

Инсайдер – самая распространенная угроза информационной безопасности?

 

Еще один важный момент. Безопасность начинается с руководителя. Если руководитель понимает всю значимость проблемы – он сам соблюдает принятые на предприятии принятые правила по безопасности и не делает исключений ни для себя, ни для своих подчинённых. Нередки случаи, когда заместители руководителя, топ-менеджмент «пробивают» себе различные послабления в этой области – начиная от пропускного режима и заканчивая открытием USB-портов на своих компьютерах. Между тем заместитель – тот же потенциальный инсайдер, которого можно завербовать, предложив, к примеру, раз в десять более высокую зарплату. Уровень внутренних нарушителей не ограничивается уборщицей и охранником. Встречаются люди довольно высокого полёта.

 

Работа через инсайдеров составляет порядка 60-70% всех методов шпионажа. Сейчас на предприятиях заметна тенденция – платить сотрудникам меньше, а работу с них требовать больше. Вербуется человек, который просто не доволен зарплатой (а такой есть на каждом предприятии). Этот «капиталистический» подход, адаптированный к России, приводит к тому, что злоумышленнику гораздо проще (и дешевле) иметь на интересующем предприятии завербованного агента.

 

Два основных канала утечки информации – инсайдеры и пресса. С прессой всё понятно. Сотрудники иностранной разведки много секретной информации получают из СМИ, просто они умеют её анализировать.

 

Как служба безопасности взаимодействует с ИТ-отделом?

 

Технические средства применяют в тех случаях, когда подкупить человека не удается. Во-первых, шпионская техника дорого стоит. Во-вторых, объем работ по её установке, организации скрытого съема информации – сложный технический процесс. Затраты по деньгам несоизмеримы с вербовкой.

 

Должны ли «безопасники» и «айтишники» быть в подчинении друг у друга – на этот счет существует много разных точек зрения. Я считаю правильным, когда они работают вместе – никогда нельзя всё сосредотачивать в одних руках. Доступ к критичным настройкам сетевого оборудования должен контролировать администратор безопасности. К сожалению, во многих компаниях системные администраторы имеют неограниченные возможности. Представьте последствия, если один такой человек «обидится».

 

На многих предприятиях это извечный конфликт. Причины разные, но основные моменты сходны. В постсоветское время о сохранности информации заботились ИТ-службы. Они основные усилия сосредотачивали на поддержание работоспособности корпоративных сетей и их защите. При образовании служб ИТ-безопасности возник конфликт полномочий. Чтобы его разрешить, на некоторых предприятиях начали разрабатывать регламенты по их разграничению, хотя наличие подобных документов пока еще большая редкость.

 

С какими еще проблемами приходится сталкиваться службе ИТ-безопасности?

 

Природа такого взаимодействия очевидна: задача ИТ-службы – предоставить пользователю как можно больше возможностей, чтобы ему было удобно работать. А задача службы ИБ - безопасность информации, причём в рамках не только информационной сети, а всей компании. А ведь безопасность – это всегда ограничения. Вот здесь и важно найти тот самый баланс. Без нормального взаимодействия ИБ и ИТ-служб сделать это невозможно.

 

К слову, о современном законодательстве в сфере защиты информации – оно в нашей стране весьма отсталое. Вышел Федеральный Закон об информатизации, информационных технологиях и о защите информации, который сменил предыдущий. Вышел Федеральный Закон о персональных данных – сейчас по нему разрабатываются документы о том, как эти данные защищать. Закона о служебной тайне до сих пор нет, а положение о ДСП устарело. Очень много неясного. Например, существует перечень конфиденциальной информации, где определено шесть её видов. Но разобраться в этом не могут до сих пор. На одних предприятиях зарплата относится к персональным данным, на других составляет коммерческую тайну предприятия, и так далее. Надо ли говорить, что от несовершенства законодательства страдают службы ИТ-безопасности, да и сама информационная безопасность.

 

Одна из проблем – падение культуры работы с информацией в стране. Эта тенденция наблюдается последние десять-пятнадцать лет. В «доперестроечные» времена люди относились к информации довольно щепетильно – тогда государство уделяло достаточно внимания защите гостайны.

 

Возможна ли стопроцентная защита информации?

 

Также могу отметить излишнюю доступность спецаппаратуры, которая продается даже через Интернет, правда в закамуфлированном виде.

 

На средства разграничения доступа тоже нельзя полностью полагаться. Безусловно, такие средства проходят у производителя скрупулезное тестирование, затем обкатку, но ведь невозможно дать гарантию, что эти средства – панацея от всех бед, не подлежащая взлому.

 

На самом деле, всё, что защищено, рано или поздно будет взломано. Развитие средств защиты идет параллельно с развитием средств взлома. Универсального средства не существует, и никогда не будет существовать. Всё так же, как и в антивирусной практике – если не обновлять антивирусную базу, однажды вы получите вирус, который ваша система не обнаружит.

 

Рекомендуем ознакомиться:
- В Нижегородской области проведена работа по подготовке к пожароопасному сезону 2008 года.
- Главный МЧСник Челябинской области посетил Магнитку.
- Шел Иван дорогами побед….
- Виктор Панин: "Полностью исключить проверки мы не вправе".
- Мэр Магнитогорска проверил «боеготовность» пожарных.

 

Главная >  Декабрь 2010