24 Марта, 2015

Реакция на инцидент в сфере информационной безопасности

Учебный центр "Информзащита"
Автор: Игорь Собецкий,
Заведующий кафедрой
экономической безопасности
Учебного центра "Информзащита"

– Приехавший по именному повелению из Петербурга чиновник требует вас сей же час к себе. Он остановился в гостинице.
Доклад об инциденте, повлекший неадекватную реакцию
Наиболее дефицитный ресурс при расследовании любого инцидента – это время. В особенности данный принцип относится к инцидентам, обусловленным хакерской активностью. Первые 2-3 дня с момента инцидента в этом смысле можно считать «серебряными», а первые несколько часов – «золотыми». Практика показывает, что вероятность успешного расследования инцидента сильно зависит от времени реагирования. При немедленной фиксации следов инцидента параллельно с обращением в правоохранительные органы удается эффективно защитить интересы пострадавшей компании примерно в 50-60% случаев. Если этот срок растягивается на 3-5 дней, то вероятность снижается до 10-15% – в наше время даже молодежь знает «безопасные» способы достижения сетевой анонимности. А вот по истечении 7-10 дней с момента инцидента наиболее вероятным способом установить виновных будет явка этих самых виновных с повинной в правоохранительные органы – бывают же иногда чудеса, верно?

К сожалению, в корпоративной практике своевременное обращение в правоохранительные органы встречается весьма редко. Гораздо чаще специалист по информационной безопасности, выявивший факт неправомерного доступа к автоматизированной системе компании, вначале решает получить «санкцию» у руководства компании. Руководители, в свою очередь, предпочитают принимать подобные решения коллективно – к обсуждению вопроса подключается юридический отдел, начальник службы безопасности, IT-директор, в тяжелых случаях даже учредители. На многочисленные согласования уходит драгоценное время. В результате заявление в правоохранительные органы подается слишком поздно, когда вероятность обеспечить эффективную защиту интересов компании уже ненамного отличается от нуля.

Из сказанного вытекает первое правило: в случае инцидента информационной безопасности с возможной (хотя бы только возможной!) криминальной подоплекой заявление в правоохранительные органы подается немедленно. Для этого желательно предусмотреть соответствующий пункт в нормативных документах компании. Желательно, чтобы специально выделенный работник компании – обычно это начальник службы безопасности или его заместитель по информационной безопасности (далее – СИБ) – имел соответствующую доверенность и был обязан подать заявление сразу же по выявлении инцидента.

Очевидно, что предпринять какие-либо действия по защите интересов компании СИБ сможет лишь после получения информации об инциденте. Однако в большинстве случаев пользователи предпочитают со всеми проблемами обращаться на help desk, а СИБ в лучшем случае малоизвестен в коллективе. Отсюда второе правило: СИБ должен быть доступен для обращений работников в любое время. Может быть, круглосуточное дежурство для какой-то компании выглядит чрезмерным, но такие простые вещи, как круглосуточный автоответчик на служебном номере или переадресация звонков на мобильный телефон, абсолютно необходимы. В противном случае СИБ может узнать об инциденте слишком поздно.

Получив информацию об инциденте, СИБ должен выполнить третье правило – оперативно оценить сложившуюся ситуацию. Речь здесь идет не о детальной экспертизе, а лишь о проведении «экспресс-оценки». В ходе такой оценки – общей продолжительностью не более 10-15 минут – СИБ должен оценить:
Ø реальность инцидента (что-то на самом деле произошло или проблема в чьей-то некомпетентности);
Ø потенциальный ущерб для компании;
Ø возможность дальнейшего негативного развития ситуации;
Ø наличие признаков умышленных противоправных действий;
Ø необходимость принятия экстренных мер.

Четвёртое правило. При выявлении признаков противоправных действий следует в первую очередь понять, окончено ли вторжение. Если угрожающие действия продолжаются, следует форсировать реакцию службы безопасности, не останавливаясь, например, перед экстренным вызовом в офис соответствующих специалистов. Если же посягательства уже прекращены, немедленная реакция не требуется. В этом случае желательны спокойные обдуманные действия. Желательно также оценить, находится ли злоумышленник в офисе компании. Если это так, следует немедленно обратиться в правоохранительные органы для организации задержания с поличным.

Многие СИБ, обнаружив попытку взлома сети или иных совершаемых удаленно противоправных действий, стараются немедленно перекрыть несанкционированный доступ в систему. Однако такое решение небесспорно. Оставшийся анонимным злоумышленник может повторить попытку взлома в другое время или вовсе скрыться и уничтожить улики. Поэтому пятое правило рекомендует не препятствовать действиям злоумышленника до установления его личности, если эти действия не угрожают немедленными катастрофическими последствиями.

Как только информация об инциденте становится достоянием широкой гласности – по крайней мере, внутри компании – начинается обсуждение случившегося в курилках. Плачевным итогом такого обсуждения оказывается выработка «коллективного бессознательного» – некоей версии, в наибольшей степени устраивающей широкие слои коллектива. Поскольку в коллективе не так много знатоков информационной безопасности, в качестве базовой выбирается либо наиболее удобная для всех версия, либо версия, выдвинутая наиболее авторитетным членом коллектива. А затем начинает работать психологический механизм фильтрации – работники начинают забывать реальные факты, не укладывающиеся в избранную версию «коллективного бессознательного», и вспоминать новые факты, поддерживающие эту версию.

Следует иметь в виду, что фильтрация не имеет ничего общего со сговором с целью дачи заведомо ложных показаний. Дающий ложные показания элементарно лжет, сам понимает, что лжет, и знает правду. С помощью нескольких стереотипных приемов уговорить такого человека рассказать правду не составляет большого труда. Подвергшийся же фильтрации человек не лжет, он искренне считает, что говорит правду, поэтому восстановить истинную картину событий в этом случае гораздо труднее. Отсюда очевидно шестое правило: обеспечить секретность, исключив распространение информации об инциденте хотя бы на первые 3-4 часа. За это время следует получить письменные объяснения от всех имеющих отношение к делу лиц.

Наиболее простой способ сохранить инцидент в секрете – предупредить работника, выявившего инцидент о недопустимости дальнейшего разглашения данной информации. Если этот способ ненадежен – например, данный работник умеет хранить тайну исключительно коллективно, совместно с как можно числом единомышленников – следует на время изолировать такого работника от всех контактов под предлогом, например, составления подробного письменного объяснения или оперативной консультации персонала службы безопасности.

Срочное выполнение этих правил даст читателю небольшую передышку, чтобы остановиться, обдумать случившееся и принять решение о необходимости и желательности полного расследования возникшего инцидента. Причем необходимо такое расследование не только – и даже не столько – для восстановления справедливости, сколько для достижения целого пакета целей:
Ø Установить способ вторжения в систему.
Ø Выяснить цели, которые преследовал злоумышленник. При этом следует понимать, что злоумышленник вовсе не обязательно является высококвалифицированным IT-специалистом, вследствие чего предпринятые им действия вовсе не обязательно приведут к желаемому результату. Например, злоумышленник мог, планируя получить административный доступ к системе, вместо того по ошибке стереть базу пользователей.
Ø Установить личность злоумышленника и принять меры [1] , исключающие повторение им противоправных действий.
Ø Установить мотивацию злоумышленника и его возможных соучастников, в том числе внутри компании.
Ø Возместить нанесенный компании ущерб
Ø Принять меры по устранению уязвимостей, которыми воспользовался злоумышленник.

В достижении части из этих целей могут оказать существенную помощь государственные правоохранительные органы, но некоторые вещи СИБ предстоит осуществить самостоятельно.

Теперь определим возможных субъектов такого расследования. Принять активное участие в розыске злоумышленников, в принципе, могут:
Ø Собственная служба безопасности компании, в том числе СИБ. Такое расследование идеально в случае, когда причина инцидента очевидна и обусловлена несчастным случаем или чьей-то ошибкой. Предполагается, что в этом случае ущерб от инцидента или пренебрежимо мал, или уже возмещен в добровольном порядке раскаявшимся мастер-ломастером.

Ø Государственные правоохранительные органы. К помощи государства имеет смысл прибегнуть, если есть серьезные подозрения в криминальной подоплеке инцидента, а также при наличии существенного ущерба для компани, который никто не торопится возмещать.

Ø Частные фирмы, специализирующиеся на расследовании инцидентов информационной безопасности. Как правило, к помощи частных специалистов прибегают в случаях, когда СИБ в компании отсутствует в принципе, когда причины инцидента темны и загадочны, а также при наличии существенных репутационных рисков для компании [2] .

Если на основе анализа имеющейся у него информации СИБ выбрал внешних субъектов расследования, будь то государственные органы или частные специалисты, не следует откладывать обращение за помощью. В идеальном случае заявление в правоохранительные органы (или обращение к частным специалистам) направляется в течение 2-4 часов с момента выявления инцидента. При обращении в государственные органы не следует прибегать к почте – неважно, обычной или электронной. Заявление подается в дежурную часть лично представителем компании (помните первое правило!).

Во избежание споров и неразберихи на начальном этапе расследования желательно иметь прописанную в нормативных документах компании постоянно функционирующую рабочую группу по расследованию инцидентов. В межрегиональных компаниях и холдингах может потребоваться даже несколько таких групп. При отсутствии уже сформированной группы СИБ совместно с руководством компании предстоит выполнить седьмое правило – четко определить руководителя расследования и в дальнейшем выполнять только его распоряжения. Исключить ситуацию, когда расследованием пытаются руководить «доброхоты», не отвечающие за конечный результат (IT-директор, менеджер по кадрам, генеральный директор и другие влиятельные в компании лица). На руководителя расследования также замыкаются все контакты со сторонними специалистами по данному вопросу и все инициативы от сотрудников организации любого ранга.

Далее необходимо немедленно вывести из эксплуатации затронутое инцидентом оборудование. Выполняемые на нем функции переводятся на резервные системы. Правило восьмое – отключать скомпрометированное оборудование крайне нежелательно! Многие вредоносные программы «живут» исключительно в оперативной памяти компьютера и бесследно исчезают при отключении питания. Поэтому достаточно отключить скомпрометированные компьютеры от локальной сети путем изъятия соответствующего кабеля. Решение о дальнейших действиях с данным оборудованием принимается на последующих этапах расследования.

Если принято решение провести расследование инцидента своими силами, то на начальном этапе следует получить подробные письменные объяснения от работника компании, первым сообщившего об инциденте, а также от всех остальных работников, которые могут иметь отношение к инциденту – работают в одном помещении с пострадавшей техникой или скомпрометированными данными, работают с теми же серверами или задачами, выполняют сервисные функции и т.п. Желательно собрать эти объяснения в первые часы после выявления инцидента, когда информация о нем еще не распространилась широко и не выработалось «коллективное бессознательное». В объяснениях получить как минимум следующую информацию:
Ø что именно произошло;
Ø каким образом работник об этом узнал (в процессе исполнения своих служебных обязанностей, случайно заметил, в процессе профилактического осмотра, узнал от третьих лиц);
Ø что, по мнению работника, могло стать причиной инцидента;
Ø кто в это время находился поблизости;
Ø кто приходил на место выявления инцидента;
Ø видел ли работник посторонних лиц;
Ø происходили ли подобные инциденты раньше, если да, то почему;
Ø кому и когда работник об этом сообщал, принимались ли меры;
Ø какие последствия может иметь инцидент, можно ли его немедленно устранить, каков может быть материальный ущерб.

Часть этой информации, скорее всего, на дальнейших этапах расследования окажется избыточной, но тем не менее получить ее надо, пока имеется такая возможность. Следует помнить, что после фильтрации сознания работников правдивая информация по инциденту может стать труднодоступной.

Дальнейшие действия сильно зависят от избранного субъекта расследования. В любом случае, каждый последующий шаг отталкивается от информации, собранной на предыдущих этапах.
[1] Разумеется, подразумеваются исключительно легитимные меры, такие как увольнение злоумышленника из компании, возбуждение уголовного дела и т.п.


[2] Автор, в частности, сталкивался с непрошеным расширением функционала Интернет-сайта одного спортивного клуба. Для российских посетителей открывался тот сайт, что был заказан владельцем клуба, а для посетителей с некоторых иностранных IP-адресов – сайт с изображениями «для взрослых», пригревшийся на халявном хостинге.