Security Lab

Кто предупрежден – тот защищен

Кто предупрежден – тот защищен

“Главная задача бизнеса – это выживание, а главный принцип деловой экономики – не получение максимальной прибыли, а предотвращение потерь.”

 

“Главная задача бизнеса – это выживание, а главный принцип деловой экономики – не получение максимальной прибыли, а предотвращение потерь.”


Питер Дракер

Введение. История вопроса

Сегодня сложно представить современное предприятие, которого не касались бы вопросы защиты информации.

Еще в середине 90-х годов в Москве появились первые компакт-диски с телефонными базами МГТС. В 1996 году в продаже появились списки абонентов сети "Билайн". В октябре 2002 года после завершения всероссийской переписи населения в продаже появились диски с данными переписи. В конце ноября 2002 года в продаже появился первый тираж дисков абонентской базы МТС, в январе 2003 года вышло второе издание. 20 мая 2003 года стало известно, что в свободную продажу поступила база данных об абонентах всех крупнейших телефонных компаний Санкт-Петербурга. Летом 2004 года компания "Вымпелком" обнаружила сайт sherlok.ru, который предоставлял информацию об абонентах "Билайна", "МегаФона" и МТС в Москве и Санкт-Петербурге. В ноябре 2004 года русский Forbes сообщил, что в продаже появилась часть базы данных Пенсионного фонда РФ, содержащая информацию о месте жительства и доходах 3 млн жителей Москвы. В апреле 2005 года в продаже появилась база данных о банковских операциях Банка России за IV квартал 2004 года, в которую попала информация, касающаяся продажи с аукциона основного добывающего предприятия ЮКОСа "Юганскнефтегаза".

В конце октября в СМИ появились сообщения о краже базы данных одного из российских регистраторов – компании «НИКойл», ведущей реестры нескольких сотен крупнейших отечественных эмитентов. Несмотря на то, что вскоре в «НИКойле» опровергли сообщения о краже, отметив при этом, что сведения, предложенные мошенниками на продажу, на самом деле являются простой компиляцией разрозненных данных, которые в разное время были либо опубликованы в открытых источниках, либо предоставлены различным контролирующим органам, тема незащищенности личной информации была поднята вновь.

И вот вчера на черном рынке появилась очередная база данных о доходах москвичей — теперь за 2004 г.

Правовое обеспечение.

Торговля базами данных с конфиденциальной информацией совершенно незаконна. Она подпадает под ст. 183 УК (“незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну”), говорит в интервью «Ведомостям» партнер коллегии адвокатов “ФБК-Право” Александр Сотов. По его словам, если налоговую тайну разгласит работник ФНС, т. е. лицо, которому она стала известна “по службе или работе”, ему грозит лишение свободы до трех лет, а если у него была при этом “корыстная заинтересованность” — до пяти лет. Если в результате разглашения произошло преступление с тяжкими последствиями — например, база попала в руки вымогателей, которые похитили и убили родственника какого-нибудь миллионера, — срок может увеличиться до 10 лет. “При желании посадить в тюрьму на два года можно даже покупателя базы”, — говорит Сотов.

Тем не менее, сведения о доходах москвичей получают огласку регулярно: весной 2005 г. поступили в продажу аналогичные базы за 2003 г., а в ноябре 2004 г. — за 2002 г. Гендиректор “Налоговой помощи” Сергей Шаповалов считает, что утечка может происходить либо из Федеральной налоговой службы, либо из ее территориального управления по Москве. “Данные, представленные в базе, есть только у налоговиков”, — уверен он. Представитель Федеральной налоговой службы Елена Толгская отказалась комментировать как появление в продаже новой базы за 2004 г., так и какие-либо детали расследования по старым утечкам. Отказались от официальных комментариев в МВД и ФСБ. Источник в центральном аппарате МВД сообщил, что по утечке данных о налогоплательщиках — физических лицах “конкретных уголовных дел нет”. Неудивительно, что в Москве можно купить и другие аналогичные базы — например, по банковским проводкам Центробанка за 2003-2004 гг., по экспортно-импортным операциям с информацией о количестве, стоимости, поставщике, получателе товара с января 2004 г. по июль 2005 г. или базу ГИБДД со сведениями обо всех автомобилях и их владельцах в столице.

“Для пресечения торговли базами в России есть все необходимые законы, просто прокуратура не следит за их исполнением”, — считает председатель банковского комитета Госдумы Владислав Резник.

Александр Малис, вице-президент “Корбины Телеком”, уверен, что базы несложно защитить техническими средствами, ведь, например, сведения об абонентах большинства операторов связи на черном рынке не продаются. По оценке Малиса, защита от утечек обойдется недорого — стоимость программного обеспечения вырастет на 10-15%.

Олег Афанасьев, генеральный директор Национальной регистрационной компании, сказал в интервью HeadHunter::Magazine: «Вообще сам факт того, что личные данные о человеке могут гулять по стране, очень неприятен. В свое время продавали базы данных налоговых инспекций: кто, где и сколько получает, кому и что принадлежит, где человек живет и какие у него паспортные данные. Это плохо само по себе, и даже если такой информацией никто не собирается злоупотреблять, оно мало у кого вызовет чувство радости».

Виктор Плескачевский, депутат Госдумы, в интервью «Газете» утверждает, что «в 25% случаев кража данных – дело рук самих сотрудников компаний, к остальным фактам причастны правоохранительные и налоговые органы».  Он предлагает создать механизмы контроля над рисками утечки информации и внести соответствующие поправки, способствующие ограничению доступа к базе данных регистратора, в Арбитражно-процессуальный кодекс РФ и Уголовный кодекс РФ.

Какая еще информация может появиться на рынке?

Денис Селезнев, управляющий группы консалтинговых компаний «PRADO Банкир и консультант»: «Ценность представляет только полная и актуальная информация, содержащая личные сведения о конкретных физических лицах или конфиденциальную коммерческую информацию о компаниях. В России состояние баз данных, охватывающих большие сферы деятельности общества, далеко от идеала. Поэтому, какие бы базы не появились, например база по собственникам московской недвижимости, это не будет катастрофично. Фактическая защищенность баз данных в России не ниже, чем в США: наши предприятия используют те же самые системы безопасности. Но чем обширнее база данных и чем больше важной информации она содержит, тем большее количество людей отвечает за ее наполнение и поддержку и, соответственно, тем выше вероятность того, что эта база окажется в свободной продаже. Например, в рамках дальнейшей автоматизации сбора налоговой отчетности в электронном виде определенно будет производиться регулярная консолидация этих данных. Оказавшись на рынке, такая база представит значительную угрозу сохранению коммерческой тайны компаний».

Владимир Сорокин, вице-президент группы «АльфаСтрахование»: «Апофеозом так называемой «информационной прозрачности» наших официальных структур может стать появление на Митинском рынке и перекрестках столицы баз данных ФСБ по физическим и юридическим лицам. Увеличивающийся год от года сбор госучреждениями различной конфиденциальной информации от граждан с последующей ее публикацией на недорогих и доступных компьютерных дисках является самым ярким доказательством демократии в стране – вот бы Западу поучиться!»

Павел Бойко, президент Инвестсбербанка: «Появляется та информация, стоимость раскрытия которой превышает цену, затраченную владельцем на содержание ее в тайне. Последние события показывают, что, с одной стороны, держателям конфиденциальной информации необходимо увеличивать затраты на охрану, а с другой – надо ужесточать меры по наказанию информационного пиратства».

Марина Трещова, генеральный директор холдинга PPE Group: «На рынке может появиться любая информация, на которую есть спрос: это касается как баз данных о физических или юридических лицах, так и иной информации, представляющей какой-либо коммерческий интерес. Вопрос в цене и способах получения такой информации. Как правило, это комбинация человеческого и технического факторов. Способы воспрепятствования хищению информации хорошо известны, они являются сочетанием все тех же технических и человеческих факторов. К сожалению, никто не может обеспечить стопроцентно гарантированную защиту информации: приемы, позволяющие ее украсть, совершенствуются так же быстро, как и приемы защиты».

Юрий Добронравов, управляющий партнер юридической компании «Добронравов и партнеры»: «Полагаю, что информация о владельцах золотых кредитных карт типа Visa Gold вполне может заинтересовать злоумышленников и, соответственно, появиться в продаже. К сожалению, на 100% застраховаться от этого невозможно. В любой компании с конфиденциальной информацией дело имеет не один сотрудник, а несколько. Кроме того, технические средства защиты данных тоже не могут быть совершенными. Мне кажется, даже если бы информация хранилась в рукописном виде под подушкой у главы компании, она все равно не могла бы считаться полностью защищенной. Я не думаю, что такая ситуация характерна исключительно для нашей страны. Возможно, в России подобные случаи чаще разглашаются, обсуждаются в прессе. Конечно, в европейских городах отсутствуют аналоги нашего Митинского рынка».

Что делать?

Предприятие, взаимодействующее с различными государственными учреждениями, зарубежными партерами или заказчиками, может столкнуться с необходимостью гарантировать им, что его информационная система соответствует базовому уровню информационной безопасности.

Независимо от того, на каком этапе развития находится информационная система предприятия, она должна соответствовать определенному набору минимальных требований к режиму информационной безопасности. Кроме того, для повышения доверия к защите информации компании необходимо проводить независимый аудит систем безопасности.

При этом для проверки уровня защищенности информационной системы предприятия как государственного, так и частного определяющую роль играет выбор критериев оценки. Проведенный анализ рынка в области защиты безопасности информации показал, что российским компаниям целесообразно применять международные стандарты, а также ввести сертификаты, удостоверяющие уровень безопасности.

На заре становления рыночной экономики организации делали все так, как считали нужным. Если крупные и государственные предприятия руководствовались ГОСТами, то небольшие и частные фирмы редко обращали внимание на стандарты вообще. Сейчас признаком хорошего тона считается владеть сертификатом на соответствие тому или иному стандарту. Да и потребители все чаще обращают на это внимание.

В области систем информационной безопасности также есть свои стандарты. Например, для того, чтобы предприятие могло работать с информацией, составляющей государственную тайну, его система безопасности должна как минимум соответствовать требованиям ФСТЭК. Как правило, это касается государственных предприятий, хотя коммерческие структуры также могут сертифицироваться на соответствие этим требованиям.

Для проведения аудита следует привлекать высококвалифицированных специалистов, разбирающихся как в вопросах применения информационных технологий и обеспечения безопасности, так и в проблемах управления производственными процессами, человеческими ресурсами и т. п. В зависимости от интенсивности развития организации и ее информационной системы частота проведения аудита может меняться, доходя до нескольких раз в год. Периодичность при этом обусловливается многими факторами, но все они, в конечном счете, сводятся к степени критичности хранимой информации и рискам, связанным с несанкционированным доступом к ней. Естественно, что важную роль в принятии решений о проведении аудита играет вопрос финансирования. Затраты на аудит системы безопасности не могут превосходить стоимость охраняемых информационных ресурсов.

Оптимальная схема проведения аудита должна предусматривать цикличность и обеспечивать необходимый уровень безопасности информации. Эффект от различных мероприятий, входящих в проверку ИС, может достигать максимума через разные промежутки времени, в зависимости от инертности совершенствуемого объекта. Соответственно чем выше мобильность и простота управления объектом при динамичном изменении информационной структуры, тем чаще требуется возобновлять данные аудита.

Итак, процесс комплексного исследования информационной системы должен стать неотъемлемой частью последовательной политики в области информационной безопасности на предприятиях и в организациях. Компании, являющиеся лидерами в разных отраслях на мировом рынке, уже осознали необходимость проведения аудита. Это говорит о том, что мировой рынок консалтинговых услуг в сфере защиты информации будет интенсивно развиваться.

Заключение. Тенденции развития

В России спрос на услуги аудита пока невелик, но и здесь крупные предприятия и учреждения уже достигли того уровня, когда управление информационной средой и обеспечение безопасности информации компании становится одной из стратегически важных задач. Это значит, что вопросы аудита систем информационной безопасности также не останутся без внимания, а это, в свою очередь, вскоре обеспечит российским системным интеграторам поле деятельности в области обеспечения безопасности.

Вне всяких сомнений, отдел безопасности компании обязательно должен иметь собственного компетентного специалиста по обнаружению вторжений, который будет самостоятельно выполнять все или хотя бы большую часть задач. В этом случае снизятся риски и расходы, связанные с привлечением сторонних специалистов. Однако если в вашей компании увеличилось количество случаев утечки конфиденциальной информации, а IТ-специалисты не в силах с этим бороться, аутсорсинга задач безопасности не избежать. Аутсорсинг может быть необходим по нескольким причинам:

  •  IТ-отдел не справляется с поставленными задачами по обеспечению безопасности информации;
  •   уязвимые места сложно обнаружить собственными усилиями;
  •  в случае реструктуризации системы безопасности.

Как правило, специализированные компании предоставляют комплекс услуг по внешнему и внутреннему аудиту, всевозможные тестирования на проникновение в сеть и т.п. При этом очень важно выбрать консультанта по безопасности. Приведем несколько правил по отбору:

  • Обращайтесь только в известные на рынке специализированные компании.
  • Поинтересуйтесь предыдущими проектами консультанта. Компания должна иметь несколько клиентов, удовлетворенных результатами ее работы.
  • Требуйте предъявлять сертификаты.
  • Компания должна продемонстрировать, что имеет высококвалифицированных специалистов с 5-10-летним стажем работы в области сетевой безопасности.
  • Ищите консультантов, которые согласовывают свои действия с политикой безопасности компании-клиента.
  • Компания, занимающаяся аудитом систем информационной безопасности, должна предоставлять клиенту гарантии, которые покрывали бы стоимость всех рисков, связанных с проведением тестов (чаще всего ориентируются на риски потери клиентской корпоративной информации, а также на другие потенциальные потери доходов, причиной которых явилось прекращение работы системы).

Таким образом, если мы хотим доверять организации свои средства и информацию – то нужно доверять ей во всем – поэтому систематический и всесторонний аудит систем управления безопасностью является насущной необходимостью, что, в конечном счете, ведет к большей эффективности и рентабельности компании.

Георгий Долин

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену