|
|
Проблема в головах пользователейЕще в 2001 году эксперты говорили о важности обучения информационной безопасности не только специалистов, но и обычных пользователей. Сегодня это стало необходимоcтью. Один из экспертов сравнивал процесс обеспечения информационной безопасности с футбольным матчем: игроки — специалисты, так или иначе ответственные за поддержание информационной безопасности компании, тренер — руководитель отдела ИБ, спортинвентарь — технические средства защиты информации, владелец клуба — руководство компании, и, наконец, противник — злоумышленник, который тем или иным способом стремится нарушить защищенность ваших информационных ресурсов. Это действительно неплохая аналогия. Но с одним сравнением согласиться трудно — обычных сотрудников компании автор статьи сравнивает с болельщиками, которые не могут повлиять на исход матча и не принимают участия в игре. Но разве действия сотрудников компании не становятся зачастую основными причинами нарушения информационной безопасности? По статистике около 80% нарушений ИБ связано с небрежностью, недостаточной компетентностью и безответственностью персонала. Несмотря на то, что неумышленные действия обычно наносят меньший ущерб, чем умышленные, благодаря своему количеству они являются зачастую значительно более серьезной угрозой. В итоге сотрудники часто воспринимаются специалистами по защите информации как основные нарушители. Таким образом, если вернуться к аналогии с футболом, сотрудники — это скорее болельщики, которых выпустили на поле: кто-то мешается под ногами, кто-то заслоняет обзор игрокам, кто-то нечаянно загоняет мяч в свои же ворота. Единственная разница: в бизнесе сотрудники — необходимый элемент деятельности компании, и одна из основных задач специалистов отдела ИБ — предоставить им постоянный доступ к информационным ресурсам и обеспечить их целостность и конфиденциальность. Внутренняя угроза Итоги 2006 года подтвердили тенденцию к росту потерь бизнеса и государственных структур от внутренних угроз. Причины этого явления участники рынка ИБ называют разные. Так, по мнению экспертов «Информзащиты», основа этого феномена в том, что после создания надежных систем защиты от внешних угроз, на первый план вышли внутренние, которые существовали всегда. Специалисты «Лаборатории Касперского» предлагают вообще не делить киберпреступников на внешних и внутренних. Один и тот же человек может быть и хакером, и инсайдером. Опрос 1450 государственных организаций и компаний в нашей стране, проведенный InfoWatch, выявил, что 56,5% угроз ИБ приходится именно на внутренние, а к самым опасным из последних российские бизнесмены относят нарушение конфиденциальности информации (70,1% опрошенных) и ее искажение (38,4%). Самые опасные внутренние ИТ-угрозы (2004-2006 гг.) Между тем, особое внимание на себя обращает существенно возросший рейтинг опасности печатающих устройств. В 2006 году он составил 60,9%, в то время как в 2005 году — лишь 34%. Многие организации уже имеют достаточно зрелую систему ИТ-безопасности, которая включает либо средства фильтрации исходящего сетевого трафика, либо ограничительные меры по доступу к внешним сетям, что же касается других печатающих устройств, то они остаются непокрытыми, поэтому инсайдеры переключают свое внимание именно на них. «Kaspersky Security Bulletin 2006» выявил основные тенденции в развитии вредоносных программ — преобладание троянов и увеличение доли ПО, ориентированного на нанесение финансового ущерба пользователям. Количество новых вредоносных программ по сравнению с 2005 годом увеличилось на 41%. Кроме того, был отмечен стремительный рост числа троянов, ориентированных на кражу данных пользователей онлайн-игр, и дальнейшее развитие троянов-шифровальщиков, в которых начали применяться серьезные криптографические алгоритмы. Также стоит отметить повышенное внимание вирусописателей к Microsoft Office: в нем было обнаружено большое число новых уязвимостей. Самыми распространенными остались вирусы, рассылаемые по электронной почте, причем десятка самых известных из них составила 55% от общего числа угроз, обнаруженных компанией BitDefender, — 13% от общего числа заражений принадлежит печально знаменитому вирусу Netsky, на втором месте вирус Nyxem.Е. «Лабораторией Касперского» в 2006 году было зафиксировано 7 крупных вирусных эпидемий. «Это число вдвое меньше показателя прошлого года. Эпидемии 2006 года можно разделить на четыре группы. Это червь Nyxem.e, черви семейств Bagle и Warezov, а также несколько вариантов трояна-шифровальщика Gpcode. В конце января 2006 года была отмечена массовая рассылка нового варианта почтового червя Nyxem. Особый интерес вызывало то, что червь имел в себе функцию обращения с зараженных машин на определенный сайт, где был установлен счетчик посещений. Антивирусные компании за считанные дни зафиксировали сотни тысяч обращений к данному сайту, что свидетельствовало о действительно крупной эпидемии. Выбор оружия Основа победы в войне за информационные ресурсы компании заключается в нескольких основных составляющих: грамотные специалисты по ИБ, хорошее техническое оснащение, правильное отношение руководства компании и, в не последнюю очередь, обученный и лояльный персонал. Еще в 2001 году ведущие эксперты говорили о необходимости обучать информационной безопасности не только профильных специалистов, но и обычных пользователей. Но в то время обеспечение ИБ в лучшем случае заключалось в наличии антивирусов и каких-то минимальных инструкций — что уж говорить об обучении пользователей. С начала 2002 года в России довольно медленными темпами распространяется стандарт управления ИБ ISO 17799, в котором отдельной главой выделяется вопрос обеспечения безопасности персонала — наличие необходимых инструкций и периодическое обучение основным правилам в области ИБ. Однако, несмотря на то, что росло число специалистов, понимающих, что одними технологиями безопасность не обеспечишь, даже они говорили, что еще далеко до следующего уровня. Ведь если внедрение технических решений еще возможно реализовать силами системного администратора или, в лучшем случае, выделенного специалиста по ИБ, то внедрить в компании регулярный процесс повышения осведомленности пользователей в области ИБ возможно только при поддержке руководства. К 2005 году ситуация изменилась кардинально — на стандарт обратили серьезное внимание регулирующие органы страны, ведущие компании ориентировались на него при построении СУИБ. Но в вопросах обеспечения безопасности персонала, в основном, все сводилось к проверкам при приеме сотрудника на работу, подписанию соглашения о конфиденциальности и определению ответственности за нарушение режима безопасности. С 1 января 2007 года в России введен в действие ГОСТ 17799. Этому предшествовало повсеместное распространение ISO 17799 в российских компаниях в 2006 году. Все больше организаций стало уделять вопросу повышения осведомленности пользователей внимание. Для компаний, относящихся к кредитно-финансовым учреждениям, не последнюю роль сыграл и стандарт Банка России, который прямо говорит: «… главный инструмент собственника – основанный на опыте прогноз, а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности». Все средства хороши Стандарт ISO 17799 определяет основную цель повышения осведомленности пользователей так: «… убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации». Для этого, в соответствии со стандартом, нужно, чтобы пользователи были знакомы с политикой безопасности компании, умели правильно пользоваться информационными ресурсами, могли идентифицировать инцидент ИБ и знали порядок действий в случае его возникновения, а также осознавали ответственность, которую они несут. Вот основные задачи, которые стоят перед руководителем отдела безопасности. Ведь даже несмотря на то, что обучение персонала — прерогатива отдела кадров, повышение осведомленности пользователей в вопросах ИБ — это, по сути, закрытие одной из уязвимостей информационной системы. И традиционно, даже если формально по документам обучение проходит через отдел кадров, инициирует и контролирует процесс руководитель или ответственный сотрудник отдела ИБ. Обучение персонала никогда не было особой проблемой, если руководитель хотел повысить квалификацию своих сотрудников. Однако здесь перед главой отдела ИБ стоит значительно более сложная задача. Вот примерный перечень основных проблем: 1) сотрудники воспринимают «в штыки» все правила, так как они мешают им работать и не приносят никакой пользы; 2) основам ИБ необходимо обучать всех сотрудников, которые вовлечены в обработку информационных ресурсов компании, что требует значительных финансовых вложений; 3) обучение должно проводиться как общим правилам, так и внутренним, принятым в компании в соответствии с корпоративной политикой ИБ. Сегодня на Западе существует широкий ассортимент решений для повышения осведомленности пользователей, которые помогают справиться с обозначенными проблемами. Можно выделить следующие представленные на рынке продукты: 1) курсы, предназначенные для обучения сотрудников при приеме на работу или разрабатываемые на заказ по материалам политики ИБ заказчика; 2) корпоративные системы дистанционного обучения; 3) скринсэйверы, флэш-ролики; 4) печатные материалы; 5) новостные рассылки по ИБ; 6) решения для периодического тестирования практических навыков пользователей. В 2006 году практически впервые появились подобные решения и в России, на них сразу обозначился спрос. О какой-то зрелости рынка говорить рано, но уже сегодня здесь представлены комплексные решения российских производителей, включающие большую часть перечисленных продуктов. На Западе этот класс решений обозначается термином Security Awareness. Каждый элемент Security Awareness по-своему интересен. Например, корпоративные системы дистанционного обучения (e-learning) позволяют донести до любого количества сотрудников необходимые знания и проконтролировать их усвоение. При этом, достигается значительная экономия — например, когда компания IBM ввела e-learning курс для каждого нового менеджера, программа сэкономила 24 млн. долларов, стоимость одного дня обучения снизилась в 3 раза — с 400 долларов до 135 долларов. При этом, объем учебного контента увеличился в 5 раз. Скринсэйверы, флеш-ролики, постеры и т.д. помогают пользователям запомнить основные правила без временных затрат и с минимальными финансовыми вложениями для компании. Новостные рассылки хороши тем, что сотрудники постоянно видят, что все угрозы, про которые им рассказывают, не выдумка специалистов отдела ИБ, а реальные события. Таким образом, на сегодняшний день в руках специалистов по информационной безопасности есть все инструменты для превращения сотрудников компании в верных союзников или хотя бы в нейтральных сторонников, а не противников. Елена Элькина |