Комплексный взгляд на проблему внутренней ИТ-безопасности

Вопросы обеспечения внутренней ИТ-безопасности привлекают сегодня все больше и больше внимания. Громкие утечки приватных данных, кража промышленных секретов, саботаж информационной инфраструктуры, многомиллионный ущерб и банкротство — все это является следствием недостаточного внимания к внутренним угрозам, либо отсутствия такового вообще.

Аналитики уже несколько лет бьют тревогу, привлекая внимание бизнеса к вопросу внутренней ИТ-безопасности. Еще два года назад исследование ФБР и Института компьютерной безопасности (см. «CSI/FBI Computer Crime and Security Survey 2003»), охватившее 1 тыс. американских компаний, выявило, что утечка конфиденциальной информации приносит максимальный ущерб бизнесу, более чем в два раза превышая убытки, наносимые вредоносными кодами.

Объем потерь по виду атак 2003 г.

Объем потерь по виду атак 2003 г.

данные по 1000 иследуемых компаний

Источник: 2003 CSI/FBI Computer Crime and Security Report

Однако наиболее показательна современная статистика. Например, тот факт, что внутренние угрозы уже превалируют над внешними, сегодня подтверждают самые авторитетные исследования. По сведениям PricewaterhouseCoopers и CXO Media (см. «Global Sate of Information Security 2005»), опросивших более 13 тыс. компаний в 63 странах мира (в том числе и России), более половины (60%) всех инцидентов ИТ-безопасности за прошедший год были вызваны инсайдерами. Аналитики подсчитали, что 33% и 20% приходятся на долю нынешних и бывших сотрудников соответственно, 11% — на долю клиентов компании, 8% — на долю партнеров и 7% — на долю временных служащих (контрактников, консультантов и т.д.). Даже если не учитывать клиентов и партнеров, то за 60% всех инцидентов несут ответственность нынешние, бывшие и временные сотрудники компании. Более того, распространенность внутренних угроз ИТ-безопасности подтверждает организация CERT (см. «2005 E-Crime Watch Survey»), опросившая более 800 компаний и установившая, что каждая вторая компания хотя бы раз в течение года пострадала от инсайдеров.

Проблема усугубляется чрезвычайно большими финансовыми потерями, которые бизнес несет в результате инцидентов внутренней ИТ-безопасности. Согласно исследованию ФБР и Института компьютерной безопасности (см. «CSI/FBI Computer Crime Security Survey 2005»), в котором приняли участие 700 представителей американского бизнеса, средний ущерб каждой компании, зарегистрировавшей кражу конфиденциальных данных в 2005 году, составил 355,5 тыс. долларов. Более того, эта цифра растет из года в год. По сведениям из того же источника, в 2004 году средний ущерб составлял 168,5 тыс. долларов, следовательно, налицо рост более чем в 2 раза.

Приведенная выше статистика позволяет оценить лишь средний ущерб, так как в некоторых случаях предприятия сталкиваются с многомиллионными убытками. Например, компания ChoicePoint, сообщившая об утечке приватных данных о 145 тыс. американских граждан в начале 2005 года, уже оценила свой ущерб в результате этого инцидента в 11,4 млн. долларов. Следует учесть, что это потери всего лишь за первые два финансовых квартала после того, как об утечке стало известно. По оценкам аналитиков CSO Magazine, суммарный ущерб ChoicePoint достигнет 20-25 миллионов долларов к концу 2005 года.

Вдобавок в 2005 году на пороге банкротства оказалась компания CardSystems Solutions, осуществлявшая обработку транзакций по кредитным картам со всего мира. Летом компания сообщила об утечке 70 тыс. номеров кредитных карт и компрометации еще 40 млн. В течение месяца от CardSystems Solutions отвернулись два гиганта кредитной индустрии, Visa и American Express. Серьезные претензии предъявила компания MasterCard. Таким образом, CardSystems Solutions пришлось прекратить все операции и закрыть свои двери.

Внутренняя ИТ-безопасность глазами российского бизнеса

Исследование компании InfoWatch, охватившее около 400 российских организаций, позволило установить, что руководство в большинстве своем осознает масштаб проблемы. Более половины (62%) респондентов считают, что именно действия инсайдеров являются самой опасной угрозой ИТ-безопасности, а подавляющее большинство (98%) согласилось, что нарушение конфиденциальности информации — самая большая внутренняя угроза.

Источник: InfoWatch, 2005

Источник: InfoWatch, 2005

Логично предположить, что, зная об опасности внутренних угроз, компании делают все возможное, чтобы минимизировать возможные риски. В их распоряжении есть организационные меры, технические средства, всевозможные ограничения, тренинги персонала и системы физического доступа. Однако реальность оказывается совсем иной: несмотря на то, что подавляющее большинство (87%) респондентов считают технические средства самым эффективным способом защиты от внутренних угроз, лишь единицы (1%) используют их у себя в компаниях. Кроме того, почти семь организаций из десяти (68%) вообще не предпринимают никаких действий.

Источник: InfoWatch, 2005

Источник: InfoWatch, 2005

Объяснение на удивление низкого уровня использования технических средств и организационных мер состоит преимущественно в том, что на рынке отсутствуют специализированные технологические решения. Эту причину указало более половины (58%) опрошенных компаний. Что же до бюджетных ограничений, являющихся наиболее распространенным препятствием на пути внедрения информационных технологий в целом, то эта причина набрала лишь 19% голосов опрошенных. В то же время остальные трудности (нехватка персонала, юридические препятствия, отсутствие стандартов) присутствовали в результатах опроса эпизодически. Таким образом, российский бизнес полностью уверен в отсутствии технологических решений для защиты от внутренних угроз в общей сложности и утечки секретных данных, в частности.

Источник: InfoWatch, 2005

Тем не менее, на рынке присутствуют несколько достаточно известных продуктов, которые могут минимизировать риск нарушения конфиденциальности информации. При подробном собеседовании с респондентами аналитики компании InfoWatch выяснили, что большинство организаций слышали об этих продуктах, но не представляли возможности их использования для таких специфических целей.

Классификация внутренних угроз ИТ-безопасности

Прежде чем переходить к ключевым игрокам рынка следует дать формальное описание внутренним угрозам ИТ-безопасности. Предложенная ниже классификация позволяет не только охватить все сценарии, согласно которым могут быть реализованы внутренние угрозы, но и систематизировать представленные на рынке средства защиты.

Разглашение конфиденциальной информации. Данный вид угроз подразумевает разглашение информации (чаще всего это коммерческая тайна или приватные сведения клиентов или сотрудников компании) посредством отсылки ее в электронном письме, через интернет (чат, форум и т.д.), с помощью средств обмена мгновенными сообщениями, копирования информации на переносные носители, а также распечатки данных. Для обнаружения факта разглашения конфиденциальной информации разные компании предлагают перехват трафика различного вида (SMTP, HTTP, FTP, IM, TCP/IP и т.д.) и последующий анализ пересылаемой информации различными методами фильтрации (полное совпадение, проверка меток, лексический анализ, поиск ключевых словосочетаний и т.д.).

Обход средств защиты от разглашения конфиденциальной информации. Инсайдеры проявляют изрядную сноровку, пытаясь обмануть средства мониторинга и фильтрации. Для этого используются различные преобразования над данными, например, шифрование, архивация с большой глубиной вложенности, преобразование в графический формат или редкие текстовые форматы, изменение кодировки, использование неизвестного программного обеспечения или иностранного языка для общения, с которым не знакомо большинство сотрудников компании. Борьба снаряда и брони заставляет системы защиты от утечек конфиденциальных данных постоянно расширять количество поддерживаемых форматов файлов и реагировать на любые подозрительные действия пользователей (неизвестный формат файла, шифрование или архивирование с паролем и т.д.).

Кража конфиденциальной информации. Неправомерный доступ к информации может быть получен при ее передаче через обычное соединение (без шифрования). Такая ситуация становится возможной при взломе корпоративной сети, при размещении чувствительных данных в публичных местах (доступным посторонним людям или неблагонадежным сотрудникам), при чтении текста с монитора посторонним человеком, а также при получении доступа к напечатанным материалам, переносным носителям или компьютерам. Чтобы предотвратить вышеозначенную угрозу, в совокупности с техническими средствами используются организационные: политика использования конфиденциальных данных (оговаривающая ответственность служащих), политика пользования мобильными устройствами (охватывающая мобильные виды коммуникаций) и т.д.

Нарушение авторских прав на информацию. В рамках данной угрозы может быть осуществлена кража интеллектуальной собственности. Например, копирование частей документов одного автора в документы другого автора (или в почтовые сообщения), а также индивидуальное шифрование документов, при котором компания лишается возможности работать с документом после увольнения или перевода сотрудника (также в случае утраты пароля). К этой же категории угроз относится использование опубликованных в Интернет материалов без обработки в своих документах, использование мультимедиа файлов (графики, аудио- и видеозаписей), программного обеспечения и прочих информационных объектов, защищённых авторским правом, подделка адресата отправителя с целью опорочить его доброе имя или скомпрометировать компанию.

Нецелевое использование ресурсов компании. Под этой угрозой подразумеваются посещение в рабочее время сайтов общей и развлекательной направленности (не имеющих отношения к исполнению служебных обязанностей). Часто этому сопутствуют загрузка, хранение и использование мультимедиа файлов и игр в рабочее время и на рабочем месте. Отдельно стоит загрузка, просмотр и распространение материалов порнографического характера, а также материалов, пропагандирующих насилие, расовую нетерпимость и т.д. В контексте почтовых ресурсов угроза принимает вид ненормативной, грубой или некорректной лексики при ведении деловой переписки, а также использование корпоративной почтовой системы для рассылки информации рекламного или личного характера, спама, приватных данных о сотрудниках и т.п.

В заключение следует отметить, что не существует ни одного комплексного решения, которое позволяло бы полностью защитить компанию от воздействия всех этих угроз одновременно.

Каналы утечки конфиденциальной информации

Утечка и кража конфиденциальных данных является самой опасной внутренней угрозой ИТ-безопасности, поэтому целесообразно подробнее рассмотреть каналы, по которым секретные сведения могут покинуть корпоративную сеть.

Выше уже отмечалось, что чувствительная информация может быть вынесена за пределы компании десятком различных способов, однако, как показало исследование компании InfoWatch, наибольшей популярностью пользуются следующие коммуникационные каналы: электронная почта (89%), мобильные накопители (86%), интернет и веб-почта (83%), а также сетевые пейджеры (81%). Таким образом, именно на эти средства связи следует обращать внимание в первую очередь.

Источник: InfoWatch, 2005

Рассматривая различные пути утечки конфиденциальных данных, нельзя не отметить богатые коммуникационные возможности рабочих станций. Так, современный персональный компьютер позволяет передавать информацию множеством способов, помимо электронной почты и интернета, например, через приводы для CD и дискет, дополнительные жесткие диски, USB-, COM-, LPT-, IrDA-порты, Bluetooth, FireWire и Wi-Fi. Все эти каналы необходимо контролировать, в противном случае инсайдер сможет легко обойти систему защиты от утечек.

Наконец, очень важной является работа с конфиденциальными документами, например, в таких средах, как Microsoft Office и Adobe Acrobat. Корректный подход к предотвращению утечек конфиденциальных данных подразумевает прозрачный контроль над действиями сотрудников с максимальной доступностью информации. Другими словами, пользователь должен иметь возможность обрабатывать документы, использовать буфер обмена, создавать новые конфиденциальные документы и т.д. Сами эти действия не могут расцениваться, как попытка украсть данные, так как они являются неотъемлемой частью здорового рабочего процесса. Таким образом, нельзя лишать подобной функциональности работу в программных офисных средах.

Рынок продуктов для предотвращения нецелевого использования информационных ресурсов

Ключевыми поставщиками в данном сегменте рынка, представленными в России, являются Инфосистемы sДжет, SurfControl, ISS (Internet Security Systems) и Clearswift.

Поставщик

Расположение штаб-квартирыs

Продукты

Инфосистемы Джет

Россия, Москва

«Дозор» (защита интернет-каналов), «Дозор-Джет» (защита электронной почты)

Clearswift

США и Великобритания

MIMESweeper (защиты интернет-каналов и электронной почты)

ISS

США

Proventia Web Filter, Proventia Mail Filter

SurfControl

Великобритания

Web Filter, E-mail Filter

Источник: InfoWatch, 2005

В основе каждого указанного продукта лежат схожие технологии. Защита почтовых ресурсов включает перехват сообщений и их лексический анализ на основании имеющейся базы лексических сигнатур. Мониторинг интернет-каналов подразумевает проверку всех запрашиваемых страниц по базе URL, а если о требуемой странице сведений нет, то анализ всего содержимого сайта. Здесь обычно используются те же технологии, что и для лексического анализа сообщений.

Следует отметить, что продукты для предотвращения нецелевого использования информационных ресурсов являются тиражируемыми коробочными решениями, не требующего широкого спектра сопроводительных услуг. Таким образом, продукты западных компаний доступны в России через широкую сеть партнеров.

Рынок продуктов для предотвращения утечки конфиденциальной информации

Согласно терминологии PricewaterhouseCoopers и InfoWatch, данный сегмент рынка называется Anti-Leakage Software, а согласно IDC — ILD&P (Information Leakage Detection and Prevention — Обнаружение и предотвращение утечек информации). Однако в любом случае под обоими терминами понимаются продукты, позволяющие обеспечить полномасштабный мониторинг всех возможных каналов утечки конфиденциальных данных, а также контроль над обращением этой информации на уровне рабочих станций.

Ключевыми игроками, представленными на российском рынке, являются InfoWatch, IPLocks и Lumigent.

Поставщик

Расположение штаб-квартиры

Продукты

InfoWatch

Россия, Москва

InfoWatch Enterprise Solution (комплексное решение для предотвращения утечек по интернет-каналам, электронной почте и ресурсам рабочих станций)

IPLocks

Япония и Великобритания

IPLocks Information Risk Management Platform (продукт для защиты конфиденциальных записей в базах данных)

Lumigent

США и Великобритания

Lumigent Entegra (продукт для защиты конфиденциальных записей в базах данных)

Источник: InfoWatch, 2005

Следует отметить, что ключевые игроки рынка позиционируют себя по-разному. Так IPLocks и Lumigent, поставляя коробочные решения, представлены на российском рынке только торговыми посредниками (реселлерами). Продукты этих компаний не требуют услуг по внедрению и сопровождению, однако покрывают такой важный ресурс, как базы данных. Решения же компании InfoWatch включают в себя целый спектр сопроводительных и консалтинговых услуг: анализ ИТ-инфраструктуры, помощь в формализации целей и средств информационной безопасности организации, составление политики внутренней ИТ-безопасности, обучение персонала и т.д. Таким образом, InfoWatch позиционирует себя как комплексного поставщика продуктов и услуг в сфере внутренней ИТ-безопасности.

Задел на будущее

Затрагивая тему внутренней ИТ-безопасности, невозможно обойти вниманием законодательное регулирование в этой сфере. Хотя наиболее ясно подобные законы просматриваются в США (SOX — Акт Сарбаниса-Оксли и GLBA — Акт Грэма-Лича-Блилей) и Европе (Директивы ЕС о приватности, Basel II), в России соответствующие законотворческие процессы уже запущены.

Данная проблема особенно актуальна для предприятий кредитно-финансового сектора, так как с 1 декабря 2004 года действует стандарт Центрального Банка РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации...». Принятый стандарт можно считать еще более жестким, чем акт Сарбаниса-Оксли, так как российский стандарт заимствует часть положений акта Грэма-Лича-Блилей (GLBA), стандарта по управлению ИТ-безопасностью (ISO 17799 и 13335), а также стандартов, описывающими жизненный цикл программных средств и критерии оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-1-2-3). Хотя стандарт ЦБ РФ рекомендован к применению во всех организациях кредитно-финансовой сферы, порядок проведения сертификации и сертификационные органы еще не определены. Однако в области применения стандарта присутствуют фразы о том, что его конкретные положения могут быть применены нормативно-правовыми актами Банка России, условиями договора и т.п. Следовательно, рекомендательный характер стандарта может достаточно легко трансформироваться в обязательный. Тогда о многих аспектах внутренней ИТ-безопасности придется задуматься каждой финансовой компании.

Проще всего пояснить эту мысль на примере Basel II. Основные положения этого соглашения закреплены в Евросоюзе соответствующей директивой (Capital Requirements Directive). Она обязывает все финансовые компании до 2007 года обеспечить себя капитальными резервами достаточными, чтобы компенсировать риски, присущие банковской системе (кредитные, рыночные и производственные). Хотя положения Basel II не обсуждают меры ИТ-безопасности напрямую, они все же имеют к ним определенное отношение. Например, производственный риск определяется, как «прямые или косвенные убытки вследствие неадекватных или неудовлетворительных внутренних процессов, действий персонала и систем или вследствие внешних событий». Таким образом, подпадают под действие Basell II и бреши ИТ-безопасности. С этой точки зрения, защита чувствительной информации и приватных данных клиентов от неавторизованного доступа приравнивается к управлению производственными рисками, а это, в свою очередь, юрисдикция Basel II. Следовательно, финансовые организации обязаны внедрять соответствующие информационные продукты, в противном случае они столкнутся с санкциями.

Таким образом, внедряя системы защиты от внутренних угроз сейчас, компании могут в долгосрочной перспективе сэкономить на обеспечении совместимости с соответствующими стандартами или законодательными актами.

Денис Зенкин / Специально для CNews


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS