|
- Какие средства защиты в сфере информационной безопасности сегодня пользуются наибольшим спросом у компаний?
- Сейчас наиболее популярны в первую очередь сетевые средства защиты, в
частности межсетевые экраны, VPN, средства предотвращения атак,
почтовые или web-шлюзы, которые контролируют, что делают сотрудники в
интернете. На стороне рабочих станций и серверов во всем мире
пользуются спросом антивирусы, персональные системы отражения атак,
персональные межсетевые экраны, средства идентификации, аутоинтефикации.
Постепенно набирают обороты средства прикладной безопасности такие, как
защита приложений, баз данных, web-сервисов, в частности, IP-телефонии,
видеоконференцсвязи и т.п. Дело в том, что традиционные сетевые
средства информационной безопасности до недавнего времени практически
не оснащались функциями по защите приложений, а если и оснащались, то
эти функции были очень урезаны. И вот сейчас многие понимают, что
обеспечения безопасности только на сетевом уровне недостаточно, ей
нужно заниматься еще и на прикладном уровне.
- Компаниям из каких отраслей в первую очередь стоит заботиться о своей информационной безопасности?
- В первую очередь, из финансовой сферы, потому что она достаточно
жестко регулируется на законодательном уровне. Во вторую очередь, из
промышленной и сферы связи. У них достаточно специфические требования к
безопасности, поэтому там, как правило, решения встроены в сетевое
оборудование. И, в-третьих, обеспечение информационной безопасности
должно волновать предприятия госсектора, деятельность которых жестко
регулируется законами и разнообразными органами власти.
То же самое касается сфер образования и медицины, где циркулирует много
информации чувствительной к утечке и раскрытию. Малому и среднему
бизнесу также стоит задуматься о безопасности, поскольку интернетом они
пользуются так же активно, как и крупные предприятия, а ведь угрозы для
одних и для других одинаковые.
- Что за ущерб может быть нанесен предприятию, работающему, например, в
финансовой сфере? Если взять банк, то это может быть кража денег с его
счетов?
- Для любой финансовой системы будет болезненнее не кража денег, а
ущерб, нанесенный репутации. Гораздо опаснее потерять несколько тысяч
клиентов, а не $20-30 миллионов, потому что клиент, ушедший к
конкуренту, это двойная потеря – утрата его денег в результате
преступления и получения прибыли конкурентом от работы с ним.
Денег больше теряется даже не в результате преступления, а в связи с
простоями и судебными разбирательствами, возникающими в результате
утечки информации или нарушения каких-либо обязательств, которые банк
взял перед клиентами.
И хотя случаи проникновения непосредственно в банковскую платежную
систему и перевода денег бывают, но они не так часты, как об этом можно
подумать, смотря кино. Как правило, такие преступления проходят при
поддержке изнутри, со стороны некоего инсайдера. Имея доступ к
какой-либо системе управления финансовыми потоками, такие люди просто
проводят транзакции, в результате которых деньги переводятся на
острова. Таким образом, реального взлома не происходит.
- Какого рода угрозы для информационной безопасности компаний сейчас существуют?
- Самые распространенные, это вирусы, черви и подобное им вредоносное
программное обеспечение, которое распространяется через электронную
почту, веб-трафик, ICQ, с помощью флэшек, компакт-дисков и по другим
каналам. Эти угрозы до сих пор стабильно входят в первую тройку
наиболее опасных средств, созданных для вмешательства в работу
информационных систем, а в ряде случаев выходят на первое место.
Второе, что может нарушить информационную безопасность компании, это
халатность сотрудников или целенаправленное внедрение вредоносного
программного обеспечения, которое крадет информацию, например, пароли
доступа, PIN-коды, либо документы, содержащие конфиденциальную
информацию.
В-третьих, актуальны атаки на прикладные решения и, в-четвертых, атаки
на системы управления производством, коммунальным хозяйством, какими-то
технологическими процессами – заслонками трубопроводов и т.д. Такие
примеры есть, но, к счастью, они пока единичны и не становятся
публичными. Причина в том, что при таких атаках у злоумышленника пока
нет финансовой выгоды, а последствия, если его обнаружат, могут быть
плачевными.
- Чем мотивированы злоумышленники?
- Если раньше были слава и известность, то сейчас - получение
финансовой выгоды. Основная особенность современных атак –
незаметность. Червь, троянец или вирус крадет информацию и выполняет
другие несанкционированные действия, оставаясь невидимым, потому что он
создается под конкретную организацию.
- А как та самая финансовая выгода попадает в руки преступнику?
- Торга, как такового нет, ведь если он будет, то злоумышленника можно
отследить при помощи службы внутренней безопасности компании и при
содействии правоохранительных органов привлечь к ответственности. Кроме
того, в результате торга он не получит много денег.
Преступники сейчас делают иначе. Например, в Санкт-Петербурге
относительно недавно ряд клиентов одного из интернет-провайдеров
получили письмо о том, что их сайты будут выведены из строя, если они
не будут ежемесячно платить определенную сумму денег. Одни заплатили,
другие нет. Сайты тех, кто отказался платить были выведены из строя, и
этим людям пришлось уйти к другим провайдерам, которые обеспечивают
более надежную защиту.
- Сколько стоит такая атака?
- Немного, несколько сотен долларов в месяц, это может позволить себе
практически каждый, но последствия подобной атаки могут быть
существенные. В данном случае без поддержки интернет-провайдера клиент
самостоятельно эту проблему не решит.
- Кто выступает в роли злоумышленников, отдельные хакеры, организованные группы или конкуренты?
- Раньше действительно были одиночки, сейчас же организованная
преступность, которая от своей деятельности получает большие доходы.
Сегодняшние реалии чем-то напоминают сухой закон в США и запрет
проституции в ряде стран Европы. Именно эти запреты приводили к
возникновению черного рынка, на котором многие делали огромные деньги.
Тоже происходит сейчас в сфере информационных технологий. Определенные
ограничения и зависимость бизнеса от IT приводит к тому, что сейчас
выгоднее делать «черные дела» не в одиночку, а организуясь в группы.
Тогда есть налаженный канал сбыта этих услуг.
- Какая наиболее распространенная проблема финансирования системы IT-безопасности?
- Служба информационной безопасности не может доказать владельцу
бизнеса, зачем тратить деньги на них. Любой бизнесмен инвестирует в то,
что принесет некую отдачу, выгоду либо в то, без чего жить в принципе
нельзя, например, требование законодательства. И соответственно для
того, чтобы потратить деньги на безопасность, служба безопасности
должна объяснить, как вложенные средства принесут доход или повлияют на
другие бизнес-показатели. В любом случае они должны перейти на язык
денег. Но сотрудники IT-департаментов не умеют этого делать, поэтому ни
один владелец в здравом уме не будет выбрасывать деньги «в дыру».
- Как бы вы объяснили бизнесмену целесообразность инвестиций в информационную безопасность его компании?
- Универсальных рецептов нет, есть определенные подходы, стандартные
методики оценки эффективности проекта – NPV (эффективность проекта),
ROE (коэффициент рентабельности собственного капитала), Pay Back период
(период окупаемости) и т.д., которые используются любым финансистом.
Эти методики просто проецируются на область информационной
безопасности.
Решения, которые сейчас активно начинают использоваться в IT-отрасли,
также эффективно применимы и в сфере IT-безопасности. В мире намечается
ключевая тенденция, когда безопасность из поддерживающей функции
превращается в некий центр бизнес-поддержки и способствует достижению
бизнес-целей, просто иначе деньги тратиться не будут.
- В западных компаниях информационной безопасности уделяют больше внимания и денег?
- Как правило, в западных компаниях в топ-менеджменте есть человек CISO
(Chief information security officer), который курирует вопросы
информационной безопасности среди акционеров, совета директоров и
владельцев. Он доступным языком объясняет целесообразность тех или иных
инвестиций в информационной сфере, внедрения каких-либо решений и т.п.
- Если в качестве цели киберпрестуления взять среднестатистический
банк, с анализа каких его слабых мест начали бы потенциальные
злоумышленники?
- Универсальных подходов нет, скорее всего, это могут быть какие-то
действия по тестированию различных точек влияния и далеко не всегда это
связано с IT проникновением. Зачастую можно использовать гораздо более
эффективные методы, связанные с физическим воздействием, часто это
бывает дешевле. Шантаж - это финальная стадия, на которую решаются
очень немногие преступники, потому что данный шаг означает проявить
себя, появляется большой риск неудачи.
- В каких случаях компании выгодно применять аутсорсинг в сфере информационной безопасности?
- Аутсорсинг выгоден всегда и для всех. Аутсорсингом мы занимаемся всю
жизнь, обучая своих детей в садике, школе, вузе, проходя
техобслуживание автомобиля. IT-безопасность сейчас тоже начинают
отдавать в аутсорсинг, но эта тема пока не развита отчасти потому, что
далеко не каждая аутсорсинговая компания может адекватно оценить свои
услуги. Передача на аутсорсинг подразумевает подписание определенного
уровня качества обслуживания SLA. Если в IТ это еще можно сделать, то в
безопасности мало у кого есть опыт. Кроме того, заказчик не готов
отдавать эту деятельность на аутсорсинг, потому что не может
проконтролировать эффективность услуг - нет четких метрик или пороговых
значений, выход за которые приводит к нарушению договора. Также далеко
не каждая аутсорсинговая компания готова гарантировать безопасность
даже тех ресурсов, которые она аутсорсит, т.е. управлять средствами
защиты готовы все, а вот гарантировать, что взлома не будет, не готов
практически никто. Более того, никто не готов финансово гарантировать
это. Да, можно на словах сказать «я гарантирую», но как только спросить
у такого аутсорсера, готов ли он застраховать свои риски, готов ли он
сделать финансовое возмещение в случае нанесения ущерба компании, он
скажет: «нет, я не готов».
Поэтому рынок аутсорсеров не сформировался, хотя потребности у
заказчиков есть. Мы регулярно слышим, как заказчики из разных отраслей
(промышленность, финансы, операторы связи) говорят: «Я готов отдать
непрофильный актив специалистам, чтобы они круглосуточно его вели, с
нужным качеством, посоветуйте кого-нибудь». А посоветовать практически
некого. Разве что только на выставке Cisco Expo 2008 были представлены
компании UBIqube и Step logic, первая предлагает программно-аппаратные
решения по мониторингу безопасности, а вторая - свой аутсорсинговый
центр, на котором работают те решения.
- Они готовы нести ответственность за обеспечение информационной безопасности?
- Отчасти готовы, но детали надо обсуждать с ними.
- Как решаются вопросы с мерой ответственности и возмещение убытков на Западе?
- Там лучше развита сфера страхования информационных рисков. В странах
СНГ под это все нет законодательной базы, а на Западе я могу данный
ущерб застраховать и если его нанесли, я всегда получу деньги от
страховой компании. Т.е. там ответственность зачастую перекладывается
на страховую компанию.
- На основании каких расчетов компания создает свою систему информационной безопасности?
- Существуют классические подходы управления рисками, когда мы
оцениваем вероятность возникновения тех рисков, которые грозят
организации, оцениваем потенциальный ущерб, составляем рейтинг рисков
по опасности, какие-то риски берем на себя, какие-то отдаем на
аутсорсинг. И вот в противовес наиболее приоритетным, которыми мы сами
управляем, принимаем защитные меры. Это могут быть межсетевые экраны,
средства отражения атак, системы обеспечения непрерывности бизнеса,
резервирование. Главное, чтобы стоимость этих мер защиты была меньше
потенциального ущерба, который из этих рисков вытекает.
- Кто занимается оценкой рисков?
- Те же системные интеграторы, консультанты из «большой четверки». В
серьезных компаниях есть свои сотрудники, отвечающие за управление
рисками. В еще более серьезных компаниях есть даже департаменты по
управлению рисками (в финансовых структурах, поскольку от них этого
требуют регуляторы).
- Насколько часто вы бы посоветовали компаниям проводить аудит своих систем информационной безопасности и их апгрейд?
- Апгрейд зависит от анализа рисков, анализ рисков должен производиться
регулярно, соответственно появляются новые риски, и обновляется система
защиты. Что касается аудита, то тут есть три составляющих:
первая – при серьезных изменениях информационных технологий или бизнес-процессов организаций;
вторая – есть регулятивные требования, которые обязывают компании
проходить аудит раз в год. Если взять стандарт PCI DSS, который
применяется ко всем компаниям, которые работают с платежными
карточками, будь-то магазины, банки, аптеки, гостиницы и т.д. они
должны по требованию проходить PCI DSS ежегодно;
третья - требования здравого смысла, которые говорят, что надо раз или
два раза в год проводить аудит системы на те или иные требования.
- От каких угроз в сфере информационной безопасности компаниям придется защищаться в ближайшее время?
- Черви и вирусы – традиционные угрозы, они модифицируются, появляются
новые каналы, но угроза от того не ослабевает. Ничего нового в
ближайший год точно не стоит ожидать, потому что не было каких-то
скачков в IT-технологиях, по крайней мере, до Украины и России они еще
не дошли. На Западе активно используется Web 2.0. Всевозможные блоги,
Wiki, YouTube и тому подобные сервисы пока не используются на
предприятиях в качестве бизнес-инструмента, хоть там и есть угрозы, их
скачка ожидать не приходится.
Утечки информации как шли активно, так и будут идти дальше. В сфере
краж идентификационной информации всплеска ожидать не приходится,
потому что у нас пока не появляются какие-то специфические
персонализированные сервисы, хотя со временем эта ситуация будет
меняться.
Сейчас плавного роста, как с точки зрения технологий безопасности, так и с точки зрения технологии нападения.
|
