Леденцы и младенцы

В начале следующего года заработает закон "О персональных данных", который обязывает все компании обеспечить должный уровень защиты личной информации. Но не стоит обольщаться: человеческий фактор сильнее технических средств защиты.

Устаршего консультанта в области ИТ-безопасности и ИТ-рисков компании Ernst & Young прямо в ходе одной из интернет-дискуссий, посвященной информационной безопасности, взломали рабочий почтовый ящик. Никаких изощренных технических способов не применялось: "злоумышленник" просто попытался восстановить пароль на почтовый ящик специалиста через стандартную систему напоминания. Оказалось, что резервный e-mail, на который высылается пароль, находился на бесплатном почтовом сервисе и был удален почтовой службой из-за неактивности. Зарегистрировать новый с тем же именем было делом двух секунд, что и было сделано. Спец по ИТ-безопасности просто забыл о резервном ящике. Схожими методами злоумышленники добывают нужную информацию по всему миру: способы, использующие приемы социальной инженерии, дают возможность получить несанкционированный доступ к чужим данным в 90% случаев. Довольно низкий уровень грамотности продвинутых и поголовная неграмотность рядовых пользователей делают корпоративную среду лакомым куском для конкурентов и просто киберпреступников. Страдают от этого обычные граждане, которые однажды обнаруживают, что их личные данные находятся в общем доступе.

О хакерах и дураках

У каждого предприятия есть свои понятия о том, что такое конфиденциальная информация. У большинства это базы данных по клиентам и поставщикам. У компаний, которые оказывают услуги широкому кругу населения — банков, операторов связи, органов ЖКХ, паспортных столов, — это личные данные пользователей, базы данных.

Существуют две категории угроз безопасности данных организации. Первой — внешним угрозам, как правило, уделяется значительно больше внимания. Они наиболее популяризованы: СМИ активно освещают атаки хакеров, практически все испытали на себе эпидемии вирусов и уже ощутили все прелести спам-рассылок, поэтому затраты на межсетевые экраны (файерволы) и антивирусы легко обосновываются руководству. Да и потери от таких воздействий легко возместить: в крайнем случае, можно восстановить стертые или поврежденные данные. По мнению большинства специалистов, такие угрозы, как вирусы, трояны, спам, сегодня не несут большой опасности и легко устраняются стандартными средствами.

Внутренние угрозы ощущаются менее явно, но они-то и являются самыми важными. Главные из них — забывчивость и банальность мышления сотрудников (либо руководства) самой организации, работающей с конфиденциальными данными. Из ста любых паролей примерно десять гарантированно состоят из даты рождения. Еще пять–шесть — из прямой или обратной последовательности цифр либо символов. Никакие сверхсовременные средства защиты информации не смогут помочь предотвратить утечку, если пароль доступа генерального директора будет состоять из шести знаков.

Человек — самое слабое звено в любой цепи. Наибольший ущерб компании наносят действия неграмотных пользователей, а не вирусов. Если в случае с вирусами информация просто теряется, то во втором убытки возникают именно от разглашения конфиденциальной коммерческой информации. Причем только

20–30% случаев, когда происходила утечка конфиденциальной информации, относятся к фактам промышленного шпионажа и целенаправленной передачи инсайдерской информации. Как правило, данные теряются или становятся известными сторонним лицам в результате ненамеренных действий сотрудников или бывших работников компании, проще говоря, халатности при работе с конфиденциальной информацией.

Все проблемы, как водится, кроются в менеджменте. До сих пор остается распространенным подход, когда внимание в первую очередь обращается на техническую составляющую информационной без опасности (ИБ): по ней, как уже говорилось выше, значительно проще отчитаться перед акционерами и освоить бюджеты. Так что нередки случаи, когда в компании установлена и успешно работает мощная комплексная система безопасности, данные между филиалами передаются по защищенному VPN-тоннелю, сигнал о том, что в компьютер вставлена флешка, тут же поступает в службу без опасности, используются мощные алгоритмы шифрования, но многосимвольный и сложный пароль от системы приклеен на стикере к монитору.

Очень часто утечка данных происходит через Интернет и электронную почту. В этих случаях все зависит в основном от степени доверчивости и неграмотности пользователей. Эти два фактора — основные причины потери данных. Существует такой термин, как фишинг: это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям. В письмах, обычно от имени администрации какого-либо ресурса или организации (банка, почтового сервиса, социальной сети), содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Единственное его отличие в том, что пароли к банковским счетам и аккаунтам попадают в базу данных злоумышленников. Эффективность такого метода сбора конфиденциальных данных близка к 70%. Пришедшие посредством интернет-пейджера ссылки от друзей "посмотри, какой классный видеоролик" эффективны в 30–40% случаев.

Второй по популярности канал утечки данных — это портативные накопители: карты памяти и флеш-карты. Отдельно идут распечатанные копии документов. Шредер в большинстве российских компаний до сих пор в диковинку, а культура обращения с копиями важных документов довольно низка, и очень часто можно увидеть конфиденциальные данные в мусорной корзине.

Недостаточная защищенность сибир ских компаний проявляется в практически повсеместном отсутствии сколько-нибудь современных систем контроля доступа. Сегодня они есть только в некоторых крупных филиалах федеральных компаний и некоторых бизнес-центрах. В гос структурах, использующих персональные данные в большом количестве, контроль доступа номинально существует, но фактически его нет.

В общем, основная проблема в том, что политике информационной безопасности в большинстве средних и мелких компаний не уделяется достаточно внимания, а до сотрудников не доносятся правила без опасной работы с конфиденциальными данными, а понятие коммерческой тайны (что охраняем) не определено и не зафиксировано документально.

К закону не готовы

Сегодня порядок работы с персональными данными в России регулируют несколько десятков законов и подзаконных актов. Самый важный из них — Федеральный закон № 152 "О персональных данных", принятый еще 27 июля 2006 года. В рамках этого закона все компьютеры, в которых хранятся персональные данные (фамилия и имя субъекта, его отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и так далее), должны быть защищены сертифицированными средствами. Под это определение попадают и данные бухгалтерских программ, так что закон касается абсолютно всех юридических лиц. 1 января 2010 года заканчивается срок приведения в соответ ствие этому закону сотен тысяч информационных систем российских предприятий, содержащих персональные данные. Весь список юридических лиц и предпринимателей, которые согласно ФЗ-152 оперируют персональными данными и обязаны соответствовать его требованиям, составляет более пяти миллионов.

"Очень немного компаний подготовлены к закону о персональных данных, — оценивает готовность к новому закону руководитель новосибирского подразделения Softline Павел Баруткин. — Все организации только сейчас начинают задумываться о том, что нужно проводить аттестацию. Реальные действия начнутся, я думаю, в 2010 году, когда ФСТЭК (Федеральная служба по техническому и экспортному контролю) начнет взимать штрафы с организаций, которые не прошли аттестацию, либо забирать лицензии на основной вид деятельности. Пока что они знают, но ничего не делают".

На медлительность предприятий существенно повлиял кризис: возможно, соб­ственники и хотели бы внедрить сертифицированные системы безопасности, но у многих на это сейчас нет свободных средств. Поэтому готовность регионов напрямую зависит от их специфики и уровня экономического развития. По мнению Павла Баруткина, лучше всего готовы к новому закону Новосибирск, Барнаул и Томск. Хуже всего обстоят дела в Омской и Кемеровской областях: омские крупные предприятия в основном входят в вертикально интегрированные холдинги, закупки идут из столицы, а средние и малые компании сегодня пострадали от кризиса и могут выделять значительно меньше денег на обеспечение информационной безопасности. В Кемерове и Новокузнецке собственных крупных налогоплательщиков больше, но угольные и металлургические предприятия из-за падения стоимости продукции на мировых рынках пострадали от кризиса очень сильно: им сегодня не до информационной безопасности.

Как защититься

Самое важное — правильно организовать процессы, которые бы определяли порядок работы сотрудников компании с учетом требований ИБ. Нужен регламент, четко определяющий, какие данные подлежат защите, какие усилия сотрудники должны прилагать, чтобы предотвратить утечку этих данных, и их ответственность. Разумеется, адекватной должна быть и оплата труда сотрудников, имеющих доступ к такой информации, чтобы не плодить инсайдеров внутри. Грамотные административные меры помогают отсечь до 80% утечек, связанных с неосторожностью или халатностью пользователей. Остальные 20% с успехом закрывают программные и аппаратные средства, которые позволяют проконтролировать обеспечение ИБ практически в любой области: электронная почта, Интернет, сменные носители. Они анализируют информацию, которая передается по каналам связи, и в случае обнаружения конфиденциальной информации, препятствуют ее утечке: такие средства защиты называются DLP-системами (Data Loss Prevention — предотвращение утечки данных).

Причем чаще всего достаточно только программных средств, аппаратные используются только в тех случаях, когда нужен большой запас по производительности.

Российский рынок ИБ пойдет в рост

Игроки предрекают рынку информационной безопасности большое будущее: причиной тому как постоянно увеличивающаяся вирусная и спам-активность, так и требования нового закона о защите персональных данных. Так что, несмотря на определенное затишье российского ИТ-рынка, бюджеты, которые выделялись на информационную безопасность, не только сохранятся, но и увеличатся.

"Разумеется, рынок среднего и малого бизнеса несколько ослаб, но очень сильно возрос спрос на ИБ-продукты со стороны крупного бизнеса (количество компьютеров от 250 и выше) и госкомпаний (от 100 и выше компьютеров). Как правило, они уже прошли этап первоначальной защиты периметра сети и уже начали задумываться о шифровании данных", — говорит Павел Баруткин.

Баруткин отмечает довольно важный тренд: сегодня компании переходят с импортного ПО на российские программные продукты. Стоимость ПО привязана к курсу доллара, поэтому обороты иностранных вендоров в последнее время уменьшаются в пользу отечественных.

Игорь Мельник

Материал предоставлен редакцией журнала "Эксперт-Сибирь". Статьи из свежего номера можно найти здесь.