Что показал независимый аудит

Что показал независимый аудит

В последнее время наметилась тенденция инициирования аудита информационной безопасности (ИБ) крупных региональных предприятий торговли (ПТ). Дело в том, что исторически корпоративные информационные системы (КС) ПТ складывались на базе отдельных, главным образом, собственных решений, целью которых было сиюминутное выполнение бизнес-задач при полном забвении системного подхода в IT-области. Хаос, сложившийся в вопросах ИБ, привел к синергетическому аффекту, который выразился в участившихся случаях компрометации руководства ПТ со стороны бывших сотрудников, воровстве баз персональных данных клиентов, наличии многоуровневых каналов утечки коммерческой информации, периодических прерываниях бизнес-процессов в результате технических сбоев и др.

Проведенный за последний год аудит ИБ более десятка предприятий торговли в различных регионах страны позволил выявить поразительно однообразные нарушения и проблемы обеспечения ИБ, безотносительно от сферы деятельности организаций - будь то фармацевтическая компания или структура автобизнеса.

Отметим, что весь выполненный аудит был независимым, инициирован руководством предприятия без привлечения служб автоматизации, имел целью проведение комплексного анализа защищенности от угроз утечки и утраты информации, а также выявление злонамеренной деятельности привилегированных инсайдеров и уволившихся сотрудников. Руководство ПТ не заинтересовали системные моменты, такие как: проверка соответствия организации требованиям ISO/IEC 27001/27002 или аттестация объектов информатизации.

В худших традициях

Выявленные недостатки для наглядности условно сгруппированы по традиционным сегментам ИБ:

1) законодательная база;
2) организационные меры;
3) технические решения;
4) подготовка персонала;
5) физическая защита.

1. Вспоминая слова классика о необязательности выполнения "строгих" российских законов, приходится констатировать, что фактически во всех проверенных ПТ отсутствовало представление о лицензируемом виде деятельности по защите конфиденциальной информации (персональных данных) и соответственно не выполнились требования по ее защите (в том числе при организации доступа через Web-интерфейс). Традиционно на всех предприятиях торговли никак не выражено отношение к агрессивному несоблюдению авторских и имущественных прав на программные средства и, что весьма небезопасно, на средства защиты информации (СЗИ).

2. Проблемы в организационной сфере касаются двух главных аспектов:

• отсутствие политики безопасности организации, то есть что, зачем и как защищать в ПТ определяется на "коллективно бессознательном" уровне;
• отсутствие выделенной службы, отвечающей именно за информационную безопасность КС.

Обязанности по защите информации возлагают на IT-отделы, которые в интересах выполнения бизнес-процессов фактически противостоят требованиям ИБ, а порой усугубляют ситуацию.

3. Как правило, даже на самых успешных ПТ по причине отсутствия системного подхода к защите информации отмечается весь список угроз, связанных с ошибками проектирования, реализации и администрирования сервисов и подсистем КС.

Перечислим типовые недостатки:

• использование в КС периметровых СЗИ класса SOHO, обычно "пиратских" и неизвестного происхождения;
• использование собственных систем документооборота и бухучета, передающих информацию в открытом виде или допускающих соединение с базами данных без пароля;
• конфигурирование подсистем аутентификации в вариантах, позволяющих их скомпрометировать всеми известными способами (взлом, перебор, подбор, съем, перехват, перенаправление);
• избыточное наличие средств удаленного администрирования, в том числе с неконтролируемой территории (из квартир администраторов!);
• отсутствие учета копирования информации на мобильные носители (например, флэш-накопители USB);
• неправильное использование криптографических средств;
• отсутствие средств контроля уязвимостей, активного аудита и т.д.

Изумляет "местечковость" подхода к ИБ - к примеру, если это город N-ск, то у всех в городе в качестве межсетевого экрана используется, скажем, пиратский Kerio.

4. Уровень подготовки специалистов по защите информации от НСД относительно невысок. В частности, поразило, что подлинным открытием для администраторов КС является продемонстрированная возможность перехвата трафика в Ethernet-сетях, реализованных по switch-технологии! Добавим, что низкая осведомленность конечных пользователей о вопросах ИБ создает благоприятную почву для социальных атак с применением сервисов электронной почты, Интернет-мессенджеров и т.д.

5. При высокопрофессиональной организации физической защиты территории ПТ встречаются ситуации, когда доступ к ключевым компьютерам (например, ПК секретаря) не контролируется или все данные скрытого видеонаблюдения выводятся на компьютер, имеющий незащищенный доступ, - как локальный, так и сетевой.

Неутешительные выводы

Кроме организации физической защиты территории ТП, характерно наличие множественных угроз конфиденциальности информационных ресурсов и непрерывности бизнес-процессов. КС ПТ часто не способны противостоять известным социальным, локальным (физическим) и типовым сетевым атакам, не говоря уже о DOS-атакf[.

Вполне очевидна (в смысле ИБ) зависимость руководителей предприятий торговли от руководителей IT-отделов, а последних - от администраторов, занимающихся мониторингом и удаленным управлением КС ПТ из собственных квартир.

Вызывает озабоченность незащищенность персональных данных. Есть мнение, что в случае некоторых нарушений потенциально возможно привлечение руководителей ПТ к уголовной ответственности и даже арест предприятия.

Хочется верить, что отмеченная безалаберность в вопросах ИБ ПТ будет сходить на нет по мере внедрения в системах ПТ отечественных стандартов 17799-06 и 27001-06, проекты которых обнародованы весной 2006 г. в рамках работы технического комитета по стандартизации ТК-362.