Информационная безопасность меняет ориентацию

Информационная безопасность меняет ориентацию

Данил АНИСИМОВ, независимый эксперт по ИТ-безопасности

Актуальными становятся внутренние угрозы

Большинство специалистов связывают понятие "информационная безопасность" с многочисленными разновидностями вредоносного кода, хакерами и уязвимостями. Такой "классический" подход не имеет с современной реальностью ничего общего. Сегодня информационная безопасность меняет ориентацию - место популярных ранее внешних угроз постепенно занимают угрозы внутренние.

Эта тенденция не только подтверждается аналитическими отчетами, но и логично вытекает из общей парадигмы развития рынка. Лет десять назад, когда индустрия ИБ только формировалась, компании не могли обеспечить собственную защиту даже от внешних угроз. Несовершенство программных продуктов в совокупности с глупостью неопытных пользователей приводили к вирусным эпидемиям, которые принимали едва ли не общепланетарные масштабы. С развитием инструментов безопасности количество такого рода эпидемий стало постепенно снижаться.

Почему так происходит? Полагать, что количество злоумышленников стало снижаться, наверное, было бы слишком наивно. Причина в другом - злоумышленники стали понимать, что вместо изобретения хитроумных способов внешнего взлома гораздо проще использовать взлом компании изнутри.

Как правило, деятельность кибермошенников направлена на кражу информации, к которой один из сотрудников компании обязательно имеет легальный доступ, а значит можно использовать этого сотрудника для реализации кражи на практике. Очень часто сотрудники компании сами предоставляют информацию мошенникам "на блюдечке с золотой каемочкой".

Приведем показательный пример. Каждый из нас сталкивался с файлообменными (peer-to-peer, P2P) сетями -специальными программами, созданными для перекачки больших объемов данных. Сегодня существует целый пласт мошенников, которые занимаются поиском в этих сетях приватных данных пользователей. Мошенник нажимает Ctrl+F, пишет в появившемся окне "кредитная карта", а через несколько секунд получает список нужных найденных файлов. Наивные пользователи неправильно настраивают общий доступ, и информация об их кредитной карте мгновенно попадает на черный рынок. В дальнейшем обладатели чужих "кредитных" данных благополучно делают дорогостоящие покупки в различных Интернет-магазинах.

Утечки данных опасны не только для индивидуальных пользователей, но и для полноценных предприятий. Если частная информация компании (бизнес-планы, технические разработки и т.д.) оказывается в руках у конкурентов, компания автоматически несет серьезные финансовые потери. Отдельную опасность представляют приватные сведения граждан, которые хранятся во внутренних базах данных. Утечка такой информации также сопровождается огромными проблемами.

Опасность внутренних угроз растет

Утечка конфиденциальных данных может объясняться как внешними, так и внутренними причинами. Однако в абсолютном большинстве случаев ответственность за нее несут легальные сотрудники компании. Они могут публиковать приватные данные в глобальной сети, пересылать их по незнанию опасным людям или специально воровать информацию с целью дальнейшей продажи. Очень часто причиной утечек становятся мобильные устройства, имеющие патологическую способность теряться. Сотрудник копирует важные данные в ноутбук, который через пару дней благополучно исчезает или похищается неизвестным грабителем.

Растущая опасность внутренних угроз подтверждается отчетами аналитических компаний. Согласно традиционному опросу института CSI (Computer Security Institute), именно инсайдерские угрозы встречаются сегодня чаще всего (их отметили 59% респондентов). Классические вирусы оказались только на втором месте - впервые за последние семь лет. Похожие данные приводит и российская компания InfoWatch в исследовании "Внутренние ИТ-угрозы в России 2006", в котором указано, что опасность внутренних угроз к внешним имеет соотношение 6:4.

Изменения в ландшафте угроз приводят к переменам в стратегии защиты. Обезопасить компанию от собственных сотрудников оказывается значительно труднее, чем от внешних злоумышленников. Защита от внешних угроз сводится к закупке специального ПО и оборудования, интеграции этих систем в корпоративную инфраструктуру и к их дальнейшей поддержке. В случае внутренних угроз ситуация гораздо сложнее.

Рынок систем защиты от инсайдеров уже существует

Во-первых, современные специалисты по ИБ не умеют правильно защищаться от инсайдеров. Тут нет ничего удивительного, поскольку эта проблема сравнительно новая и до конца еще не изучена. К тому же в мире до сих пор не принято каких-либо общих стандартов, регламентирующих создание систем защиты от внутренних угроз. Различные компании-производители предлагают различные подходы, и разобраться в этом многообразии не так-то просто.

Во-вторых, внутренняя защита никогда не сводится к реализации стандартных технических мер. Чтобы защищать конфиденциальную информацию, необходимо понять, какие данные такой информацией являются, и прописать политики доступа к ним. В масштабах крупной организации даже эта сравнительно простая проблема решается на протяжении нескольких месяцев.

В-третьих, появляются дополнительные проблемы с финансированием. Внутренняя защита - достаточно дорогое удовольствие, и специалистам по безопасности непросто убедить топ-менеджмент в оправданности внедрения таких систем, особенно если незадолго до этого выделялись серьезные бюджеты на внешнюю безопасность. У грамотного финансового директора мгновенно возникнет ощущение, что его используют в качестве "дойной коровы".

С другой стороны, сложившаяся ситуация имеет и ряд позитивных моментов. Софтверные компании, специализирующиеся в области безопасности, давно присматриваются к рынку внутренних угроз. Некоторые из них (WebSense, McAfee, EMC) приобретают успешные стартапы (PortAuthority, Onig-ma, Tablus соответственно), другие ("Лаборатория Каспер-ского"), напротив, выделяют новое направление в отдельные компании (InfoWatch). Сегодня можно с уверенностью утверждать, что рынок систем защиты от внутренних угроз уже существует. Косвенным подтверждением этого тезиса является позиция компании ЮС, которая ввела в оборот новую аббревиатуру - ILD&P (Information Leakage Detection & Prevention).

Теперь дело за малым -компании должны начать эти системы внедрять. Когда волна неизбежных внедрений завершится, ИБ может в очередной раз сменить свою ориентацию. Но как и когда это произойдет, покажет время.

Комментарий эксперта

Алексей Доля, руководитель аналитического центра InfoWatch.

Сегодня нельзя однозначно утверждать, что ИТ-безопас-ность стала только внутренней, что внутренние угрозы опаснее внешних. Речь, скорее, идет о том, что организации в большинстве случаев защищены от внешних рисков ИТ-бе-зопасности намного лучше, чем от внутренних угроз. Это своего рода дальнозоркость, которой страдают многие компании: они отлично видят противника вдалеке, но совершенно не замечают нарушителей под самым носом. Между тем именно у инсайдеров есть все необходимые знания и полномочия, чтобы выкрасть самую ценную информацию.

Опыт показывает, что наиболее эффективный способ защиты от внутренних угроз - это разумная комбинация организационных и технических мер. К первой группе относятся классификация информации, анализ рисков, разработка и внедрение политик. Ко второй - использование систем защиты от утечки конфиденциальной информации. Такие системы проверяют весь исходящий трафик, а также осуществляют мониторинг всех операций пользователя с чувствительной информацией на уровне рабочих станций.