"Первый рубеж сдан!"

Вдумайтесь, если мы не доверяем своим сотрудникам, пытаемся защититься от их противоправных действий и требуем от аналитических систем выявлять, прогнозировать и превентивно реагировать на успешные или неуспешные попытки работников совершить нарушение, ровно в тот момент мы соглашаемся с тем, что допустили внутрь "пятую колонну" и "первый рубеж защиты (совершенно точно) сдан"! Враг, пусть даже потенциальный, уже внутри, он резидентно залег на дно и ждет удобного момента, чтобы нанести свой удар по системе защиты информации. Он (внутренний нарушитель) среди нас, и мы не можем ни найти его, ни полностью защититься от него. А ведь комплексная система защиты информации настолько надежна, насколько надежно ее самое слабое звено. И мы соглашаемся с тем, что слабое звено изначально разорвано.

Пойдем дальше и представим, что этот самый враг внутри – это вы?! Нет, не сейчас, когда читаете эту статью и, возможно, пытаетесь найти что-то новое для повышения защищенности активов и информации в своей компании, а через год, два, десять, когда по различным причинам вы потеряли лояльность и решили пойти дальше, но уже другой дорогой с вашим нынешним работодателем. Хочу быть уверен в том, что в большинстве случаев эта моя эмпатическая метафора ошибочна, но если хотя бы мысль такая может возникнуть у специалиста по защите информации (который, по классике СТО БР ИББС, и является частью модели внутреннего нарушителя ИБ, наряду с ИТ-специалистами, топ-менеджерами и иными резидентами), то и в этом случае мысль про "сданный первый рубеж защиты" опять-таки подтверждается.

Что же такое – этот первый рубеж?

Каждый информационный безопасник понимает эту метафору по-своему. Для сетевиков – это межсетевой экран на периметре защиты от атак из Интернета (или иных не доверенных сегментов сетей), для криптографов – это криптопровайдер на рабочей станции или закрытый на сертификате шифр-контейнер, для администраторов информационной безопасности – это пароль от рабочей станции... А быть может, первый рубеж – это все меры защиты в комплексе? Предлагаю не обременять этот термин формальным определением, а обсудить, какие именно отдельные технические допущения, широко известные специалистам "на местах", позволяют сделать вывод о том, что "первый рубеж (действительно) сдан".

1. Мы позволяем работникам использовать личные мобильные смартфоны на рабочих местах (BYOD). Ну как же можно запретить им работать с телефонами, ведь клиенты звонят, родственники звонят, они сами куда-то звонят? На смартфонах порой установлены десятки "полезных в работе" приложений. А поступать с работниками, как с сотрудниками колл-центров в "далеких регионах", отбирать телефоны при входе, запрещать на работе звонить по личным вопросам и заставлять общаться с клиентами исключительно со стационарного наборного телефона, блокировать частоты и отключать всем поголовно функции доступа в Интернет со смартфона – для многих организаций и для большинства современных руководителей этот сценарий совершенно неприемлем и граничит с потерей бизнеса. "Ведь наши конкуренты так со своими сотрудниками не поступают?!" – скажут руководители и будут со своих позиций правы. С другой стороны, если работник начинает задумываться о смене работодателя, обновляет резюме, проводит инвентаризацию своих наработок, он параллельно думает и о технических лазейках для изъятия полезной для него в будущем информации, а в идеале – о получении доступа ко всей интересующей его информации и после смены работы, а самым простым способом остается фотография экрана или документа со стола, сделанная на личный телефон/смартфон/планшет в тот момент, когда никто не видит.

А между тем, по статистике крупных исследовательских агентств, общее число зафиксированных утечек конфиденциальной информации в России в 2016 г. (подтвержденных случаев) увеличилось на 80% по сравнению с аналогичными данными за 2015 г. Каналы утечек информации за прошедшие 3–5 лет существенно не поменялись: электронная почта, съемные носители, бумажные копии, социальные сети и пр. К ним добавились современные способы подготовки и отправки мгновенных сообщений: What-sUp, Viber, Telegram и пр. При этом утечки информации, связанные с использованием внутренними нарушителями мобильных телефонов и смартфонов, не занимают лидирующих позиций в рейтинге утечек 2016–2017 гг., но само их присутствие в аналитических обзорах доказывает актуальность данной проблематики, а небольшое количество зафиксированных случаев говорит о перманентной латентности утечек с использованием смартфонов.

2. Мы блокируем возможность подключения съемных носителей информации к рабочим станциям практически всех работников организации, кроме топ-менеджмента организации. "Как я скажу начальнику начальника своего начальника о том, что согласно политике информационной безопасности мы закрываем USB-порты на его ноутбуке? Как я объясню, что мы контролируем весь поток распечатываемых им на принтере документов? А если он отправит по почте секретные документы, а мы их увидим в потоке и сохраним, что тогда будет? Какие нормативные акты и внутренние документы позволят мне контролировать работу этого уважаемого человека? А если произойдет сбой? А если ему что-то потребуется или не понравится, а я в отпуске?! Нет!!! Пусть работает без ограничений и контроля! И ему комфортней, и мне спокойнее", – так думаете вы, когда речь заходит о топ-менеджерах вашей организации?

Согласно статистике все того же исследования, более 75% руководителей ИБ и более 80% ИТ- и ИБ-специалистов на местах считают, что основная опасность для бизнеса их работодателей связана с внутренними угрозами, а именно с утечками информации ограниченного доступа, нелояльным или преступным поведением сотрудников различного статуса и допуска к информации. Одним из основных каналов утечки информации все чаще становится непринужденный диалог между двумя топ-менеджерами из различных организаций за чашкой кофе, что уж говорить о лидирующих позициях попыток кражи информации с использованием съемных Flash- накопителей USB (более 5% от общего числа зафиксированных случаев).

3. Мы разрешаем подключение к внутренним ресурсам компании с терминалов и устройств, вынесенных за периметр безопасности. Каждый из вас, я уверен, анализировал, что в техническом плане собой представляет удаленный доступ к внутренним ресурсам компании из сети Интернет, а также понимает плюсы и минусы его организации. С одной стороны, это требование времени и удобный инструмент для ведения бизнеса: работники не привязаны к офису, всегда доступны по электронной почте, могут оперативно посмотреть все материалы и принять необходимое решение. С другой стороны, это канал утечки и разрешенная дыра в безопасности организации, через которую совершенно легально утекают гигабайты информации ежедневно. А возможно – канал для минимизации последствий возникших рисковых событий, как в случае с контролируемым доступом ИТ-администраторов к серверам для диагностики и устранения неполадок. Не исключено, что для некоторых компаний удаленный доступ – это просто игрушка для руководства, пожелавшего иметь в своем арсенале инструмент, аналогичный имеющемуся у конкурентов, но при этом особо не востребованный.

4. Мы соглашаемся с необходимостью тиражирования закрытых ключей электронной подписи, их хранения в каталогах общего назначения или разрешаем запись секретных ключей в реестр ОС на рабочих станциях пользователей систем юридически значимого документооборота. Часто мы соглашаемся и не наказываем пользователей за постоянное подключение ключевого носителя к значимым АРМ, при этом умышленно активируя сервисы удаленного администрирования. Ведь гораздо проще и дешевле сопровождать процесс централизованно, не выезжая по каждому обращению на разбросанные по всей стране объекты компании, и диагностировать ошибки на удаленном терминале при полном доступе к интерфейсу системы с правами и ключами пользователя, чем обучать его (неграмотного в плане защиты информации пользователя, работника вашей организации) основам информационной безопасности, просить его по телефону каждый раз переподключать съемный ключевой носитель, использовать защищенное интерактивное решение для подключения в сессии на терминальном сервере и пр.

5. Мы фильтруем всю поступающую извне электронную корреспонденцию. Межсетевые экраны, антивирус, антиспам, поведенческая песочница – эшелонированная защита в лучших традициях ФСТЭК. Но все барьеры на пути злоумышленников рушатся после 25-го звонка (совершенно реального, никакой социальной инженерии) серьезно настроенной девушки – секретаря высшего должностного лица по вопросу потери очередного срочного письма для руководителя. Для нее "по поручению руководства" создается отдельно стоящая группа исключений, которая со временем будет включать в себя всех тех пользователей внутренних ресурсов компании, которые испытывают неудобства (в т.ч. объективные) от работы выбранных нами средств защиты и фильтрации внешней электронной корреспонденции. Именно это обстоятельство давно уже известно и эксплуатируется злоумышленниками. Все последние фишинг-атаки спланированы и реализованы с четким представлением о потенциальном получателе (группе рассылки), существующих исключениях и вероятном сценарии развития событий при попадании сообщения в электронный ящик жертвы.

В 2016 г. по российским банкам прокатилась волна инцидентов, связанных со взломом системы защищенного электронного документооборота с Банком России. Разбираясь с причинами и инструментами для проведения атак на банки, специалисты по ИБ установили, что при проведении атак помимо стандартных в таких случаях уязвимостей в ОС применялись методы фишинга и социальной инженерии (целевая рассылка по базе адресов электронной почты заранее подготовленных сообщений с вредоносным вложением), уязвимости в сетевой архитектуре (отсутствие сегментации сетей и наличие доступа в Интернет из сети с АБС в банках), а также использование организациями-жертвами стандартных систем дистанционного администрирования и слабых к прямому перебору паролей администраторов домена и целевой платежной системы.

Решение есть всегда

Для кого-то пять приведенных выше примеров покажутся смешными и неправдоподобными, кого-то заставят задуматься и провести внутреннюю инвентаризацию прав и допусков, а кто-то будет продолжать жить с четким пониманием того, что одна из описанных выше ситуаций типична, понятна и в его организации в ближайшее время не решаема. Что же делать в такой ситуации?

1. Принять тот факт, что внутренний нарушитель есть и любые точечные меры защиты, как то внедрение DLP, ограничение доступа в Интернет, блокировка портов и пр., слабо эффективны против злоумышленника, поставившего своей целью украсть чувствительную информацию из вашей организации: "кто ищет, тот всегда найдет" (с).

2. Отказаться от политики двойных стандартов в организации. Применять комплексные организационные и гибкие технические меры защиты по отношению к любому работнику в организации: "рыба гниет с головы" (с).

3. Предпочесть тотальной блокировке последовательную реализацию максимального количества технических контролей в тех точках бизнес-процесса, где вероятны утечки чувствительной информации: "человек лучше всего следит за собой тогда, когда он знает, что другие следят за ним" (с).

Не каждый специалист по информационной безопасности способен принять для себя тот факт, что "первый рубеж (в его организации) сдан" и предпринятые меры не принесли ожидаемого эффекта. Но осознание рано или поздно данного факта способно стимулировать к поиску новых идей, методов и средств защиты, что в свою очередь даст дополнительный толчок к развитию комплексного обеспечения информационной безопасности автоматизированных систем в организации. Самое главное – никогда не опускать руки.