Нужен ли компании собственный хакер?

Александр Шахов
Руководитель группы подбора персонала
по направлениям IT/Telecom кадрового агентства Юнити

Миллионные реки

В России случаи утечки информации обычно не афишируются. Владельцы компаний, столкнувшихся со взломом компьютерной системы фирмы или пострадавших от прослушки важных переговоров конкурентами, стараются сделать все возможное, чтобы не допустить проникновения данных об этом в прессу. Ведь тогда вслед за коммерческим ущербом их ждет еще и ущерб репутационный. Однако та информация, которая все же становится достоянием общественности, свидетельствует – издержки исчисляются миллионами. Особенно любят злоумышленники атаковать банки и другие финансовые организации, а также сотовых операторов, то есть компании, которые обязаны защищать персональные данные граждан и имеют дело с платежными картами клиентов.

Так, в конце прошлого года в Перми было передано в суд дело банды мошенников, снимавших деньги с банковских карт граждан. Только финансовый ущерб, который банку пришлось возместить своим клиентам, пострадавшим от деятельности преступной группы, составил 3 млн рублей. Причиной инцидента послужили упущения в системе допуска сотрудников к конфиденциальной информации. Доступ к персональным данным клиентов (номера карт, персональные данные их держателей, а также коды CVV) получил практикант. Вместе с соучастниками он воспользовался данной информацией для оплаты в интернет-магазинах дорогостоящих (от 90 тыс. до 600 тыс. рублей) товаров, которые потом перепродавались.

Инсайдеры – актуальная проблема для любой компании

Однако если мошенники – это угроза в первую очередь для финансовых компаний, то инсайдеры, желающие нажиться на продаже коммерческой информации, могут стать актуальной проблемой для любой фирмы. Так, в США был на 2 млн долл. оштрафован банк Citigroup, выступавший андеррайтером IPO для Facebook. Причина взысканий – утечки конфиденциальной информации, допущенные аналитиком банка перед провальным размещением акций соцсети. Сотрудник Citigroup послал электронное письмо с полученным исследованием о Facebook двум представителям сайта TechCrunch.com (одно из ведущих электронных СМИ в области медиатехнологий). В результате аналитик был уволен, а компания стала спешно усиливать меры информационной и внутренней безопасности.

В России подобные судебные тяжбы из-за утечек пока большая редкость, но, возможно, именно поэтому случаев мошенничества со стороны своих же сотрудников очень много.

Внешние угрозы

Человеческий фактор в вопросах безопасности информации не берутся сбрасывать со счетов даже самые опытные специалисты, но все же в большинстве случаев именно технические меры могут минимизировать риски утери. Тем более, что помимо инсайдеров есть немало внешних угроз. Для небольших компаний наиболее серьезным, как правило, является вредоносное ПО, для более крупных – не менее вирусных атак актуальны хакерские. Тут в первую очередь также страдают финансовые организации – ущерб от действий группы Никиты Кузьмина, которого власти США обвиняют в создании вируса Gozi, составляет 50 млн долл. И хотя одним из пострадавших оказалось NASA, интерес для хакеров представляло не оно, а банковские счета и пароли физических и юридических лиц. Интересно, что параллельно с похищением средств преступники организовали продажу вируса, так сказать, хакерский ритейл.

Актуальность внешних угроз повышается в связи с широким использованием в офисе мобильных устройств, поскольку вредоносное ПО может привести к сбою работы не только одного гаджета, но и всей IT-системы компании. По результатам ежегодного опроса Ponemon Institute для Lumension, распространение использования личных смартфонов и планшетов стало наиболее важной проблемой защиты информации. При этом отмечается несоответствие между объективной ситуацией (80% респондентов подтвердили, что считают гаджеты причиной значительного риска для безопасности сети) и принимаемыми мерами. Так, треть опрошенных признались, что защита от угроз, источником которых являются мобильные устройства, отсутствует полностью.

В то же время сами эксперты говорят о том, что планшеты и смартфоны сейчас крайне уязвимы для вирусов и могут стать легкой мишенью для хакеров. Специалист по информационной безопасности, бывший член хакерской группы Александр Варской отмечает, что, как правило, случайные взломы (когда юные программисты делают это для развлечения, сканируя и проникая во все подряд) не влекут за собой систематического использования полученной информации. А вот происки нанятого конкурентами специалиста по взломам с целью кражи клиентской базы "грозят существенной волной убытка для компании", иногда такие утечки приводят даже к краху фирмы.

Хорош хакер, да дорог

Как ни печально признавать, но поводом усилить меры безопасности в большинстве случаев становится именно ущерб от внедрения вирусов или прецеденты утечки. Порой по итогам взлома сайта компании или внутренней системы хранения информации взломщика… нанимают на работу с целью определить дыры в защите и залатать их. В настоящее время такие услуги предлагают уже не хакеры-одиночки, а профессионалы рынка. По словам Александра Варского, в России "где-то 5 крупных игроков, которым доверяют, почти монополизировали рынок услуг так называемых "тестов на проникновение" (penetration testing)".

Среди профессионалов, конечно, не все являются бывшими хакерами, но и вчерашние взломщики, и сегодняшние защитники информации стоят дорого.

Хочется отметить, что трудности привлечения специалистов у компаний связаны с тем, что (как и во всей IT-отрасли) специализированные компании – вендоры, разработчики ПО и провайдеры IT-услуг – на данный момент являются более желанными работодателями. Кандидаты отдают им предпочтение по причине привлекательного уровня оплаты труда, интересных задач и возможности роста.

В пример можно привести условия одного из заказов на подбор эксперта по информационной безопасности для крупного системного интегратора. Начальный уровень оплаты труда составлял 120 тыс. рублей, при этом предполагалась ежеквартальная премия в 30% по результатам закрытия проекта. В социальный пакет были включены ДМС, бассейн и корпоративный транспорт. Но надо заметить, что подобные вакансии предполагают и более высокий уровень требований. В данном случае работодатель искал человека с опытом в подобной должности от 3 лет. При этом он должен иметь:

• навыки работы с системами защиты компании CheckPoint;
• хорошее знание программных, технических и организационных средств и методов обеспечения информационной безопасности;
• знание современных российских и международных требований и стандартов (в том числе отраслевых) и нормативно-правовой базы в сфере ИБ (ФСТЭК, ФСБ и др.);
• знание продуктов и решений профильных производителей: Cisco, CheckPoint, Juniper.

Но нужно отметить, что одних сертификатов и информации о наличии знаний кандидату недостаточно: часто требуется прохождение специальных тестов на владение программным обеспечением.

Еще сложнее найти свободных и высококвалифицированных специалистов по гостайне, что актуально для госорганов, компаний, добывающих полезные ископаемые, использующих космические и военные технологии и т.д. Каждому такому специалисту нужна лицензия ФСБ на работу с информацией, составляющей гостайну. Кроме того, необходим набор специальных знаний не только о программном обеспечении, но и о пользовании профильным техническим оборудованием, в том числе для защиты переговоров (системами виброакустической и акустической защиты с централизованным возбуждением излучателей, предотвращающих возможность прослушки; электронными замками и т.д.). Такие специалисты практически не размещают своих резюме на профильных рабочих сайтах, их ищут по рекомендациям или через агентства.