Информационная безопасность бизнеса

17.11.2006
Просмотров: 5887

В прошлом году в России было зафиксировано около 15 тысяч преступлений в сфере информационных технологий, две трети из которых были связаны с хищением информации.

В прошлом году в России было зафиксировано около 15 тысяч преступлений в сфере информационных технологий, две трети из которых были связаны с хищением информации. Реальное же количество преступлений, по оценкам специалистов, на порядок выше официально регистрируемых.

Помимо пресловутых хакеров работе компьютерных сетей предприятий угрожают бесчисленные вирусы, черви, трояны... «Как защитить сеть малого предприятия от разрушения и кражи информации?» — с таким вопросом мы обратились к ведущим нижегородским специалистам в области информационной безопасности. «От внешних вторжений сеть защитить, в принципе, можно, а вот от собственных сотрудников — нет», — таким был неожиданный, но единодушный ответ.

Вас еще не взломали?

Никто целенаправленно не взламывает компьютерные сети малого и среднего бизнеса. Как утверждает Олег Ларин, руководитель технического отдела «Агентства правовой информации», это экономически нецелесообразно. Проблема, по его мнению, заключается в другом: «В Интернете гуляет множество программ, которые, используя ошибки в операционных системах, потенциально способны нанести какой–то ущерб. Эти программы могут быть использованы любым пользователем, даже самым неквалифицированным. То есть не хакером, а просто–напросто хулиганом. Это одна опасность. Вторая опасность — это вирусы. Большая часть вирусов использует «человеческий фактор»: типичен пример, когда приходит на электронную почту какое–то письмо, открытие которого приведет к заражению компьютера».

Владимир Фиганов, ведущий специалист отдела информационной безопасности «Центра систем безопасности», также согласен с тем, что вопрос защиты сетей малого и среднего бизнеса от целенаправленного взлома на сегодняшний день не стоит на повестке дня: «Если у кого–то возникло желание украсть клиентскую базу малого предприятия, на сервере которого установлен обычный нормально настроенный firewall, то стоимость такого заказа на черном рынке окажется, скорее всего, выше того, что можно получить от этой базы».

Тем не менее, проблема защиты сетей донельзя актуальна. Вот мнение по этому поводу Олега Пятаева, директора «Интеркон Инжиниринг Групп»: «Любая, даже самая маленькая сеть может стать объектом взлома. Поэтому любая сеть нуждается в определенной защите». Вообще, атаки на сеть можно подразделить на несколько групп. Первая группа — это организованные атаки, направленные на конкретную организацию. Цели таких атак могут быть самыми разнообразными — от получения какой–то закрытой секретной информации, до приостановки деятельности организации путем уничтожения ее баз данных. Такие атаки проводятся группами профессионалов, и противостоять им наиболее сложно. Но, с другой стороны, такие атаки нуждаются в серьезном финансировании, и организовывают их только если в результате получается значительный выигрыш, и немногие организации могут стать объектом таких атак.

Вторая группа — атаки начинающих хакеров, которым все равно, что взламывать, лишь бы найти применение своим способностям. Ищутся и взламываются сайты в Интернете, имеющие общеизвестные дыры в защите — для взлома используется стандартный софт, взятый с хакерских сайтов. Таким атакам может быть подвержена любая сеть, имеющая выход в Интернет. Защититься от них достаточно просто (по сравнению с атаками первой группы), как минимум для этого необходимо устанавливать стандартные средства защиты, и регулярно обновлять на них программное обеспечение. В тоже время, несмотря на простоту противостояния таким атакам, в сети их происходит очень много. Часто используется специальное программное обеспечение для поиска сайтов с открытыми дырами в защите. Например, известен такой факт: если в Интернет по выделенному каналу подключить напрямую (без шлюза) компьютер с установленным Windows, такой компьютер проработает минут 5–10, после этого он будет обнаружен и взломан.

Третья группа — это вирусные атаки — черви, трояны и т. д. Объект атаки выбирается случайно. От таких атак также не застрахована ни одна сеть — любой пользователь Интернета, наверное, хоть раз сталкивался с действием таких программ.

Да, в малом бизнесе проблема защиты сетей стоит не столь остро. Сергей Иванов, член Совета директоров «Центра комплексной безопасности «ЮНИДЕФ»», обратил внимание на то, что «в малом и среднем бизнесе информационная составляющая до сих пор является вспомогательной, то есть она не является частью бизнеса, и даже если работа сети остановится — из–за взлома, из–за потери электропитания или по иным причинам, — то это не будет означать остановку самого бизнеса и, тем более, его разорение».

Но, по мнению Константина Соколова, руководителя направления информационной безопасности отдела системно–технического проектирования компании «Микротест», в настоящее время наблюдается миграция активов малого и среднего бизнеса из материальных в сторону информационных, и предприятия этой категории оказываются во все большей зависимости от информационных технологий. «В то же время вопросы обеспечения защиты информации, как правило, отодвигаются на задний план; это в первую очередь связано с часто встречающимся недопониманием руководством компании важности данного вопроса», — утверждает г–н Соколов.

При этом, как отметил Сергей Иванов, в вопросах защиты информации, как правило, не рассматриваются вопросы, связанные с самым слабым звеном этого понятия, а именно с человеком.

Человек с флэшкой

«В чем специфика защиты сетей на различных уровнях (физическом, канальном, сетевом, транспортном), и насколько важно осуществить защиту сети на всех уровнях?» — таким был один из вопросов, заданных экспертам.

Как пояснил Сергей Иванов («ЮНИ

ДЕФ»), защиту сетей по уровням можно достаточно четко разграничить лишь для крупных предприятий, а в случае малых и средних граница между уровнями размыта. В любом случае, защита на первых трех уровнях — канальном, сетевом, транспортном — достаточно надежная. По крайней мере, есть достаточно много фирм, которые предлагают хорошие продукты.

Владимир Фиганов («Центр систем безопасности») еще раз обратил внимание на то, что нелогично было бы пытаться осуществить кражу информации извне: «Как правило, гораздо проще все это осуществить через сотрудников компании. Тут даже не приходится говорить о защите сетей, так как основная информация хранится на локальных компьютерах сотрудников. В настоящее время, участились случаи кражи информации при помощи USB–накопителей — самых обычных флэшек. Если доступ к системному блоку неограничен, то даже отсутствие CD–ROM или дисковода не служит препятствием — везде есть USB–разъемы. По статистике, до 70% краж информации осуществляется именно инсайдерами и именно с помощью флэш–накопителей».

В унисон звучит и предупреждение Олега Пятаева («Интеркон Инжиниринг Групп»): «Необходимо помнить о препятствии взломам, проводимым с помощью методов социальной инжинирии, когда, с помощью хитрости или подкупа, помогающая получить доступ в сеть информация получается от сотрудников организации.

Исчерпывающе ответил Олег Ларин («Агентства правовой информации»): «Если мы говорим о защите сети от атаки снаружи, то в случае с малым и среднем бизнесом актуально говорить только о защите сети на сетевом и транспортном уровне: это сетевой протокол IP и транспортный протокол TCP. На уровне протокола IP используется трансляция адресов, которая исключает любые соединения снаружи, то есть соединение может быть инициировано только изнутри, что снимает большую часть проблем. Что касается транспортного уровня, протокола TCP, то существуют и программные, и аппаратные решения, позволяющие закрыть определенные потенциально уязвимые порты. Правильнее было бы даже по умолчанию закрыть все порты, а открыть только нужные. В обычной работе открытых портов требуется очень мало. Но следует добавить, что защита на всех уровнях моделей OSI не столь важна, по сравнению с «человеческим фактором». Против действий человека (будь они умышленные или просто по незнанию), работающего внутри сети, спасует любая защита».

Wi–Fi — находка для шпиона

Относительно новых сред передачи информации — оптоволокна и радиочастотных ресурсов — опрошенные эксперты были единодушны: если оптоволокно является наиболее защищенной средой, то все без исключения беспроводные протоколы весьма уязвимы.

Олег Пятаев («Интеркон Инжиниринг Групп»): «Оптоволокно — на сегодняшний день наиболее защищенная среда передачи информации. Нет наводок, нельзя незаметно врезаться в кабель и считать информацию. На медном кабеле информацию можно снять непосредственно из канала связи за счет создаваемых при передаче данных электромагнитных наводок. Радиоканал — это наименее защищенный канал,  всегда есть возможность для подключения. Защита достигается только за счет методов шифрования трафика, при этом возможен перехват ключей шифрования».

Владимр Фиганов («Центр систем безопасности»): «Если говорить об оптоволокне, то с точки зрения безопасности здесь нет никакой разницы по сравнению с витой парой. Есть оборудование, которое позволяет без врезки осуществлять съем информации с витой пары, но стоимость этого оборудования такова, что даже на уровне среднего бизнеса это не актуально. Это скорее государственный уровень. Wi–Fi показал свою несостоятельность. Есть пример, когда хакерам понадобилось меньше трех часов, чтобы взломать сервер, стоявший в государственном помещении. Был осуществлен взлом именно на уровне протокола. Также по беспроводным сетям сейчас набирает обороты блюджекинг, использующий уязвимость Bluetooth. Один английский специалист в области информационной безопасности провел такое исследование: он прошел в здание Парламента с «дипломатом», где была достаточно мощная антенна, подключенная к сотовому телефону и ноутбуку. Было скачано очень много информации, записные книжки, личные записи, записи органайзеров из мобильных телефонов сотрудников Парламента. И, наверное, все слышали историю с взломом телефона Пэрис Хилтон».

Олег Ларин («Агентства правовой информации»): «Теоретически, снимать информацию с оптоволокна труднее, чем с витой пары, но в случае малого и среднего бизнеса и то, и другое неактуально, поэтому говорить о преимуществах оптоволокна не приходится. Если говорить о радиочастотных ресурсах, то очень популярна в наше время технология Wi–Fi. Но эта среда вопросы безопасности не решает никак, и если мы хотим все–таки ее использовать, то желательно применять дополнительное шифрование данных».

Пароль — на стикере,

стикер — на мониторе

Предельно актуальной сегодня является работа по обеспечению защиты информации на уровне персонального компьютера сотрудника. Олег Ларин («Агентства правовой информации»): «В своей работе мы считаем этот момент одним из основных, потому что защитить свою сеть от вторжения снаружи достаточно просто: существует масса решений как аппаратных, так и программных, требующих минимальных усилий для поддержки. Фактически, поставил и забыл. Что касается персональных компьютеров, которых у нас в сети может быть много — эти вещи значительно важнее. Во–первых, должен обновляться антивирус, во–вторых, устанавливаться обновления, меняться пароли и т. п. Крайне желательно, чтобы отчеты о работе средств обеспечения безопасности регулярно просматривались специалистом.

Константин Соколов («Микротест») отметил, что «в последнее время наблюдается смещение акцентов защиты информационной системы: если раньше основной упор делался на защиту межсетевого взаимодействия информационной системы организации с внешними сетями, то в настоящее время все больше внимания уделяется вопросам обеспечения информационной безопасности внутри периметра и контроль действий легитимного пользователя. Согласно мировой практике, вне зависимости от надежности системы по обеспечению информационной безопасности и наличии нормативно–распорядительных документов наиболее слабым звеном является сотрудник организации».

Впрочем, все меры технической защиты от несанкционированного доступа к компьютерам, включая использование паролей, всевозможных смарт–карт и eToken'ов для авторизации пользователя окажутся бессильными без решения необходимых организационных и административных вопросов. В этой связи Сергей Иванов («ЮНИДЕФ») напомнил легендарную историю о том, как знаменитый хакер Митник свой первый взлом совершил после того, как порылся в урне рядом со зданием одной корпорации и на каком–то обрывке нашел пароль.

Это мнение подтвердил и Олег Пятаев («Интеркон Инжиниринг Групп»): «Нередко можно видеть, как в надежно закрытой от атак извне сети сотрудники хранят пароли приклеенными на мониторах своих компьютеров, самостоятельно устанавливают программное обеспечение с пиратских дисков (часто содержащих вирусы), переписывают данные на флэшках и дискетах. Таким образом, даже непреднамеренно можно создать уязвимость в системе сетевой безопасности. И сколько возможностей откроется перед сотрудником организации, если он целенаправленно захочет получить доступ к конфиденциальной информации, или открыть доступ для внешней атаки. Сотрудник может сфотографировать экран монитора (практически все сотовые телефоны сейчас идут с фотоаппаратами), распечатать секретный документ на принтере (печать контролируется очень редко), переписать базу данных на компакт–диск. Вместо использования сложных технических методов проникновения в сеть, намного проще (и дешевле) найти недобросовестного или недовольного работника, который предоставит злоумышленнику нужную информацию. О важности обеспечения сетевой безопасности на каждом рабочем месте говорит тот факт, что практически во всех крупных известных взломах использовались данные, полученные внутри организации».

Вне всякого сомнения, основной источник угроз информационной безопасности предприятия — это действия инсайдеров. Сергей Иванов («ЮНИДЕФ») предупреждает: «Все мы помним скандалы, связанные с появлением на черном рынке баз по недвижимости и Пенсионного фонда. Но такие объемы информации невозможно скачать через сеть и «всемогущие» хакеры здесь ни при чем. Во всех этих случаях явно имел место сговор с сотрудниками соответствующих структур. Таким образом, на первое место сегодня выходит вопрос аудита и отслеживания действий легальных пользователей. Система должна протоколировать все действия, а пользователи объяснять корректность своих действий».

В малом бизнесе вопрос сохранности баз данных, может быть, не столь актуален — здесь на первом месте стоит проблема упреждения в сфере тендеров. Но, как выразился Владимир Фиганов, «на самом деле, техника ошибается очень редко».

Своими силами

Может ли собственный отдел ИТ разработать и осуществить полноценные меры безопасности сети без привлечения сторонних специалистов? «Работа по обеспечению информационной безопасности и, в частности, безопасности сети предприятия или организации, в любом случае, должна начинаться теми людьми, которые в этой организации работают, — таково мнение Сергея Иванова («ЮНИДЕФ»). — Нет смысла приглашать кого–то со стороны, если в фирме не предприняты самые элементарные шаги по обеспечению безопасности: отсутствует межсетевой экран при работе в Интернете, антивирусное программное обеспечение, нет ограничений в доступе сотрудников, не осуществляется резервное копирование и т. д.». С этим трудно не согласиться.

Если же некая система безопасности на предприятии уже построена, но она оказывается неадекватной рискам, то можно приглашать специалистов со стороны. «Однако нужно понимать, — предупреждает г–н Иванов, — что приглашенные специалисты будут в каком–то смысле довлеть над заказчиком, предлагать ему те средства, с которыми они больше работают, а не те, которые больше подходят для конкретных нужд клиента. Поэтому выход — в проведении неких тендеров или конкурсов и в сравнении различных решений. При этом, окончательный выбор, в конечном итоге, необходимо принимать самим».

Но, конечно, многое зависит от уровня подготовки сотрудников ИТ–отдела. Как считает Олег Пятаев («Интеркон Инжиниринг Групп»), «если в отделе есть специалист по информационной безопасности, то лучше выполнить эту работу самостоятельно, так как привлечение стороннего непроверенного человека (даже если он обладает высокой квалификацией) всегда чревато тем, что он может оставить для себя лазейку в сеть. Если такого специалиста нет, то работы по повышению уровня безопасности компьютерной сети можно поручить сторонней организации. При этом надо выбирать проверенную фирму с хорошей репутацией».

Константин Соколов («Микротест») отметил следующие недостатки обеспечения информационной безопасности сотрудниками отдела ИТ:

4 возникающие конфликты и взаимные обвинения между сотрудниками отдела ИТ в случае нарушения работы корпоративной сети;

4 низкий уровень обеспечения информационной безопасности в целом (например, встроенные механизмы защиты операционных и прикладных систем, СУБД и сетевого оборудования не настроены);

4 при работах по настройке информационных систем возможен «обход» либо отключение средств защиты информации;

4 модернизация корпоративной сети, как правило, приводит к появлению новых дыр в системе защиты информации.

В свою очередь, Олег Ларин («Агентства правовой информации») высказался кратко: «Универсального ответа на этой вопрос нет. В принципе, по моему личному мнению, способен. Но наверняка бывают случаи, когда нужно обратиться к экспертам».

Джентльменский набор: сервер, брандмауэр, антивирус

Каким должен быть минимальный набор средств, способный обеспечить безопасность компьютерной сети предприятия? Для того чтобы ответить на этот вопрос, руководители должны сперва ответить на другой, а именно: сколько они могут потерять, если случиться тот или иной инцидент с безопасностью в сети их предприятия. Понятно, что стоимость защиты не должна превышать стоимость возможных рисков. Сергей Иванов («ЮНИДЭФ») сравнил принятие решение в данном вопросе с принятием решения о страховке: «С одной стороны, если ничего не случается, то, вроде бы, деньги зря потрачены. А с другой стороны, если что–то случится... Найти разумный баланс между расходами по обеспечению безопасности и возможными рисками может только конкретный руководитель в его конкретной ситуации».

В любой системе защиты, отметил Константин Соколов («Микротест»), можно выделить несколько подсистем. Такими подсистемами будут средства защиты межсетевого взаимодействия, защиты внутреннего периметра, а также защиты от вредоносного кода. В первую подсистему входят межсетевые экраны, системы обнаружения и предотвращения вторжения на сетевом уровне и системы контроля трафика; во вторую — также межсетевые экраны и системы обнаружения и предотвращения вторжения на сетевом уровне плюс системы обнаружения и предотвращения вторжения на уровне приложений и системы аутентификации и контроля действий пользователя. В состав подсистемы защиты от вредоносного кода должны входить системы обнаружения и предотвращения вторжения на сетевом уровне, системы обнаружения и предотвращения вторжения на уровне приложений и системы антивирусного контроля.

Если все же говорить о каком–то минимуме, то, по мнению Владимира Фиганова («Центр систем безопасности»), он будет заключаться в следующем: «Это — сервер. Желательно, не один, а два сервера — для создания «демилитаризованной зоны» между Интернетом и локальной сетью предприятия. Обязательно должна быть система паролей, а также система разделения доступа — очень четкая и, желательно, документированная. Причем, хранящаяся в бумажном, а не в электронном виде. Последнее является немаловажным фактором. Кроме того, сейчас начали появляться средства защиты от USB–накопителей, и необходимо их использовать. А системный администратор должен очень четко проводить политику безопасности и объяснять людям, для чего все это нужно».

Олег Ларин («Агентства правовой информации») высказал свое мнение: «Минимальный набор, по моему мнению, будет выглядеть так: это маршрутизатор для связи с Интернетом, также антивирусное программное обеспечение, которое проверяет всю входящую почту, и обязательно наличие антивирусов, которые стоят на рабочих станциях. Это — тот минимум, с которого надо начинать. Далее этот набор может расширяться в ту или иную сторону в зависимости от специфики работы предприятия и квалификации его сотрудников».

СБ и ИТ: разделяй и властвуй?

Как справедливо заметил Олег Ларин («Агентства правовой информации»), «на небольших предприятиях традиционно служба безопасности занимается физической безопасностью, а ИТ–отдел, помимо других своих функций — вопросами именно безопасности информационной».

В идеале, однако, Служба безопасности (СБ) и специалисты ИТ–отдела должны работать вместе и дополнять друг друга. По мнению Олега Пятаева («Интеркон Инжиниринг Групп»), «без поддержки сотрудников СБ системный администратор не сможет добиться выполнения работниками предприятия всех правил сетевой безопасности. В то же время, сотрудники СБ, как правило, не обладают техническими знаниями, требуемыми для защиты сетевых ресурсов предприятия. Так как сейчас все документы хранятся и обрабатываются в электронном виде, защита информационных ресурсов является важной задачей для СБ предприятия».

А вот Константин Соколов («Микротест») высказался за разделение полномочий между СБ и отделом ИТ: «Эксперты по информационной безопасности СБ должны разрабатывать нормативно–распорядительную документацию и следить за ее выполнением, а сотрудники отдела ИТ —  устанавливать и обеспечивать поддержку средств защиты информации в соответствии с рабочей документацией».

По мнению же Сергея Иванова («ЮНИДЕФ»), лучшим выходом было бы создание некой «прослойки» между СБ и ИТ–отделом — отдельной структуры, которая бы занималась непосредственно вопросами информационной безопасности и, в случае высоких рисков, была «завязана» непосредственно на руководство предприятия.

Работа–то — с людьми

Говоря об информационной безопасности бизнеса, одним из важнейших аспектов которой является безопасность сетей, эксперты были единодушны в том, что, во–первых, часто имеет место недооценка этой проблемы руководителями, а во–вторых, одними техническими средствами ее (проблему) не решить.

Константин Соколов: «Рассматривая информацию как товар и/или материальный ресурс, можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления».

«К сожалению, — отметил Владимир Фиганов, — осознание важности этого аспекта безопасности бизнеса к руководителям приходит только после того, как проигрывается несколько тендеров, или пропадает клиентская база, или просто на целый день выходит из строя компьютерная сеть, когда компьютеры перестают работать в результате какого–нибудь, скажем так, информационного вандализма. То есть, пока гром не грянет, системный администратор не появится».

Олег Ларин: «Я убежден, что современные технологии обеспечения информационной безопасности  достигли того уровня, когда злоумышленнику гораздо проще обратиться к человеческому фактору. Потому что грамотный технический специалист, основываясь на существующих типовых решениях, создаст систему, которая будет автономна и решит основную часть проблем по защите данных. Также существует ряд эффективных технических решений на основе аутсорсинга. А вот человеческий фактор контролировать гораздо сложнее. И гораздо дороже».

Сергей Иванов резюмировал: «Единственный ненадежный и неопределенный фактор во всей системе безопасности — это человек. Поэтому надо работать с людьми».


Источник: Архив: Нижегородский бизнес-журнал
Нашли ошибку? Выделите текст с ошибкой и
нажмите Ctrl+Enter, чтобы сообщить нам о ней.
Нет комментариев.