Информационная оборона

журнал "Эксперт"

Алексей Грамматчиков

Главной угрозой для корпоративных информационных систем становится не внешний, а внутренний фактор — наибольший урон компании может нанести не случайный вирус или стихийное бедствие, а рядовой сотрудник, умышленно или по неосторожности распространивший секретные данные

Защита информации сегодня превращается в один из самых динамично развивающихся сегментов рынка информационных технологий. Так, по данным исследовательской компании IDC, в последнее время его объемы в среднем растут каждый год почти на треть. Если в 2003 году российские компании потратили на приобретение систем информационной безопасности 33,5 млн долларов, то в 2004-м этот показатель достиг 42 млн, а в 2005-м — уже почти 60 млн долларов.

Однако это лишь начало: по прогнозам аналитиков, в дальнейшем будет сделан еще более внушительный рывок — уже к 2009 году объемы продаж программ обеспечения информационной безопасности увеличатся более чем вдвое и составят 127 млн долларов. Причем вместе с ростом продаж меняется и сама структура рынка информационной защиты — российские компании столкнулись с новыми угрозами.

Виртуальная зараза

Специалисты делят угрозы информационным системам предприятия на два типа: целевые и нецелевые. К первым относится сознательная деятельность различных злоумышленников, в корыстных целях стремящихся украсть или повредить информационную базу предприятия. Второй тип — угрозы, напоминающие стихийные бедствия: вирусы, спам и другие массово распространяемые вредоносные программы, а также собственно стихийные бедствия (землетрясения, наводнения, пожары и т. д.).

Несанкционированные угрозы по-прежнему составляют основу рисков для безопасности информационных систем компаний. Прежде всего это вирусы. Еще несколько лет назад некоторые специалисты прогнозировали, что эпидемии компьютерных вирусов скоро пойдут на спад — в первую очередь потому, что против них появятся совершенные программы, а рядовые пользователи ПК наберутся опыта в борьбе против виртуальной заразы.

Однако пока этого не происходит. «Ожидания того, что вирусные эпидемии будут сходить на нет, так и не оправдываются, — говорит Сергей Голубенко, директор отдела маркетинга группы компаний 'Антивирусный центр'. — Прежде всего потому, что одновременно с программами по борьбе с вирусами совершенствуются и сами вирусы. Вирусописатели придумывают все более изощренные способы того, как обойти новые виды защиты».

Несмотря на рост рынка антивирусных программ, специалисты отмечают, что количество вирусов год от года стремительно растет. Так, по данным компании «Лаборатория Касперского», в 2005 году прирост количества новых вирусов в сетях российских пользователей составил 117%, что на четверть больше, чем за год до этого. В среднем же ежемесячно в русскоязычном интернете появляется до 7 тыс. новых вирусов. Например, в начале 2006 года десятки тысяч компьютеров российских пользователей были поражены вирусами Zafi и Mytob, которые до сих пор распространяются по электронной почте и выводят из строя операционные системы компьютеров.

Специалисты утверждают, что сейчас компьютер без установленной антивирусной защиты может активно проработать в интернете не более 30 минут. Но даже с суперсовременными защитными программами нет полной гарантии того, что компьютер не будет поражен каким-нибудь новым виртуальным «червем».

Сегодня на российском рынке доминируют отечественные производители антивирусных программ «Лаборатория Касперского», Dr. Web и ряд других. Однако в последнее время здесь активизировались иностранцы: о планах расширения продажи своих продуктов объявили такие лидеры мирового рынка антивирусного ПО, как Symantec, Trend Micro, McAfee. Причем, стремясь завоевать долю на российском рынке, зарубежные компании даже пытаются демпинговать — например, сейчас некоторые продукты McAfee можно купить с двадцатипроцентной скидкой.

Впрочем, следует отметить, что антивирусные программы сами по себе не очень дороги. Например, лицензионный продукт той же «Лаборатории Касперского» можно приобрести за 30-40 долларов для отдельного пользователя и за 600-1000 долларов, если речь идет о решении для корпоративного пользователя.

Кстати, именно разработчики антивирусного ПО являются основными поставщиками решений и против атак хакеров — злоумышленников, которые целенаправленно пытаются взломать информационные системы той или иной компании. Связано это с тем, что большинство хакеров использует те же вредоносные программы (например, «троянские»), что и вирусописатели. Однако, по мнению специалистов, действия хакеров в большей степени актуальны для западных стран, где более распространена электронная торговля и использование кредитных карточек (именно похищение кодов карт оплаты остается главной целью большинства киберпреступников).

В России же хакеры по-прежнему действуют или из хулиганских побуждений, или стремясь получить сравнительно небольшую выгоду самыми изощренными способами. Вот один из самых свежих приемов из практики отечественных хакеров: они запускают в чужую информационную систему программу, которая сама начинает выполнять международные звонки (часто компьютерная и телефонная сеть в компании совмещены). Звонок осуществляется на подставную, принадлежащую хакерам, фирму, которая потом выставляет недоумевающей организации счет.

Письмо несчастья

Еще одной значительной угрозой для информационных систем в последнее время стала несанкционированная рассылка рекламных объявлений, в обиходе — спама. По оценкам аналитиков «Лаборатории Касперского», за последний год его объемы в России выросли в полтора-два раза и теперь доля непрошенной рассылки достигла катастрофического показателя — 70-80% от всего почтового трафика. Это значит, что на каждые два-три электронных письма приходится семь-восемь спамерских. Такой объем спама наносит ощутимый ущерб деятельности крупных компаний. Чтение спама отнимает у сотрудника рабочее время, и, по оценкам, ущерб от этого в России составляет 50-200 долларов в год в пересчете на каждого работника.

В российском интернете ежемесячно появляется до 7 тыс. новых вирусов, а доля спама достигает 70–80% всего почтового трафика

Противостоять спаму призваны антиспам-фильтры. Сегодня рынок этих программ в России оценивается в 2 млн долларов, и, как и в случае антивирусного ПО, доминируют на нем российские производители. Причем зарубежные компании конкурируют с ними очень вяло, что, впрочем, объяснимо: эффективно отслеживать типы спама в России могут лишь русскоязычные специалисты. Зато на рынке антиспамовых фильтров стали заявлять о себе компании, которые предоставляют услуги бесплатной почты в интернете. Например, владелец крупного почтового сервиса и поисковых систем «Яндекс» вывел на рынок продукт «Самооборона». Представители «Яндекса» утверждают, что в ближайшее время они планируют занять до 50% российского рынка ПО против спама, поскольку конкурентным преимуществом их продукта является огромная база спам-писем, обрабатываемых почтовой службой «Яндекса».

Однако, несмотря на все усилия, программные решения по-прежнему не в состоянии гарантировать стопроцентной защищенности от спама. Как и в ситуации с вирусами, создатели спама придумывают новые способы замаскировать рекламные письма под личную переписку, деловые сообщения и т. д. Более того, многие руководители IT-служб предприятий считают антиспам-фильтры вредными, поскольку довольно часто они принимают за рекламу и отфильтровывают действительно нужные и важные письма.

Впрочем, в ближайшее время борьба со спамом перейдет в правовую плоскость. Это связано с новой редакцией Закона о рекламе, который должен вступить в силу уже летом. Если сейчас распространение спама считается вполне легальным бизнесом, то, согласно новым нормам, это занятие станет незаконным.

Пожарная команда

Если вирусы и спам — вредители традиционные, то относительно новый вид угрозы для информации — различные стихийные бедствия, катастрофы и аварии.

Еще после терактов 11 сентября 2001 года в Нью-Йорке специалисты по информационным технологиям стали говорить о том, что уничтожение, например, здания банка может привести к полной потере данных о клиентах, расчетных счетах и тем самым вызвать полный коллапс финансовой организации. Новый всплеск спроса на защиту от стихийного форс-мажора за границей был зафиксирован после недавнего урагана Катрина, когда многие компании понесли серьезный ущерб в результате того, что вместе с их офисными зданиями была утеряна значительная часть важной информации.

В России же интерес к так называемым катастрофоустойчивым решениям заметно возрос после энергетической аварии в Москве, а также после ряда крупных пожаров. В частности, в здании «Комсомольской правды» именно из-за отсутствия современных систем хранения информации погибла существенная часть архива одной из старейших газет.

Одним из наиболее распространенных решений противодействия стихийным угрозам становится формирование резервных систем хранения информации, когда компания создает резервный сервер (желательно в другом здании или даже в другом городе), который должен физически выжить в случае гибели основного центра хранения информации.

Другие решения связаны в основном с обеспечением бесперебойного питания информационных систем в случае аварий на электросетях. Здесь достаточно активны банки. Так, представители Внешторгбанка недавно сообщили, что банк вложил свыше 1 млн долларов в создание новой информационной системы, которая в первую очередь направлена именно на бесперебойность работы в критических ситуациях. «Во время недавнего 'блэкаута' в Москве наш банк работал без перебоев, — заявил вице-президент Внешторгбанка Дмитрий Назипов. — Однако я знаю, что у некоторых других банков были серьезные проблемы. Трудно вообразить, к каким катастрофическим последствиям в результате подобной аварии может привести потеря части базы данных, скажем, о наших клиентах. Поэтому сейчас мы делаем все, чтобы застраховаться от подобных случаев».

Некоторые телекоммуникационные компании тоже создают так называемый Disaster Recovery Plan — план восстановления информационных систем после чрезвычайной ситуации. «Два года назад мне в руки попала уникальная видеозапись пожара в серверной комнате некой компании, — рассказывал не так давно на одной из конференций Дмитрий Устюжанин, начальник отдела информационной безопасности компании 'Вымпелком'. — Там видно, что огонь может за считанные минуты уничтожить базу данных огромного предприятия. В числе прочего и эта запись убедила нас в том, насколько критична физическая защита данных и какой ущерб всей компании может нанести подобный инцидент. Было принято решение строить резервный центр обработки и хранения данных».

Наконец, некоторые российские фирмы даже проводят специальные учения по использованию резервных IT-систем во время пожаров, землетрясений и других видов катастроф. Например, в МДМ-банке регулярно проходят тренинги по перемещению всех отделов в резервные, оснащенные запасным ИТ-оборудованием здания и налаживанию там рабочего процесса в случае, если в основном офисе произошел пожар или еще какое-то ЧП.

Чужой среди своих

Но все-таки главная угроза, которая, по мнению специалистов, становится все более актуальной для информационных ресурсов российских компаний, кроется в людях. Так, в ходе недавнего опроса авторитетной компании Infowatch руководители IT-отделов российских предприятий назвали в качестве угрозы номер один «действия инсайдеров» — сотрудников компаний (см. график).

«Вирусы, действия хакеров, спам — это раскрученные в представлении большинства российских компаний страшилки, — говорит Михаил Башлыков, руководитель направления информационной безопасности компании 'Крок'. — Но урон, который могут нанести компании действия самих ее сотрудников, может оказаться куда более серьезным. Однако эту угрозу, видимо, многие еще не осознали».

Действительно, ушедший год стал рекордным по числу скандальных утечек ценной информации из крупных компаний, как в мире, так и в России. Например, перед самым Новым годом международная сеть отелей Mariott призналась, что у нее украли персональные данные о 206 тыс. клиентах и сотрудниках. Чуть ранее компания Ford заявила, что из ее информационной системы пропали сведения о 70 тыс. нынешних и бывших служащих. А в середине декабря группа компаний ABN AMRO сообщила об утечке данных о 2 млн клиентов.

В России конец прошлого года был ознаменован утечкой базы данных из компании «НИКойл» — одного из крупнейших российских регистраторов, ведущего реестры таких компаний, как «ЛУКойл», МТС, «Скайлинк» и многих других крупных отечественных предприятий. Чуть ранее на черном рынке появились сведения, украденные из российских налоговых органов. Эта база продается до сих пор, и в ней можно найти более 9,9 млн справок о доходах российских граждан за 2004 год с помесячной разбивкой, сведениями о месте работы, реквизитами и адресами налогоплательщиков. Наконец, чуть ранее крупный скандал разгорелся в связи с поступлением на черный рынок баз данных Центрального банка РФ, где содержалась информация о платежах, проведенных банками через расчетно-кассовые центры ЦБ в 2003-2004 годах.

Специалисты убеждены, что в подобных скандальных утечках виноваты именно инсайдеры. Часто они воруют информацию умышленно, пытаясь заработать. Однако эксперты по информационной безопасности утверждают, что сотрудник компании может стать причиной утечки секретной информации и не умышленно, а просто по халатности или невнимательности.

Не так давно в Россию приезжал известный в прошлом американский хакер Кевин Митник (ныне глава легальной консалтинговой фирмы Mitnik Security), который теперь развивает идеи новой науки, названной им «социальная инженерия». В России г-н Митник демонстрировал приемы, подтверждающие, что даже самая совершенная техника защиты информационного ресурса — ничто, если в компании злоумышленники найдут доверчивую секретаршу или глупенького клерка.

Скажем, самый простой способ узнать пароль секретной системы — позвонить любому сотруднику фирмы и, представившись новым системным администратором, попросить сказать логин и пароль входа в корпоративную систему: этот прием срабатывает в 90 случаях из 100. Другой трюк — подбросить в лифт компании дискету с надписью «Зарплаты сотрудников». Большинство нашедших этот «подарок» поспешат вставить дискету в свой компьютер. Естественно, никаких данных о зарплате там не будет, а вот незаметная программа-шпион сосканирует с ПК работника все его пароли и затем перешлет преступнику.

Пароль? Проходи!

Какие же способы сейчас предлагаются для борьбы с «внутренней угрозой»? Специалисты советуют прежде всего усилить контроль над всеми возможными каналами утечки информации. К наиболее распространенным, через которые может совершаться кража важных данных, относятся мобильные накопители информации — флеш-карты памяти, дискеты и прочие носители, на которые сотрудник может копировать данные и уносить их. Чтобы этого не происходило, корпоративную сеть как минимум нужно защитить от подключения подобных устройств.

Угроза номер один для информационных систем российских предприятий — действия «инсайдеров» — сотрудников компаний

Другой путь утечки данных — электронная почта. Эксперты по безопасности рекомендуют тщательно контролировать почтовые ящики своих сотрудников. Дело в том, что уже есть много программ, способных отслеживать пересылку через почту секретных корпоративных документов. К дополнительным угрозам относят использование сотрудниками веб-почты (бесплатных почтовых ресурсов в интернете), а также печатающих устройств и фотопринадлежностей.

К эффективным средствам защиты корпоративной информации, имеющимся на рынке, причисляют такие решения, как межсетевые экраны и контроль доступа. Межсетевой экран (firewall — «стена, препятствующая распространению пожара») — это специальное аппаратное устройство, своеобразный барьер между двумя и несколькими сетями — элементами корпоративной системы. Например, он может контролировать и фильтровать поступление информации из интернета в ту часть сети компании, где хранятся ценные данные. Сейчас рынок межсетевых экранов в России развивается довольно динамично, и на нем в основном присутствуют иностранные производители (Cisco, Checkpoint, Watchguard).

Что же касается систем контроля и разграничения доступа, то это, по мнению специалистов, тоже является эффективным средством защиты информации от «внутреннего врага». Речь идет о том, что каждый сотрудник должен иметь доступ к ограниченному объему данных, необходимых ему для выполнения своей работы. Например, человеку, отвечающему за логистику, незачем иметь доступ к общей бухгалтерской информации компании. А ограничить уровни доступа сотрудников можно с помощью системы паролей. Хотя все более распространенными становятся биометрические средства защиты: сотрудник, скажем, по отпечатку пальца получает доступ лишь к определенному уровню корпоративной системы.

Ну и конечно же, следует работать непосредственно с «человеческим ресурсом» фирмы. «Персонал компании постоянно должен быть объектом внимания со стороны руководства, — считает директор департамента систем информационной безопасности компании 'АйТи' Андрей Петухов. — Среди сотрудников необходимо время от времени проводить инструктажи и тренинги и объяснять, как важно беречь хранящуюся в корпоративной сети информацию. Ведь очень часто люди просто не задумываются о том, что даже незначительная утечка может привести к большому ущербу для всей компании, а значит, негативно повлиять и на их материальное положение».

Наконец, новейшая тенденция на рынке информационной безопасности — большое предложение услуг по консалтингу и правильной оценке рисков взлома корпоративных информационных систем. «Прежде чем начать внедрение систем защиты информации, компании нужно грамотно оценить риски функционирования всей системы, — считает Павел Волков, руководитель отдела информационной безопасности компании 'Открытые технологии'. — Плохо недооценить риск утечки определенной информации, но так же плохо, если этот риск будет переоценен и руководитель предприятия начнет тратить значительные суммы на защиту информации, утечка или потеря которой не нанесет большого вреда. Правильно оценить это может консалтинг по информационной безопасности, услуги которого в России будут в ближайшее время динамично развиваться».

За последние два года 49% отечественных компаний стали жертвами экономических преступлений. При этом в наибольшей степени российский бизнес страдает от использования сотрудниками служебного положения в личных целях.

Таковы результаты исследования, проведенного PricewaterhouseCoopers вместе с Университетом Мартина Лютера. В нем приняли участие 3634 компании из 34 стран мира, включая Россию. Средние потери от мошеннических операций в российских компаниях составили 3,1 млн долларов, включая 1,8 млн от использования служебного положения в личных целях. Эта сумма не только в три раза превышает средние показатели по странам Центральной и Восточной Европы, но и значительно выше средних показателей по миру, при том что размер российских компаний, принимавших участие в опросе, относительно невелик по сравнению с респондентами из других стран.

Настораживают и два других факта, весьма точно характеризующих нравы, бытующие среди российских управленцев. В наших компаниях финансовыми правонарушениями промышляют в основном топ-менеджеры (50%), в то время как во всем мире это в большей степени средний менеджерский состав и линейный персонал (77 и 63%). Причиной тому — слабость механизмов контроля над управленцами высшего звена со стороны собственников российской компании. Наконец, не менее показательно, что 39% российских фирм привлекали страховщиков для покрытия понесенного ущерба, однако не получили никакого возмещения.

Перепечатка из журнала "Эксперт"

На главную страницу