Самый, самый, самый человек дорогой...

Персонал - самое слабое звено в цепочке информационной безопасности компании

Как отмечается в обзоре агентства Ernst & Young (сделан на основе международного опроса, в том числе отдельно по странам СНГ), во всем мире компании сталкиваются с одинаковыми проблемами в области информационной безопасности. Это недостаточная осведомленность руководства компании и совета директоров в вопросах информационной безопасности, недостаточное финансирование и недостаточное внимание к организационным мерам безопасности. В конечном же счете, констатируют аналитики агентства, главная проблема - недопонимание того, что информационная безопасность является вопросом ведения бизнеса, а не просто термином из области информационных технологий.

Последний тезис наглядно подтверждают цифры, полученные в рамках американских и европейских исследований. По официальным источникам, только в деловом секторе США ежегодные потери от всех видов нарушений информационной безопасности составляют 150-300 млрд долларов. В Европе - около 200 млрд долларов. Очевидно, в России из-за гораздо меньшей развитости компьютерных сетей ситуация пока не столь напряженная. Но угрозы те же, причем главные, как это часто бывает, стоит искать внутри, а не вне компании.

Емкое слово "сбой"

В теории и практике информационной безопасности угрозы технологически делятся именно так: на внешние и внутренние. Внешние угрозы - обычно результат преднамеренных действий злоумышленников. В настоящее время, для того чтобы похитить, уничтожить или исказить информацию, доступ к которой ограничен, вовсе не обязательно вторгаться на территорию предприятия и общаться с носителями информации. Злоумышленники могут получить доступ к информационным ресурсам предприятия, читать электронную почту, изменять базы данных и схемы связи, оставаясь невидимыми и избегая судебного преследования.

Уязвимыми могут быть сетевые протоколы (TCP/IP, IPX/SPX) и устройства (маршрутизаторы и коммутаторы), операционные системы (Windows NT, UNIX, Netware), базы данных (Oracle, Sybase, MS SQL Server) и приложения (ERP-системы, почтовые и web-серверы, и др.). Сюда относятся инциденты, связанные с компьютерными вирусами, кражами аппаратного обеспечения, взломами систем электронной почты (в т.ч. через спам), DOS-атаками (действия, вынуждающие компьютерную систему работать в режиме максимальной нагрузки, что в итоге приводит к ее отказу), взломами веб-сайтов и т.д. То есть существует целый комплекс угроз, о которых много говорят и пишут в последнее время.

Для описания технологических внутренних угроз обычно используется емкое слово "сбой". Возможна потеря ценной информации или многодневная остановка функционирования важного подразделения организации, например, исключительно из-за нарушения работоспособности сервера. Сюда же относятся отказ важных информационных систем и, как результат, потеря конфиденциальной информации. В таких случаях речь в конечном итоге идет о качестве информационной системы компании (или отдельных систем), ее отказоустойчивости, технологическом совершенстве оборудования и т.д.

Перечисленные угрозы в той или иной степени касаются предприятий всех уровней - от очень крупных до очень маленьких. Компании с внедренными ERP-системами заинтересованы в надежности серверов и качестве антивирусной защиты (тем более что появляются специальные вирусы для ERP; например, два года назад много говорили о вирусе-шпионе SAPvir, предназначенном для работы в системе SAP R/3) так же, как и представители малого бизнеса с "лоскутной" автоматизацией. Для последних, кстати, вопросы информационной безопасности часто сверхкритичны. Недалеко от дома автора этой статьи закрылся неплохой видеопрокат: сперва кто-то удаленно украл базу данных по клиентам с их паспортными данными (использовалась прогрессивная форма видеопроката "без залога"), а еще через неделю сгорел сервер, в результате чего вся накопленная информация о клиентах и электронный каталог фильмов были утеряны. Неделя простоя - и прокат пришлось закрыть. Так совсем маленькая компания оказалась фатальной жертвой и внешней, и внутренней атак.

Бдительность и еще раз бдительность

Рынок программных и аппаратных средств защиты информации переживает сейчас настоящий бум. В широком ассортименте представлены анвтивирусные продукты, специализированные системы информационной безопасности, межсетевые экраны (МЭ, или брандмауэры, - наиболее распространенные средства предотвращения несанкционированного доступа в компьютерные сети).

В принципе, минимальную схему защиты на основе перечисленных средств применяют практически все небольшие компании, подключенные к Интернету: антивирусная защита реализуется на рабочих местах, а в качестве межсетевых экранов используются устройства организации удаленного доступа или фильтры с поддержкой технологии сетевой трансляции адресов в составе операционных систем. Что касается ERP-систем, то большинство из них имеет встроенный комплекс средств безопасности, состоящий из разных подсистем (например, подсистемы защиты сетевых соединений, идентификации и аутентификации, и др.).

Разобраться в средствах информационной безопасности часто сложно даже ИТ-директорам. Не всегда понятно, какая именно конфигурация решений оптимальна для использования в компании. Для средних и крупных предприятий лучший вариант в таком случае - заказ аудита информационной безопасности. Его проводят как специализированные, так и универсальные аудиторы (в частности, вся "большая четверка").

С помощью специального программного обеспечения (в том числе систем анализа защищенности) собирается информация о состоянии всех составляющих информационной безопасности, выявляются наиболее слабые места, после чего даются конкретные рекомендации (стоимость аудита, в зависимости от объема компании и статуса аудитора, может варьироваться от нескольких тысяч до нескольких десятков тысяч долларов).

На Западе аудит информационной безопасности очень распространен. В России он развит пока в меньшей степени, но первые примеры уже есть. Так, в прошлом году был проведен аудит (аудитором выступила фирма MicroXperts) информационной инфраструктуры компании "Ливиз": проверена загрузка серверов и рабочих станций, протестировано состояние активного сетевого оборудования. Отдельно анализировалась информационная безопасность предприятия.

В принципе, рекомендуется проводить аудит корпоративной информационной сети регулярно, и не только перед внедрением систем ERP-класса, а для того, чтобы определить соответствие компьютерного оборудования и сети требованиям отказоустойчивости.

Такой аудит на многое открывает глаза. Поскольку руководство большинства компаний равнодушно относится к этой проблеме, отделы информационных технологий тоже расслабились. В подавляющем большинстве компаний не ведется учет нарушений информационной безопасности, нет соответствующей отчетности. Менеджмент, как правило, имеет довольно слабое представление о том, насколько эффективны вложения в защиту. При этом, подчеркивает руководитель управления информационными рисками компании KPMG Сергей Татарченко, у старших менеджеров нет представления даже о том, являются ли эти вложения недостаточными или избыточными.

Кстати, для того чтобы минимизировать совокупные риски, возникающие из-за нарушений информационной безопасности, можно застраховаться от подобных потерь. В России уже есть компании, которые предлагают такой продукт. В частности, страхованием на случай физического уничтожения данных и прочих потерь, связанных с информацией, занимаются "Ингосстрах" и РОСНО.

Три участка

В целом, по мнению специалистов KPMG, компаниям следует использовать "комплексный подход, покрывающий все аспекты информационной безопасности". Суть в том, чтобы звенья системы информационной безопасности были развиты пропорционально, поскольку причинно-следственные связи пронизывают всю систему, и сбой хотя бы в одном из звеньев может поставить под удар не просто систему безопасности, а весь бизнес компании. "Несмотря на то что отдельные элементы системы информационной безопасности, как правило, присутствуют на любом предприятии, для российских компаний характерно отсутствие комплексного подхода к ее обеспечению. Поэтому, принимая меры по нейтрализации конкретных угроз, важно привести все аспекты к единому уровню и создать общую систему обеспечения надежности и безопасности ИТ-инфраструктуры", - подтверждает исполнительный директор компании MicroXperts Игорь Ефимов.

На основе накопленного опыта мировых аудиторов специалисты выделяют три наиболее важных участка системы информационной безопасности средних и крупных компаний. Среди них только один - архивация данных - сугубо технологический. Остальные два - определение уровня доступа к информационным системам и работа с персоналом - в большей степени управленческие.

Задача архивации связана со стремительным ростом объемов хранимых данных. Исследования, проводившиеся в разных странах, показали, что за год количество производимой и хранящейся в компьютерных системах информации увеличивается примерно на 60%. Соответственно, потеря этой информации приносит колоссальные убытки. На эту проблему, кстати, чаще всего и обращают внимание большинство управленцев; потеря некой жизненно важной информации кажется им главной угрозой (именно безвозвратная потеря, а не кража). На рынке в полной мере представлены инструменты для предотвращения этой угрозы. Наиболее эффективны системы резервного копирования (чаще всего - основанные на магнитных лентах).

Директор по маркетингу компании OST Алексей Иванов отмечает, что стоимость таких решений колеблется от десятков (например, стационарный или съемный диск) до сотен тысяч долларов. Все определяется ценностью информации, ее объемом, требуемой скоростью восстановления в случае потери данных, местонахождением. Например, возможность резервирования данных удаленного филиала требует специального программного обеспечения, которое стоит тоже недешево. При решении проблемы сохранения данных руководству компании следует установить специальный регламент для процесса архивации, которому необходимо следовать.

Вторая задача - определение уровней доступа к информации - касается в первую очередь компаний, использующих комплексные информационные системы. А их становится все больше. Как отмечает исполнительный вице-президент компании IBS Марко Буркхардт, для защиты бизнес-информации в компании, внедрившей ERP-систему, которая не только хранит данные, но и предоставляет возможность работать с ними каждому сотруднику, необходимо прежде всего рассмотреть вопрос распределения полномочий и уровней конфиденциальности, т.е. определить, кто может иметь доступ к той или иной информации. К моменту запуска ERP-системы в коммерческую эксплуатацию эти вопросы должны быть решены, поэтому обеспечение безопасности системы, по сути, является составной частью проекта внедрения. Его необходимо прорабатывать еще на этапе планирования, чтобы, когда внедрение будет завершено, система могла нормально функционировать, защищенная от угрозы взлома - как внутреннего, так и внешнего.

О главном

Определение уровней доступа (и всего, что с этим неизбежно связано: регламентация, определение полномочий, структурирование системы должностей в компании) является составной частью третьего, самого важного, по мнению большинства экспертов, направления информационной безопасности - работы с персоналом. Это, опять же, касается всех компаний без исключения. В приведенном примере с видеопрокатом виноватым оказался работающий вне штата системный администратор, который вовремя не заменил испорченный стабилизатор напряжения (деньги на него были выделены, а то, как они были потрачены, владелец бизнеса не контролировал).

Специалисты в области информационной безопасности отмечают парадокс: средства защиты от угроз разного уровня достаточно совершенны, их "прочность" уже давно превышает силу среднестатистического "удара", однако проблем при этом меньше не становится. Самым слабым звеном в цепочке информационной безопасности остается персонал компании. Чаще всего невольный враг находится внутри, а не снаружи. Как говорит управляющий партнер группы по информационной безопасности британского отделения Ernst & Young Ян Бабиэк, нельзя ограничивать стратегию информационной безопасности техническими решениями. Ее составной частью должен стать анализ корпоративной культуры и тех рисков в работе с персоналом, с которыми компания сталкивается сегодня и может встретиться завтра.

Не учитывать человеческий фактор при построении системы защиты просто нельзя, подтверждает директор по информационной безопасности исследовательской компании Gartner Рич Могулл. По его словам, если проанализировать историю крупных внешних атак, то мы увидим, что каждая из них начинается с исследования объекта "удара". Злоумышленник может просто прийти в офис компании и сфотографировать важные документы с помощью сотового телефона или компактной камеры, а то и просто переписать их с компьютера, воспользовавшись USB-накопителем. И в этом случае компании не поможет любая, даже самая лучшая система защиты от вторжений из Сети.

Чтобы выведать пароли для доступа к корпоративным информационным ресурсам, нет нужды взламывать соответствующие базы данных. Часто достаточно позвонить сотруднику и, представившись сотрудником службы технической поддержки, спросить пароль. И не нужно тратить ресурсы на поиск уязвимых мест в информационной системе, взлом паролей и т.д. По мнению Могулла, практикуемый хакерами социальный инжиниринг (использование сотрудников компании для осуществления атак) является очень опасным для бизнеса и недооценивать его никак нельзя.

Других примеров множество. Только неграмотное использование электронной почты привело к распространению по всему миру таких "червей", как Love San и I love you, убытки от которых составляют сотни миллионов долларов. Половина паролей, придуманных рядовыми сотрудниками, состоят из цифр даты рождения и имени дочери или сына. Такие ключи подбираются элементарно. Но даже если системный администратор назначает пароль из труднозапоминаемой комбинации букв и цифр, работники недолго думая на виду у всех приклеивают его на монитор или ставят галочку "запомнить пароль", чтобы не набирать каждый раз заново.

Понятно, что все внутренние угрозы (те же кардинальные сбои в работе системы) не в последнюю очередь связаны как с халатностью технического персонала, так и с беспечностью обычных сотрудников (например, из-за вольного обращения с вирусными письмами).

Вопрос культуры

По мнению экспертов, полностью решить "персональный вопрос" в области информационной безопасности, конечно, невозможно ("Есть, правда, один эффективный вариант - попросту уволить всех сотрудников", - смеется Рич Могулл). Проблему можно лишь минимизировать. В этом и заключается сейчас главная задача руководителей компании. Все остальное могут решить специалисты.

Необходима четкая регламентация использования сотрудниками информационной системы. Выполнение инструкций должно постоянно контролироваться. Не помешает регулярный аудит информационной безопасности, который включает и проверку "человеческого фактора". Должны быть созданы и определенные ограничения: скажем, никто не имеет права подходить к вашему компьютеру, кроме вас и системного администратора; компьютер никогда не должен оставаться без присмотра включенным; применяются только те службы и протоколы, которые требуются в данный момент. Нужны работающие процедуры, направленные на предотвращение несанкционированного доступа, и налаженные механизмы "разбора полетов" - быстрого реагирования в случае нарушения интегральности данных.

Наконец, важный момент - обучение сотрудников. В США и Германии курсы по информационной безопасности, рассчитанные не на технических специалистов, - одни из самых популярных на образовательном рынке. Понятно, что к этому должны быть готовы как руководители, так и рядовой персонал. В России пока не так (возможно, потому, что и уровень угрозы ниже). По данным Ernst & Young, менее 30% участников опроса в странах СНГ сообщили, что у них проходит регулярное обучение. Еще меньше (20%) постоянно проводят семинары и инструктажи по информационной безопасности.

Конечно, важно избежать паранойи и не создавать для сотрудников невыносимых условий (одна из любимых установок западных CIO: "Нет ничего опаснее для компании, чем задерганный и обиженный технический директор"). В конечном счете, соблюдение правил информационной безопасности должно стать частью корпоративной культуры, внедрять и развивать которую сейчас активно учатся российские менеджеры.

Санкт-Петербург