Корпоративная безопасность в России нуждается в стратегии

04.06.2014

Корпоративная безопасность в России нуждается в стратегии

Число уязвимостей, угроз и информационных рисков с каждым годом увеличивается. Происходит это в том числе и потому, что компании – даже крупные и средние – практически не уделяют должного внимания разработке стратегий информационной безопасности и часто пренебрегают правилами ИБ. Огромное число новых уязвимостей порождают и мобильные пользователи. На конференции CNews Conferences и CNews Analytics «ИБ бизнеса и госструктур: актуальные решения», которая прошла 22 мая 2014 г., эксперты отрасли обсудили, какие подходы, продукты и технологии помогают обезопасить инфраструктуру компаний.

Информационные угрозы актуальны как для бизнеса, так и для госструктур. Поскольку последние обычно закрыты, сведений о том, насколько качественно они защищены и как часто сталкиваются с утечками данных, публично не оглашаются. И, вообще, о состоянии дел в сфере ИБ в любом секторе можно судить лишь косвенно. Согласно отчету InfoWatch, в первом полугодии прошлого года примерно в трети случаев данные утекали через украденные или потерянные ноутбуки, планшеты и смартфоны.

Проблемы отрасли

Практически по всем направлениям Россия отстает от общемировых практик. Так охарактеризовал российскую индустрию информационной безопасности Евгений Климов, президент RISSPA. В качестве иллюстрации он привел перечень 20 профессий западных кадровых агентств. По словам спикера, подготовка новых специалистов-«безопасников» в российских вузах оставляет желать лучшего, и выпускникам технических вузов по сути приходится учиться информационной безопасности самостоятельно или на специализированных краткосрочных курсах.

Между тем проблема безопасности стоит все острее. В последние годы число обнаруженных уязвимостей и в закрытых (проприетарных) продуктах, и в системах с открытым исходным кодом возросло на порядок. Появились и новые виды атак. Так, эксплуатируемой в последние месяцы злоумышленниками (а также, по сообщению ряда интернет-источников, и спецслужбами некоторых стран, в частности АНБ США) HeartBeat-уязвимости в протоколе OpenSSL (используется для получения ключей и проведения атак на серверные и клиентские системы) ставится наивысшая степень опасности. Другой пример – атака BGP Prefix Hijack, которая предполагает внесение изменений в маршрутизацию пакетов и по сути кражи данных. Эта технология, кроме того, применяется при DDoS-атаках на веб-серверы. Участившиеся в последние месяцы атаки на сайты компаний финансового сектора и госструктур – иллюстрация того, что проблема в сфере ИБ вовсе не раздута прессой.

Одним из основных источников угроз для корпоративных систем являются мобильные технологии. Уже через несколько лет, по прогнозам Gartner, более половины всех существующих ИТ-систем уровня предприятия будут комплектоваться мобильным клиентом. Однако в отчете Dimension Research отмечается, что концепция BYOD существенно увеличивает число инцидентов – это объясняется отсутствием на предприятиях какой-либо политики безопасности в отношении мобильных устройств. Не меньший уровень угроз несут в себе и две другие «модные» технологии – виртуализация и облачные вычисления. Это благодатная почва для кибертерроризма и кибервойн. В область внимания хакеров все чаще попадают не только крупные предприятия с миллиардными оборотами, но и средние и даже мелкие компании. Так, по данным Verizon, в прошлом году более 620 утечек произошло в компаниях численностью менее 1000 человек и около 130 – в компаниях до 100 человек.

Капля оптимизма

Впрочем, не все так печально. Проблемы существуют – это признают и производители систем информационной безопасности, и пользователи этих продуктов и технологий. Но есть и решения этих проблем. На мероприятии было представлено несколько продуктов и технологий, которые призваны защищать различные участки корпоративной ИТ-инфраструктуры.

Один из эффективных способов защиты компьютерных систем предложил российский производитель, компания Kraftway. Сославшись на исследования «Лаборатории Касперского», Ренат Юсупов, старший вице-президент Kraftway, отметил, что в первом квартале текущего года число атак на инфраструктуру компаний превысило 8,2 млн. Существенная их часть нацелена на загрузчики, драйверы устройств, прошивки BIOS, сетевых устройств и т.п., то есть является низкоуровневой. Другими словами, вредоносный код получает доступ к ресурсам компьютера до старта (или на ранних этапах инициализации) операционной системы, и, если решением этой проблемы не заниматься, нельзя быть уверенным в том, что компьютеры, используемые и в бизнесе, и в госструктурах, безопасны.

Усугубляет ситуацию и то, что при создании устройств безопасность BIOS и программных прошивок не является ключевым требованием, в первую очередь уделяется внимание их функционалу. В результате есть возможность незаметно для пользователя и операционной системы с новейшими антивирусными пакетами, брандмауэрами и другими системами информационной безопасности, делать свое «вредоносное дело». Наиболее часто, по словам спикера, злоумышленники, хакеры при инфраструктурных атаках прибегают к подмене загрузчика BIOS или области MBR жесткого диска – эта операция осуществляется чуть ли не в 80% случаев. Следующая строка в рейтинге атак по их частоте – компрометация прошивок устройств. Обычно прошивки поставляются в бинарном виде, и проверить качество кода в плане безопасности возможно не всегда. Заражение происходит и путем записи вредоносного кода в флеш-память BIOS, на уровне ОС этот код удалить довольно сложно. Создатели вредоносного кода используют и метод подмены обработчиков прерываний устройств. Высокоприоритетные обработчики прерываний обычно находятся в BIOS, но могут заменяться и обработчиками операционной системы. Они вызываются по аппаратному прерыванию или специальной ассемблерной инструкцией. При этом в момент исполнения кода обработчика никакие защитные механизмы по сути не действуют.

Доверенные компьютерные платформы, представленные на конференции Ренатом Юсупов, являются тем решением, которое если не избавит полностью, то существенно снизит риск заражений компьютеров до старта операционных систем. Эта платформа базируется на гипервизоре, который работает на низком уровне и виртуализирует (изолирует) все устройства. На практике это реализовано так: микрооперационная система с собственным API включает в себя большое число средств защиты, которые можно использовать до старта операционной системы. Эта технология применима к любой вычислительной – ПК, серверам, сетевым устройствам.

Строительству доверенных сетей было посвящено выступление Айбека Абдыманапа, технического директора компании «Русьтелетех». Используя не конечные решения, а лежащие в их основе технологии, создавая затем собственное «железо» и сертифицированный соответствующими органами программный код, можно обеспечить надежную работу корпоративных сетей, а также сетей органов государственной власти. Именно по этому пути – выпуску собственного телекоммуникационного оборудования – пошла компания «Русьтелетех». В ее линейке есть ряд Ethernet-коммутаторов, которые соответствуют международным стандартам качества и в то же время сертифицированы ФСТЭК России по третьему уровню контроля отсутствия НДВ (недекларированных возможностей).

От защиты ERP к стратегии безопасности

Защита бизнес-систем – еще одна актуальная задача в области информационной безопасности. На примере решений SAP Евгений Балахонов, технический директор компании «Энергодата», вкратце перечислил основные угрозы, связанные с работой ERP. Среди них наиболее «популярные» – разглашение, искажение информации. Ограничивая доступ к данным пользователей в соответствии с их ролями, можно поднять уровень информационной безопасности. Парольный способ защиты, хотя и применяется в подавляющем большинстве случаев, не эффективен. Пользователи не утруждают себя вводом сложных паролей, а предпочитают короткие (клички домашних животных, даты рождения и т.п.), а чуть более сложные записываются на самом видном месте. Биометрия – способ более эффективный, однако для идентификации пользователей в ERP-системах трудноприменимый.

Интересна тема и персональных сертификатов на электронных ключах. Подключившись к бизнес-приложениям, пользователь может обрабатывать данные в соответствии со своими правами. Созданное приложение, как добавил Евгений Балахонов, блокирует даже снятие скриншотов при просмотре критически важной информации (хотя эта проблема, как заметили участники конференции, легко обходится: экран компьютера фотографируется при помощи мобильных телефонов) и автоматически подписывает выгружаемые на внешние носители данные цифровой подписью. Это решение нацелено на российский рынок и базируется на ГОСТ-криптографии.

Безопасность – это не только выявление и удаление вредоносного кода на аппаратном уровне или на уровне операционной системы, но и создание и обеспечение процедур контроля. Скажем, может ли использоваться определенный логин пользователя, который на самом деле не приходил на работу, не проходил через охрану, не пользовался своим электронным пропуском? Ответ очевиден: конечно, нет. В этом и любых других случаях соответствующие службы должны фиксировать инциденты, назначать ответственных за расследования и собирать базу знаний для решения аналогичных инцидентов. Как отметил Аркадий Прокудин, заместитель руководителя отдела центра компетенции информационной безопасности «АйТи», компьютерные системы и приложения формируют разную отчетность, в разных форматах, нередко на разных языках. Изучать логи по очереди – задача затратная и неэффективная. Однако, если эту информацию собирать и обрабатывать централизованно, можно существенно сократить время обнаружения и ликвидации инцидентов.

В разработанной «АйТи» программе Security Vision централизованно ведется «дневник» работы всего оборудования и ПО. Такой подход, при котором решения о том, как бороться с инцидентами, принимаются из одной точки, упрощает работу служб безопасности. Конечно, внедрение подобного рода инструментов на первых порах существенно увеличит число зафиксированных инцидентов (это происходит потому, что прежде о них попросту не догадывались), но с другой стороны – в разы сократит время на принятие экстренных решений.

Корпоративная безопасность зависит от проработанности бизнес-ориентированной стратегии информационной безопасности. Как отметил Роман Чаплыгин, директор по анализу и контролю рисков PrisewaterhouseCoopers Russia B.V., необходимость в стратегии информационной безопасности обусловлена целым рядом причин. Соответствующий документ позволяет ускорить сроки внедрения ИТ-решений, оптимизировать расходы, обеспечить прозрачность деятельности по ИБ и потребностей бизнеса, механизмы и контроль за реализаций требований ИБ и др. В стратегию ИБ вносятся основные риски и угрозы, учитывающие как внутренние факторы (культуру, технологии, компетенции), так и внешнюю бизнес-среду.

Безопасность медстрахования

Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования, поделился некоторыми особенностями работы территориальных и федеральных фондов медстрахования. Федеральный фонд – некоммерческая организация, реализующая госполитику в сфере обязательного медицинского страхования.

Непосредственно оформлением страховок занимаются территориальные фонды. В них и хранятся персональные данные клиентов, включая ФИО, дату и место рождения, проживания и регистрации, гражданство, а также данные удостоверяющих документов (паспортов, СНИЛС, полисов обязательного медстрахования и др.). Такой персонализированный учет обеспечивает гарантии прав застрахованных лиц на оказание бесплатной медицинской помощи, контроль целевого использования средств и определение потребностей в объемах медпомощи в регионах. В федеральном фонде при этом хранятся обезличенные сведения об оказанной застрахованному лицу медицинской помощи, включая вид, условия, сроки, диагноз, применяемые лекарственные препараты, результаты получения медпомощи и ряд других данных.

Энергодата: К каждой корпоративной ИС необходим свой подход

Что угрожает российской отрасли ИБ в связи с возможными санкциями, какие корпоративные системы нуждаются в наибольшей защите и как разнятся требования к ИБ-решениям у заказчиков, рассказали эксперты компании «Энергодата» – руководитель проектов Сергей Середа и технический директор Евгений Балахонов.

CNews: Что угрожает российской отрасли ИБ в связи с возможными санкциями со стороны западных вендоров?

Сергей Середа: Российская отрасль ИБ зависит от решений западных вендоров в значительно меньшей степени, чем, например, отрасль корпоративных информационных систем. Причины тому достаточно очевидны – наличие «суверенных» стандартов в области ИБ, а также обязательное государственное лицензирование деятельности по технической и криптографической защите информации и сертификация СКЗИ и ИСПДН.

Этот факт, а также определенное своеобразие реализации угроз ИБ, видов мошенничества, спроса на утечки и т.п., привел к тому, что основная масса решений ИБ на российском рынке либо создана отечественными разработчиками, либо локализована с существенной доработкой. Соответственно, указанные решения либо не зависят от западных вендоров, либо санкции в их отношении не выгодны самим вендорам, потому что реализовать эти продукты на других рынках затруднительно. Кроме того, в ряде областей, например разработке антивирусов, российские разработчики являются лидирующими на международном рынке. То есть отрасль развивалась своими силами и стала самодостаточной и практически нечувствительной к возможным санкциям со стороны зарубежных разработчиков.

Евгений Балахонов: Тем не менее определенные риски существуют, так как далеко не все технологии и решения, применяемые в отрасли ИБ, имеют отечественные аналоги. Например, мы традиционно слабы в части «железа». Отечественное аппаратное обеспечение по-прежнему базируется на импортной элементной базе, интеллектуальная собственность на которую в основном принадлежит западным компаниям. Ограничения в их поставке могут создать определенные трудности.

Но хочу отметить, что и в этой области отечественные разработчики уже имеют хороший задел. Введение санкций только подстегнет развитие отечественных программно-аппаратных решений в области ИБ. Главное здесь – не идти советским путем копирования, нужно создавать собственные оригинальные решения.

CNews: Какие корпоративные информационные системы, на ваш взгляд, нуждаются в особой защите и почему?

Середа: По нашему мнению, в плане защиты периметра (идентификация, аутентификация) уровень защиты всех КИС предприятия должен быть одинаковым. В противном случае в системе будет слабое звено, которое обеспечит прорыв «линии обороны» и вторжение злоумышленника с переходом к более сильно защищенным от внешних атак системам.

В плане ролевых ограничений, связанных с бизнес-логикой корпоративных систем, достаточно очевидным представляется, что транзакционные системы должны быть защищены от несанкционированного манипулирования данными: ввода недостоверной информации или модификации уже введенных данных, а системы бизнес-аналитики – от утечек.

В разрезе функционала наиболее защищенными должны быть системы обработки финансовой информации, поскольку последняя практически вся относится к категории коммерческой тайны, а также системы обработки персональных данных – в силу требований действующего законодательства.

системы (MRPII, APS, MES, EAM, SCADA) едва ли могут быть источником утечки коммерческой информации (для ее извлечения требуются развитые средства Data Mining и Knowledge Discovery), однако циркулирующая в них оперативная информация является критичной. Таким образом, меры и средства ИБ для подобных систем должны акцентироваться на обеспечении доверия к источникам первичной информации, а также на фиксации авторства любых изменений и обеспечения «неотказуемости» от них (т.е. применении ЭЦП). В то же время защита систем класса АСКУЭ требует одновременного применения как описанных средств, так и средств защиты, свойственных системам финансового учета и планирования. Обеспечение ИБ в системах электронного документооборота требует внедрения ЭЦП (если документооборот должен быть юридически значимым) и применения мер и средств защиты от утечек.

К каждому классу корпоративных информационных систем необходим свой подход, учитывающий специфику их функционала и обрабатываемой информации, но уровень обеспечиваемой информационной безопасности должен быть сравнимым для всех защищаемых систем.

Евгений Балахонов: Действительно, в первую очередь надо защищать те системы, которые хранят или обрабатывают информацию, утечка или искажение которой может нанести существенный вред бизнесу компании. И чем выше такие риски – тем больше уделять внимания ИБ. Что это за системы – зависит от профиля компании. Общими для всех являются финансово-экономические системы. Большинство усилий в части обеспечения ИБ часто тратят именно на них и их инфраструктуру.

Но для производственной компании первостепенную ценность представляют технологические системы, вмешательство в работу которых может приводить к существенным убыткам, остановке производства и даже порче дорогостоящего оборудования. Но случается, что как раз в эту область специалисты по ИБ даже не заглядывают.

Стоит отметить, что на предприятиях и компаниях одновременно функционирует целый ряд информационных систем и решений. В большинстве своем они тесно интегрированы между собой, образуя единую корпоративную информационную систему. В таких условиях неправильно заниматься защитой только конкретных ИС, необходимо не допускать появлений слабых звеньев и защищать информационный ландшафт в целом. Особенно ценные ИС, например производственные, проще вынести в отдельный контур защиты, имеющий ограниченное число точек соприкосновения с основным ландшафтом.

CNews: Имеет ли значение платформа ИС для определения стратегии безопасности?

Сергей Середа: Если речь идет именно о корпоративной стратегии информационной безопасности, то ключевое влияние на нее оказывает обрабатываемая в ИС информация, ценность обладания ею для компании и оценка ущерба от ее разглашения, утраты целостности и доступности. Что же касается программно-аппаратной платформы ИС, то она влияет на тактику обеспечения защиты информации и набор конкретных программных и аппаратных средств. В то же время, если влияние ключевых особенностей платформы очень велико, они волевым решением могут быть учтены и на уровне стратегии ИБ компании. Абсолютных догм здесь нет – совершенно верное в одной конкретной ситуации решение легко может оказаться неприемлемым в другой.

Евгений Балахонов: Если говорить о стратегии ИБ, то она должна быть единой, корпоративной. Платформа конкретной ИС влияет в первую очередь на методы и решения, применяемые для защиты системы. Для одних программных платформ обеспечение соответствия стратегии достигается относительно малыми силами, для других, обычно устаревших, – большими издержками.

Хочу также отметить, что далеко не всегда сложное, изощренное и дорогое решение по защите информационных систем на практике оказывается эффективнее и надежнее, чем набор относительно простых технических методов и соответствующей корпоративной культуры.

CNews: Как разнятся требования к выбору ИБ-решений госсектора и коммерческих компаний?

Середа: В госсекторе преобладает тенденция к выбору сертифицированных, но более дешевых решений, в то время как для коммерческих компаний государственная сертификация, как правило, не критична, если того не требует законодательство. Цена закупаемого решения может быть и достаточно высокой, если оправдывается функционалом, надежностью, репутацией поставщика.

В плане ИБ-решений разных классов требования коммерческих и бюджетных организаций, по нашему мнению, различаются, так как различны категории основного объема обрабатываемой в их системах информации. В частности, охраняемая в госсекторе информация чаще относится к категории персональных данных, ДСП (для служебного пользования), государственной или профессиональной тайны. Что же касается коммерческих компаний, защите в большей степени подлежат персональные данные, информация, относящаяся к коммерческой тайне, ноу-хау. Таким образом, в госсекторе требования к решениям в области ИБ могут сводиться к защите гостайны (если обрабатывается информация нескольких категорий, включая гостайну), а в коммерческих организациях к мерам и средствам защиты предъявляются менее жесткие требования (за исключением банковского сектора).

Балахонов: Но все относительно. Например, госсектор достаточно разнообразен и его участники часто имеют разные потребности в обеспечении ИБ. Крупные компании с преобладающим государственным участием в принципе не отличаются от аналогичных им коммерческих компаний и часто применяют дорогостоящие импортные решения ведущих мировых производителей в составе контура информационной безопасности.

Государственные учреждения тяготеют к сертифицированным отечественным решениям. Сертификация дает чиновнику определенную уверенность в выборе, но цена отечественных решений обычно ниже, что часто оказывает решающее значение во время тендера.

Источник: http://safe.cnews.ru/reviews/index.shtml?2014/05/30/574162_3