30 декабря 2010

Happy New Year!

Новый год уже совсем не за горами, и самое время поговорить на нашем уютном блоге об итогах уходящего года, о перспективах на год грядущий, а также, само собой, поздравить друг друга с таким знаменательным событием, как покупка новых календаря и ежедневника.
Год уходящий, что тут говорить, был интересным и достаточно насыщенным в плане разных событий в области информационной безопасности. Самостоятельно можно найти всё интересное на нашем сайте, в разделе новостей по информационной безопасности, а квитэссенцию всего самого интересного можно узнать из нашего же пресс-релиза. Если нет никакого желания читать ни то, ни другое, то можно ограничиться цитатой из нашего генерального директора Льва Матвеева, который сказал буквально следующее: "уходящий год, конечно, прошел под знаком WikiLeaks. Этот сайт заставил обратить внимание на вопросы защиты от утечек информации не только коммерческие компании, но и государственные структуры, и в этом аспекте его работу можно даже считать полезной для тех, кто занимается обеспечением информационной безопасности. В любом случае, я считаю, что WikiLeaks окажет огромное влияние на всю отрасль, и поэтому можно прогнозировать дальнейшее увеличение рынка средств ИБ благодаря деятельности этого ресурса".
Пожалуй, действительно, WikiLeaks и Джулиан Ассанж сумели сделать утечки информации важнейшей международной темой, продемонстрировав, что это не просто страшилки и досужие домыслы от жаждущих славы и денежных знаков безопасников, а реально существующая проблема. За это им отдельное спасибо.Но, правда, советскому народу не до мировых страстей: посмеялись над тем, что рассказал о нас всему миру WikiLeaks, повздыхали, глядя на то, как пользователи рубят бабло на исках по поводу утечек персональных данных из Facebook, Google, Apple, а сами, тем временем, откладываем в очередной раз вступление в полную силу закона "О персональных данных".
Что ж, всегда есть вещи, от нас не зависящие, которые нас отнюдь не радуют, но с которыми, тем не менее,. в силу их неустранимости приходится мириться. Давайте же поднимем бокалы за то, чтобы в новом году таких вещей было меньше, чем в уходящем, а также, само собой, чтобы ловилисьь инсайдеры большие и маленькие. И за то, чтобы 2011-й был самым что ни на есть настоящим  годом информационной безопасности.

29 декабря 2010

DLP или не DLP?

Среди специалистов уже достаточно давно обсуждается, можно ли считать DLP-системой ту система, которая не поддерживает остановку конфиденциальных данных, но которая, тем не менее, предназначена для выявления инсайдеров в коллективе и предотвращения распространения ими конфиденциальной иноформации. Что ж, вопрос действительно непростой, и сколько экспертов, столько и мнений. Не претендуя на истину в последней инстанции, хочу поделиться рядом соображений.

Прежде всего, всё зависит от того, что мы вкладываем в термин DLP. Если руководствоваться наиболее распространенным его содержанием (Data Leak Prevention), то, казалось бы, системы без поддержки остановки данных, распознанных как конфиденциальные, не могут претендовать на это звание - какое же без остановки prevention-то? С другой стороны, нельзя и предотвращение понимать настолько однобоко: в широком смысле даже просто выявление инсайдеров является одним из мероприятий по предотвращению утечек информации, и в таком контексте DLP-система с отсутствием поддержки блокировки данных вполне имеет право на существование.
Но есть и другие, чуть меннее распространенные, варианты расшифровки аббревиатуры DLP - к примеру, Data Leakage Protection. При таком подходе к самому термину DLP-система можно говорить о том, что неблокирующие системы могут называться DLP с теми же основаниями, что и блокирующие. И поскольку единого стандарта термина DLP сегодня до сих пор нет, то такая точка зрения имеет гораздо больше оснований под собой, чем точка зрения тех, кто причисляет к DLP исключительно продукты с поддержкой блокировки.
На мой взгляд, всё-таки не стоит делать очень строгое лицо и говорить: "этот  продукт не относится к DLP-системам, потому что в нем нет поддержки остановки данных". Просто есть DLP-системы с активным контролем действий пользователя (неблокирующие) и системы с активным контролем (блокирующие). Это две разные философии в работе DLP-систем, о которых уже писал А.Ерощев, и нет поводов думать, что если одним компаниям больше подходит философия системы с поддержкой блокирования, то она в чем-то лучше философии неблокирующих систем. Мир прекрасен в своём разнообразии.
Р. Идов,
эксперт по информационной безопасности

25 декабря 2010

Стоит ли скрывать внедрение DLP-системы от персонала?


Среди достаточно большого количества "безопасников" бытует мнение, что функционировании DLP-системы в организации само по себе не гарантирует эффективной борьбы с утечками информации. Для того, чтобы борьба была эффективной, необходимо также, чтобы персонал организации не знал о том, что такая система в ней уже внедрена. Несмотря на то, что, казалось бы, очевидно, что всё так и есть, и говорить особо не о чем, хочу поднять тему реальной необходимости прятать DLP-систему от персонала. Повышается ли от этого эффективность мер информационной безопасности? Или, всё-таки, функционал DLP-системы и расторопность безопасников важнее, чем неосведомленность сотрудников о ведущемся за ними мониторинге?
Основной аргумент сторонников "конспиративной" тактики звучит примерно следующим образом: "Если сотрудник не будет знать о том, что в организации установлена DLP-система, то чувство собственной безнаказанности толкнет его на действия, которые позволят безопасникам быстро выявить и нейтрализовать его. Если же все знают о наличии DLP-системы, то и инсайдер будет вести себя чрезвычайно осторожно; соответственно, и для выявления его и нейтрализации может уйти очень много времени, и за это время успеет утечь много корпоративных секретов".
Что мы видим между строк? Мы видим банальное желание отдела информационной безопасности облегчить собственную работу. Каким образом? Очень простым. Если скрыть каким-то образом установку в организации DLP-системы, то, действительно, ряд сотрудников будет чувствовать себя достаточно спокойно для того, чтобы передавать информацию в открытую. Но после поимки хотя бы одного из них безопасники уже могут дискредитировать собственную идею, так как сарафанное радио с вероятностью 95% разнесет информацию о том, почему данный сотрудник уволен, и остальные инсайдеры станут осторожнее. Кроме того, действительно умный инсайдер, представляющую наибольшую опасность для организации, еще до поимки кого-либо из своих "коллег" озаботится мерами предосторожности, которые не позволят безопасникам пожинать лавры без каких-либо усилий. Так что, как видим, скрытие DLP-системы становится одноразовой акцией, которая позволяет поймать одного, не самого умного, инсайдера. Стоит ли это тех усилий, которые нужно приложить, чтобы спрятать DLP-систему от всего персонала? Едва ли.
Вместе с тем, как показывает практика, информирование персонала о том, что существует система оперативного контроля его работы, существенно повышает производительность труда (вмето "Одноклассников" открыты документы в Word'е) и снижает число случайных утечек данных (под страхом лишения премии сотрудник три раза подумает, нужно ли ему переписывать этот файл на флэшку, или он всё-таки не относится к тем документам, с которыми можно работать дома). И не слишком интеллектуальные инсайдеры, которых безопасники быстро выявляли в первом случае, просто отсутствуют как класс - ну, или, если случай совсем уж запущенной, выявляются так же легко и быстро.
Скрытие DLP-системы плохо еще и с законодательной точки зрения. Дело в том, что для её применения нужно, чтобы в трудовом договоре работник давал согласие на подобного рода контроль своих действий, потому что в противном случае инсайдера будет трудно уволить "по статье" со всеми вытекающими. Поэтому извещать сотрудников придется при приеме на работу, ну и, соответственно, при внедрении DLP-системы тоже никуда от этого не денешься.
Так что, как видите, нет особого смысла создавать себе какие бы то ни было лишние сложности, пряча DLP-систему от персонала. Заострять внимание на ней, наверное, тоже не стоит, но знать о ней персонал должен. То, что пугает, дисциплинирует, а те, на кого это и действует, как раз и должны быть предметом пристального внимания специалистов по информационной безопасности.
Р. Идов,
эксперт по информационной безопасности

23 декабря 2010

У всех есть старый Siemens

Но приставленный ко мне шпик считал себя, должно быть, кинозвездой - на нем всегда была пятнистая шинель и шляпа с опущенными полями, которую он к тому же надвигал на самые глаза. Это был худой и нервный тип. Из страха потерять меня он буквально наступал мне на пятки.Роберт Шекли. Я и мои шпики.
По поводу внедрения DLP. Как убедить в необходимости оного владельца бизнеса или безопасника – понятно. Убедить айтишника – сложнее. Не потому, что он это считает ненужным, а потому, что это лишние часы работы. А можно ли убедить пользователя? Что это всё – только ради него, любимого.
Да легко. Чтоб конечный юзер ценил следящую за собой систему – он не должен получать её даром. Он должен пойти и купить. За свои кровные. И при этом считать её наличие образом жизни и возможностью выделиться. Невозможно – скажете вы? И развеселите производителей программного обеспечения для смартфонов.
Тут один сайт недавно выборку сделал. По приложениям для двух довольно популярных ОС. Внезапно выяснилось, что практически половина приложений отчитывается разработчику о вашем текущем географическом положении. Порядка десяти процентов – сливает текущий телефонный номер и/или контактные данные. Мелочи вроде id и модели телефона – вообще в порядке вещей… Причём пользователь или лишён, или почти лишён возможности перекрыть эти каналы (кроме отключения от сети интернет как таковой). О чём отчитываются сами ОС – исследования не проводились…
Как это повлияет на продажи указанного ПО? И телефонов с ОС их поддерживающими? В среднем – никак. На долю процента упадут продажи «плохой ОС», в которой пользователь ничего не может сделать в принципе, на ту же долю вырастут продажи «хорошей», которая с открытым кодом и потому «всё проверяемо». Вопрос лишь в том, какой процент людей в состоянии это проверить. Напомните, через сколько лет подобная штука была обнаружена во FreeBSD?
Так что задача, как мы видим, принципиально решаема. Можно, можно сделать так, чтоб сотрудники просили шефа поставить им следящую систему. В рамках компенсационного пакета, разумеется. Как – это другой вопрос, пусть над ним маркетологи думают. Несмотря на параграф 115.
Александр Ерощев
специалист по информационной безопасности компании SearchInform

22 декабря 2010

Алмаз в груде стекла



Мы живём в удивительное время. Наиболее дефолтная операционная система таит в себе столько неочевидных возможностей, что не написать агент-перехватчик действий пользователя могут только две категории людей – не пишущие кода вообще, и не пишущие такой агент по религиозным соображениям.
Логичный шаг после написания – монетизировать плоды своего труда. Опять же, в зависимости от трудолюбия кодера и его понятий о справедливости – на выходе получаем или банальный троян, или «эффективный инструмент для обеспечения информационной безопасности». Первое обычно маленькое, ищет конкретную узкую информацию, например – номера кредиток, и монетизируется нелегально. Проблемы пользователей такого ПО мы в сегодняшней статье рассматривать не будем.
Второе – громоздко, потому что «перехватывает вообще всё» но зато вполне легально продаётся. Вот на судьбе покупателя и остановимся поподробнее. Легче всего покупателю, который приобрёл систему защиты для того, чтоб уличить жену в измене путём снятия логов платочка, простите, вконтакта. Жена у него, будем надеяться, одна, вконтакты пишет часа четыре в сутки, то есть на чтение написанного уйдёт максимум час.
А если речь идёт о больших массивах информации? В бытность студентом – сталкивался с ситуацией, когда в дипломном проекте… нет, не на сто сорок второй странице надпись «декан – балбес». Сто сорок второй страницы просто не было. Равно как и двух десятков страниц до и после неё. Разумеется, ни руководитель проекта, ни рецензенты, ни кто там ещё обязан диплом читать – этого не заметили. Студентов много, папки толстые, результат – очевиден. А теперь представим вместо преподавателей – офицера безопасности с сотней-другой пользователей под контролем. Ситуация – та же, только не раз в году, а ежедневно. С аналогичной вероятностью вовремя обнаружить инцидент.
Соответственно – стоит задача не только снять лог, но и обратить внимание безопасника на тот его участок, который действительно похож на то, что он ищет. Отбросить в сторону кристаллы сваровски, или хотя бы большую их часть. Дав возможность искать алмаз не в ведре стекла, а выбирая из двух-трёх похожих. Сколько таких систем существует на рынке? Как я в очередной раз убедился – на порядок меньше, чем упомянутых выше «перехватывающих вообще всё». Ну и как объяснять потенциальному клиенту, чем наша система лучше? И почему про ту мы первый раз в жизни слышим?
Впредь – буду путём ссылки на эту статью. Ну да, нескромно. Но мы станем скромными, когда прочие наши достоинства исчезнут.
Александр Ерощев
специалист по информационной безопасности компании SearchInform

20 декабря 2010

Два способа управлять женщиной

Не удаляй это письмо! Методика действительно работает! 
Всего пара слов – и любая женщина твоя! 
(самизнаетеоткуда).
Такие способы есть – и они на самом деле абсолютно надёжны. Просто их никто не знает.
Здесь моему коллеге ответили, что оказывается, при внедрении DLP деньги берутся за то, что специалисты интегратора определят, что является конфиденциальной информацией, а что нет. Повторите чушь двести двадцать восемь раз, и она станет правдой?
Представьте себе ситуацию. Вы ставите квартиру на сигнализацию. А представитель охранного предприятия мне сообщает, что деньги я плачу не за систему, а за то, что они определят, что именно в моём доме ценного.
Вы меня сильно простите, но в моём доме я сам знаю, что есть ценность, а что нет. Когда у меня квартиру выставили – жальче всего было не две видеокамеры, импортных, и не портсигар, золотой, тоже два, а самопальную подвеску, за которую в ломбарде и двадцатки не дадут. И правильно, потому что ценность она имела только внутри моей семьи.
Аналогично с информационной безопасностью. Если служба информационной безопасности не может самостоятельно определить, что есть конфиденциальная информация – то её или просто нет, или она формально есть, но фактически её нет, что в конечном итоге – одно и то же.
Хочется также обратить внимание на то, что любая компания – она не статична. Да, пришли умные люди, определили конфиденциальную информацию, настроили систему… И всё? Думается – нет. Появляются новые конфиденциальные документы, изменяются опасности, в конце концов кто-то из сотрудников может написать документ, который придётся признавать конфиденциальным задним числом. И? Ну да. Обучение своих безопасников. Но ровно такое же обучение проведёт и интегратор, который не будет с умным видом копаться в ваших документах.
Выбор правильной DLP – действительно задача, стоящая перед человеком, отвечающим за информационную безопасность. Но перед выбором – он должен чётко ответить сам себе, чего он хочет. Закрыть каналы утечек или переложить ответственность на кого-то другого. В первом случае он должен отдать себе отчёт, что охрана периметра – это не действие, а процесс. Формирование контура информационной безопасности нельзя закончить, его можно только прекратить. Как и обновление антивируса, например.
Если же просто хочется, чтоб крайним был не ты – тогда да. Убеди собственника купить DLP, при инциденте – все шишки свали на разработчика.
Есть и третий способ, на самом-то деле. Рекомендую прислушаться к совету из соседнего блога. Отдайте информационную безопасность на аутсорсинг. Но по несколько иному алгоритму. Еуж вы пускаете оценщика рисков в свой дом – то пусть он и отвечает так, как представитель организации, работающей с рисками. То есть как страховая компания. Пока нет утечек – вы платите ему. Случилась – он платит вам. Но этот способ никто не предлагает. Пока не предлагает.
Александр Ерощев
специалист по информационной безопасности компании SearchInform

17 декабря 2010

Выбор DLP-системы как сверхзадача отдела ИБ

Среди прочих обязанностей отдела информационной безопасности (который, как показывают наши исследования, существует лишь в очень небольшом числе  организаций) относительно редко упоминают задачу выбора DLP-системы. Оно, в общем-то, и понятно: такой выбор делается, как и в случае с выбором супруга, в идеале раз и навсегда. Но в  том-то и дело, что в идеале и в реальной жизни  часто бывает по-разному. Как и в случае с браком, цена ошибки (выражаемая именно в денежном эквиваленте) может быть очень и очень высока, и поэтому нужно все очень тщательно взвесить, прежде чем начальство поставит свою закорючку на договоре с продавцом DLP-системы.
Ведь, фактически, именно DLP-система - это основной инструмент работы безопасника сегодня в подавляющем большинстве контор. И если этот инструмент будет работать из рук вон плохо, или даже если его безукоризненная работа не будет предоставлять безопаснику достаточного количества информации для того, чтобы тот имел возможность предотвращать утечки и выявлять инсайдеров - то есть, выполнять свои непосредственные обязанности, - то такая DLP-система будет помощником не столько для безопасника, сколько для инсайдера. Для отдела ИБ работа с ней будет сущим мучением.
Но как узнать, хороша ли система в конкретных условиях работы конкретного отдела ИБ? Сделать это по одним только буклетам производителей подобных систем очень и очень сложно, потому  что все буклеты выглядят очень красиво и обещают чуть ли не рай на земле для безопасника: мол, включил систему, и сиди пей кофе, а инсайдеры сами выловятся и данные сами остановятся, а не утекут. Но в жизни, понятное дело, не всё так гладко, как на бумаге. Прежде чем выкладывать за DLP-систему кругленькую сумму, нужно её хорошенько потестировать.
И вот тут начинаются разные приключения. Потому что считанные производители DLP-систем предоставляют возможность бесплатно потестировать систему, поставив её на каком-то небольшом числе компьютеров на ограниченный срок. Почему? Потому что, уверяют они, DLP-система - это чрезвычайно сложный инструмент, который должен настраивать не безопасник, а только представитель производителя системы. Конечно, труд специалиста такой квалификации стоит дорого, и установка пробной версии системы тоже выливается в ощутимую для предприятия сумму. Но проблема даже не в этом. Вопрос в другом: а сможет ли безопасник нормально пользоваться системой, которую он априори даже не способен самостоятельно настроить? И что делать ему, если настройки нужно нууууу оооочень оперативно поменять? Вызывать в час ночи специалистов производителя на самолете?
Стоит задуматься. Вы бы купили черный ящик, который не сможете сами настроить, для работы на нем? Я бы так не делал...
Р.Идов,
эксперт по информационной безопасности

Хроники Первой Мировой. Торговцы жизнью.

Тем временем, под шумок борьбы с анонимным злобнохакерами, поддерживающими Викиликс, белые мелкими группами просачиваются по другому фронту. Те же Mastercard, Visa, Paypal, но с примкнувшими к ним American Express, Neustar, eNom, eBay, Google, Microsoft и Yahoo – начинают «борьбу» с фальшивыми лекарствами в сети. Следует понимать, что есть «фальшивое лекарство». Это не таблетка, которая лечит, но на самом деле нет. Есть рецепт – она «настоящая». И это не обычный тальк, продаваемый под видом дорогого лекарства. Такое случается, но крайне редко.


Фальшивое лекарство – это продукт, не прошедший официально рекомендуемую производителем дистрибьюторскую цепочку, с получением сверхприбылей владельцем торговой марки. И потому имеющий несколько другую цену. Иногда – в десятки раз.
Какие из этого следуют выводы? По мнению национальной (хвала богам – не нашей национальной) ассоциации фармацевтических управлений – объём продаж подделок в мире – 75 миллиардов. Следует понимать, что в Европе и тем более «нецивилизованных» странах беспредел фармацевтических компаний не принял такого вида как в северной Америке, а потому подпольная интернет-аптека просто не имеет экономического смысла. То есть по факту – все эти 75 миллиардов – это США и Канада. Косвенно это подтверждается тем, что 80% мирового спама – это реклама этих самых подпольных аптек… и весь он делается с территории Северной Америки для жителей Северной Америки. До нас только осколки долетают иногда.
Ещё раз перечитаем список борцов. Итак, в нём – крупнейшие операторы персональных данных (и платежей, что закономерно) и крупнейшие операторы псевдоанонимных данных. Вы ещё верите в анонимность в сети? Тогда мы идём к вам.
Как будет вестись борьба? Думается – старым добрым методом провокации. Получил спам? Ну или запрос в поисковик ввёл? Зашёл? Оплатил? Поздравляю. Этот магазин не магазин, а филиал борцов. Получите премию – блокировку платёжного аккаунта. Что? Не посмеют? Расскажите это Ассанжу. И вопрос не в лекарствах. Это сегодня лекарства, завтра – что угодно. Оккупация банковских счетов.
Казалось бы – чёрным шах и мат. Мы не можем платить, не предоставив свои персональные данные, а предоставив свои данные – отдаём кошелёк оператору платежей. Который может его отнять… потому что может. А одной наличкой в нашем мире расплачиваться уже сложно. Особенно в той половине нашего мира.
Итак, вернёмся к персональным данным. Кто может ими воспользоваться? Сам владелец, оператор персональных данных, получивший соответствующие полномочия от владельца и злонамеренный пользователь, тем или иным путём получивший эти данные от первого или второго. От того, что второй и третий – входят в преступную группировку, а то и вовсе являются одним лицом – до сих пор страховала только репутация второго. И административно-технические средства, имеющиеся у него. Но это уже история.
Каким же образом владелец может защитить свои персональные данные от оператора? Только их непредоставлением в принципе. Представьте сценку из жизни (украинцам это представить будет проще). Заходите Вы в банк и сообщаете, что желаете открыть счёт. Платите смешную сумму за открытие. Вам вручают запечатанный конверт, в котором лишь карточка с номером и пин. Всё. Пополняйте откуда угодно, платите куда угодно, переводите между карточками. Заводите разные карточки разных банков для разных операций. Можно возле метро карточку купить, если в банк идти неохота. Примерно так на Украине выглядит продажа сим-карт, например. И никакого всплеска терроризма. И никаких утечек данных абонентов (а смысл? Кому нужны персональные данные тех трёх процентов пользователей, которые приложили отдельные усилия, чтоб деанонимизироваться?).
Единственное препятствие – законодательные препоны «цивилизованных стран». Которых, замечу, не было в тоталитарном СССР. У мамы дома до сих пор валяется пара сберкнижек «на предъявителя». Цюрихские гномы нервно курят в Альпах. И СССР не стал глобальным убежищем тайных денег лишь в силу абсолютной неконвертируемости советского рубля. Российский рубль и украинская гривня же – вполне себе конвертируемы. Кажется, мы грозились поддержать право на свободу распространения информации? Кажется, нашим странам нужны инвестиции? Как насчёт проехаться по Европе танками настоящей финансовой тайны?
Боюсь, Россия и Украина – опять последняя надежда Европы. Жаль, ни мы, ни они этого пока до конца не осознали…
Александр Ерощев
специалист по информационной безопасности компании SearchInform

15 декабря 2010

Тётя Ася. Кризис среднего возраста.

Однажды тётя Ася решила выйти замуж. И вышла. Но не как нормальные русские тёти, которые выходят за заграничного джентльмена, а напротив – из страны обетованной – за товарища полковника. Того самого, которому понравилась шутка.
С тех пор и начались у неё в личной жизни нелады. Родственники, каковых совсем недавно было семьдесят миллионов, стали разбегаться и треть из них уже не с нею.
Казалось бы – при чём здесь политика информационной безопасности? А при том. У основного конкурента дыр безопасности – не меньше, хотя грамотный пиар и изображает его ультранадёжным. Но мы-то знаем… И наши клиенты – тоже… В теории – аська даже более надёжна, поскольку технически позволяет создание экзотических самописных клиентов, дыры в которых никто искать не станет именно в силу экзотичности. Но вот на эти-то грабли тётя и наступила. Если зарубежный дядя зарабатывает на предоставлении дополнительных услуг, конкретно – звонков в наземную сеть – то тётя Ася пыталась сделать его на расклейке объявлений, что требуются расклейщики объявлений. А кто их читает-то, при самописных клиентах, которые этот спам режут?
Вот тут-то и началось. Вместо борьбы с причиной (пользователь не хочет выполнять процедуру просмотра рекламы) начинаем бороться со следствием, то есть самописными клиентами как таковыми.
А ведь можно было бы пойти совсем другим путём. Тем более, в силу нюансов учётной записи, для sip она пригодна не менее, и даже более, чем скайп. Не нужно реализовывать утомительной процедуры получения наземного номера, а тупо получить международный код вида +xxx-номер-аськи. Не дадут международный – договориться с товарищем полковником и получить +72 или +75, теоретически зарезервированные для Украины и Беларуси. Всё, профит. Профит провайдеру связи, каковым аська по факту станет, профит стране в виде налогов на приземление звонка. И профит товарищу полковнику, ибо в отличие от – на полученную архитектуру СОРМ станет как родной.
Но это нужно взять и сделать. По уму. Забыв про старую систему «запретить и пусть строем ходят!». А вы – Сколково, Сколково…
Александр Ерощев
специалист по информационной безопасности компании SearchInform

14 декабря 2010

Останавливаем?


В разных системах информационной безопасности реализован разный подход к реакции на информацию, определённой системой, как конфиденциальная. Вкратце они сводятся к «останавливать» и «не останавливать».
Рассмотрим достоинства и недостатки каждого из подхода (как мы определили, что информация конфиденциальная – в данном случае неважно, допустим, параметры определения одинаковы).
Кабинет Мюллера. Совещание. Входит Штирлиц, ставит на стол вазу с апельсинами, вскрывает сейф, фотографирует важный документ, закрывает сейф, забирает вазу с апельсинами и уходит.
- Мюллер, кто это был?
- Это русский разведчик Штирлиц.
- А почему Вы его не остановили?
- А смысл? Скажет, апельсины приносил, никто не захотел, вот он и забрал.
В известной книге Юлиана Семёнова очень хорошо показаны как достоинства, так и недостатки обоих методик.
Методика с остановкой обладает одним несомненным преимуществом. Она останавливает. Именно вот здесь, сейчас и по этому каналу. На этом её преимущества заканчиваются. Она не гарантирует, что инсайдер не повторит попытку (а у него будет время минимум до реакции СБ) по другому каналу, который может оказаться не перекрытым. Она, как правило, сигнализирует шпиону «тебя засекли». Единственное, пожалуй, исключение, когда инсайдер настолько глуп, что пытается применить для слива корпоративную почту. Она позволяет «выжившему» инсайдеру накапливать опыт. «Ага, Иванов пытался слить по этому каналу и попался, я пойду другим путём». О ложных срабатываниях, которые останавливают действия пользователя, выполняющего свои прямые должностные обязанности – мы даже говорить не будем… А ведь сотрудник, имеющий полномочия отменить остановку – не всегда под рукой и не всегда свободен (особенно при вале подобных обращений).
У методики без остановки – всё с точностью до наоборот. Если информация ушла – она ушла. И это плохо. Наверное, плохо. Информация никогда не уходит сразу вся. Она либо копится в некоей промежуточной точке, либо сбрасывается поэтапно. В обоих случаях служба информационной безопасности имеет время на принятие мер. Любых. Начиная от ограничения сотруднику доступа к информации, заканчивая подменой истинных документов – откровенной дезой. И всё это время инсайдер, уже фактически находящийся под колпаком – упивается свободой и безнаказанностью. А когда остаётся у разбитого корыта с информацией, суммарная стоимость которой хорошо, если нулевая, а не отрицательная – даже не знает толком – где, когда и на чём прокололся. Опыт – также равен нулю.
Администратор системы с остановкой подобен директору тюрьмы. Он расставил посты, раздал охранникам инструкции и почивает на лаврах, иногда кидая в карцер узников, попавшихся на мелочах. И когда (именно когда, а не если, потому что тюрем, из которых не сбегали – в истории пока не было) инцидент всё же случится, он сможет с чистой совестью сказать «Это не я, это плохая система виновата».
Администратор же системы без остановки подобен оперативнику, который позволяет мелкому воришке вынести кусок сукна со склада, прослеживает всю цепочку до заказчика и перекрывает канал так, что от следующего воришки заказчики сами шарахаться будут. Но следует признать, что в этом случае его должность отнюдь не является синекурой, да и требования к квалификации явно повыше. 
Александр Ерощев
специалист по информационной безопасности компании SearchInform

13 декабря 2010

Первая Мировая?

И пока мы, в недрах спорим (или не спорим) о том, каким же быть блогу компании – всё прогрессивное человечество задаётся совсем другим вопросом.
Жертвовать ли деньги на развитие Викиликс? Если да – то как, ведь куча платёжных систем заблокировали его счета? А раз не получается заплатить – не поучаствовать ли в ддосе сайтов этих самых систем?
Не будем рассматривать моральный аспект, просто признаем как факт то, что сейчас мы являемся свидетелями крупной кибервойны. Возможно – Первой Мировой Кибервойны. И рассмотрим силы сторон.
Белые. Сделали первый ход. Мастеркард, Виза, Пайпал, и почему-то Амазон. «Самостоятельно приняли решение» о блокировке платежей по счетам Викиликс. На основании… без оснований, в общем-то. Либо – руководствуясь древнейшим из прав, правом сильного, либо, напротив, признавая свою слабость перед неизвестными, которые самому Викиликс даже обвинений не предъявили. Обвинения Ассанжу – вопрос отдельный и к делу отношения не имеющий. Напомните, когда и где блокировали счета предприятия по факту обвинение одного из сотрудников в банальной уголовке?
Какими силами располагают? Вместе - имеют фактическую монополию на мировые платежи. Как следствие - обладают технической возможностью заблокировать безналичные платежи практически любого юридического или физического лица из «Золотого миллиарда». Имеют теоретически отказоустойчивую инфраструктуру как в сети, так и в реале.
Уязвимости. Юридическая. Их действия, мягко говоря, незаконны. Уязвимость инфраструктуры, Пайпал переоценил свои силы, это уже ясно, остальные пока держатся.
Ожидаемая польза от войны: юридическое подтверждение фактической возможности контроля. Если эти действия сойдут им с рук сейчас, то будут сходить и впоследствии.
Чёрные. Второй ход. Группа или группы неизвестных, пытающихся повредить инфраструктуру белых, в перспективе – тех, кого они считают кукловодами белых. Озвучиваемая мотивация, как правило, защита свободы информации. Хотя информации-то никто не угрожает, лежит себе где лежала, угрожают деньгам.
Какими силами располагают? Теоретически – никакими. Практически – символом в виде Ассанжа и эффектом флешмоба. Отсюда – лавинообразно распространяющиеся приложения для обвала «приглянувшихся» сайтов.
Уязвимости. Как ни странно – тоже юридическая. Несмотря на то, что фактически – они являются защищающейся стороной – юридически – это они нападают. Централизованность управления (ведь кто-то это ПО написал и им управляет) при полной его анонимности. То есть в момент Ч удар может быть резко перенаправлен в любую другую сторону. Без ведома, но силами рядовых бойцов. Потенциальная деанонимизация. По результатам войны её участники со стороны чёрных вполне могут оказаться в неких чёрных списках. И прощайте кредиты, международный туризм и так далее.
Ожидаемая польза от войны. Сохранение текущего статус-кво. Откровенно слабая цель, как говорил великий – «Будьте реалистами, хотите невозможного».
Думаю, чёрным имеет смысл другим путём. Но это уже совсем другой конец Первой Мировой.
Александр Ерощев
специалист по информационной безопасности компании SearchInform

11 декабря 2010

Чем полезен WikiLeaks?

Сегодня уже ни у кого нет никаких сомнений в том, что WikiLeaks сумеет войти в мировую историю как проект, перевернувший мировые представления об информационной безопасности и о возможных последствиях утечек информации. Пожалуй, никому раньше не удавалось с такой кристальной ясностью показать всему мировому сообществу, что простота обработки и хранения информации, которую дают современные информационные технологии, требует особого внимания к вопросам защиты от утечек информации - потому что вынести жесткий диск, флэшку, ноутбук или передать по электронной почте огромное количество документов куда проще, чем похитить целый шкаф с бумажной документацией.
И, пожалуй, в этом аспекте можно говорить о пользе WikiLeaks - этот проект показал мировому сообществу, начиная с самого высшего уровня и заканчивая обывателями, что утечки информации - не просто газетная страшилка, а реальная угроза. К сожалению, как это зачастую и бывает, "пока гром не грянет, мужик не перекрестится". Опыт SearchInform показывает, что руководство организаций гораздо легче соглашается на запросы службы безопасности об установке DLP-системы после того, как сама организация или кто-то из тех, с кем она вплотную сотрудничает, сталкивается с утечками информации. Аналогичная ситуация и с данными, опубликованными на WikiLeaks: сейчас, безусловно, защиту критически важных для  государств сведений наподобий той же дипломатической переписки усилят многократно, однако будет ли это иметь какое-либо значение после того, как утечка уже произошла?..
Впрочем, конечно, учиться на ошибках нужно, и если "прокол" допущен один раз, нужно хотя бы постараться не допускать таких инцидентов в будущем. Но еще лучше учиться на чужих ошибках. Постсоветскому пространству и, в частности, России, повезло, в общем-то, больше, чем "вероятному противнику": пока что количество материалов на этом сайте, непосредственно касающихся ситуации в СНГ, значительно меньше, чем в случае с материалами о США. Но это вовсе не повод расслабляться и идти за попкорном, чтобы и дальше смотреть на борьбу WikiLeaks и американцев. Если не научиться на их ошибках и не озаботиться защитой от утечек информации уже сегодня, то уже завтра можно оказаться в гораздо худшей ситуации, чем оказались США.

07 декабря 2010

Добро пожаловать в наш блог!

Компания SearchInform, российский лидер рынка средств информационной безопасности, представляет вам свой  новый блог. Это будет не просто корпоративный блог с пресс-релизами и новостями компании, и не скучный блог о том, как хороши её продукты. Со страниц этого блога специалисты компании и приглашенные эксперты будут высказываться об актуальных проблемах в сфере информационной безопасности и путях их решения, о тенденциях рынка, об особенностях нормативного и технического обеспечения информационной безопасности, и о многом другом, о чем сегодня сложно даже предположить.
Мы обещаем приложить со своей стороны максимум усилий для того, чтобы сделать этот блог интересным для всех, кто работает в сфере информационной безопасности, и надеемся на обратную связь с сообществом специалистов, без которой этот блог не сможет полноценно расти и развиваться. Пишите комментарии, письма, обсуждайте публикации - словом, помогайте нам сделать блог лучше и интереснее.