А есть ли мальчик?

Три вещи неизменны:
Налоги, смерть, потеря данных.
Сегодня – третья

Пока коллеги в этом и соседнем блогах рубят друг друга шашками, пытаясь разобраться, с острого или тупого конца следует разбивать DLP – мы возьмём ведёрко попкорна и спокойно подумаем, что было раньше, data, loss или prevention*.

Существует ли DLP в природе, подобно суслику, или же, подобно ложке – его нет? Осмелюсь предположить второе. Обосную, разобрав попунктово.
Data. Существование данных отрицать довольно бессмысленно. Они есть в любой организации. Часть из них являются конфиденциальными. Это тоже очевидно. Собственно, пока конфиденциальной информации нет, утечка её невозможна. Отсюда парадоксальный вывод в духе генерал-лейтенанта Лебедя – абсолютная прозрачность – это не отсутствие защиты, это такая защита.
Loss. Утечки. Они случаются. Если вы смотрите голливудские блокбастеры, то знаете, что случаются они от злобнохакеров, которые своим ноутбуком сменили пароль вашего НЛО на «Мао Цзедун». Если же не смотрите, то имеете мнение, что 19,5% утечек происходит из забытых в такси или выброшенных на свалку носителей данных, 79,5% - сливается собственными сотрудниками, а оставшийся процент является статистической погрешностью.
Prevention. Как я уже намекал – системы с остановом – или предполагают продвинутый навык ясновидения у настраивающего, или тормозят кучу рабочих процессов. А что мы сделаем, когда реакция на некоторое событие остановит вполне «законный» процесс? Добавим исключение. Потом второе, третье, n-ное. Интересно, при каком значении n имеет смысл задуматься, а работает ли система в принципе? И существует ли вообще принципиальная возможность создания datalossPREVENTION? Или лучше всё же строить честный datalossMONITORING?

Александр Ерощев
специалист по информационной безопасности компании SearchInform

Сканер уязвимостей для внутренней безопасности

Намедни подумал тут: а почему до сих пор мне не встречались сканеры уязвимостей для обнаружения угроз внутренней безопасности компании? Ведь для оценки, например, защищенности от внешних атак и вирусов сканеров более чем достаточно: и порты открытые покажут, и обновления, которые нужно установить... Неужели нет никаких инструментов, которые помогли бы определить, насколько хорошо организация защитилась от инсайдеров?

Поиск в Гугле ничего не дал, хотя я знаю несколько продуктов для банковской сферы, которые оценивают интегральную защищенность организации, в том числе и проверяют ряд параметров, характеризующих уровень внутренней безопасности. Но универсального продукта, который подходил бы для организаций из различных отраслей, судя по всему, сегодня нет - весь аудит отдаётся на откуп консалтерам, и компании, желающие проверить собственную внутреннюю безопасность, вынуждены прибегать к их услугам и платить втридорога, вместо того чтобы один раз купить автоматизированную систему, способную следить за состоянием безопасности внутри организации.

Конечно, в определенной степени указанную функцию берёт на себя установленная в организации DLP-система, но говорить о 100%-м покрытии ею всех потребностей по контролю состояния внутренней безопасности компании было бы не совсем правильно. Потому что и сами DLP-системы сегодня нуждаются в большем уровне автоматизации, чем они реально могут предложить - ведь до сих пор львиная доля всей работы безопасника заключается в "ручном" выявлении связей между различными событиями, выявляемыми DLP'шкой. Понятное дело, что формализовать и автоматизировать выявление этих связей очень сложно, но зато DLP-система, где эта функция была бы качественно реализована, стала бы однозначным лидером на рынке.

Думаю, что и сканеры, о которых я писал в начале этого поста, тоже постепенно будут появлятья на рынке, потому что потребность в них есть, и, в полном соответствии с законами рынка, спрос будет порождать предложение. Весь вопрос в том, как быстро мы их сможем увидеть воочию.

Р. Идов,

специалист по информационной безопасности

Зачем стесняться использовать украденную информацию?

Не устаю поражаться, читая новости. Порой даже самые серьезные организации преподносят весьма неожиданные сюрпризы своим совершенно наплевательским отношением к вопросам обеспечения информационной безопасности.

Например, вот эта новость:

База данных, содержащая информацию о ВИЧ-статусе трехсот москвичей, оказалась в свободной продаже на одном из столичных рынков, сообщает пресс-служба Межрегиональной правозащитной ассоциации "Агора". Контрольную закупку диска с базой данных провел юрист организации Ильнур Шарипов.
В ассоциацию "Агора" обратился житель Москвы, которому стало известно, что Зональный информационный центр ГУВД Москвы располагает информацией о наличии у него ВИЧ-инфекции и гепатита. Москвич отправился на Савеловский рынок столицы, где свободно приобрел базу данных, содержащую аналогичную информацию о 300 жителях города.
По словам Шарипова, база данных стоимостью полторы тысячи рублей позволяет искать информацию по определенным категориям. "Вводишь в поисковую строку слова 'ВИЧ' и 'СПИД' и получаешь список из трехсот листов с указанием ФИО, национальности, места проживания, фактов задержания правоохранительными органами и судимостей москвичей", - пояснил юрист.
После проведения контрольной закупки диска с базой данных мужчина обратился в Следственный комитет РФ с требованием провести проверку по факту распространения должностными лицами ГУВД Москвы личных данных, хранящихся в Зональном информационном центре.
Кроме того, москвич потребовал возбудить уголовное дело в отношении сотрудников столичного ГУВД, допустивших попадание конфиденциальной информации в свободную продажу. По его мнению, милиционеры совершили преступления предусмотренные частью 2 статьи 137 (незаконный сбор или распространение сведений о частной жизни человека, составляющих его личную или семейную тайну, без его согласия) и части 1 статьи 285 (злоупотребление должностными полномочиями) УК РФ.

В чем самый интересный момент этой новости? В том, что куплленная на рынке база данных  использовалась не где-нибудь, а в ГУВД. Можно, конечно, предположить, что в ГУВД просто были не в курсе, что база, скажем так, не совсем официальная, и что использовать её по этой причине не следует. Ну, скажем, приходящий админ взял и поставил на компьютеры господ полицейских купленную им по дороге базу - просто так, на всякий случай. Но даже при таком (несколько, скажу я вам, фантастичном) раскладе получается, что ГУВД не на высоте, если не может объяснить своему администратору, чем купленная на рынке база отличается от полученной по официальным каналам.

О какой информационной безопасности в масштабах страны для каждого из её граждан можно вести речь, не наведя порядок с ней в государственных структурах? Впрочем, конечно, подвижки есть, и приведенная выше новость - яркий тому пример. Хотелось бы только, чтобы всё-таки он был не единичным, и каждый, кто сталкивается с неправомерным использованием своих конфиденциальных данных, находил силы на борьбу против него.

Р. Идов,

эксперт по информационной безопасности

В чем разница между российскими и западными инсайдерами?

Журналисты как-то спросили, чем отличаются наши инсайдеры от западных. И, надо признаться, вопрос этот поставил меня в тупик: с отечественными инсайдерами сталкиваться приходилось регулярно, а вот с западными как-то общаться не приходилось. Поэтому был устроен целый мозговой штурм, в ходе которого пришли к следующему мнению.

Главное отличие западного инсайдера от российского - это среда, в которой он живёт. То есть законы, которые проще исполнить, чем обойти, и большая зарплата, которая отбивает у подавляющего большинства потенциальных инсайдеров охоту торговать корпоративными секретами. Инсайдерство на западе - дело куда более рискованное, чем в России, поэтому и количество инсайдеров значительно меньшее.

Отличие номер два - это подход в обеспечении информационной безопасности. Там принято внедрить DLP-систему и рассказать об этом максимально подробно всем сотрудникам, чтобы те прониклись важностью защиты компании от утечек информации и были в курсе наличия "большого брата", который следит за ними. В то же время, как показывает опыт, в России DLP-системы  наоборот старательно прячутся от персонала, чтобы выявить всех, кто может делать что-то неблаговидное с точки зрения руководства организации. Так что, опять-таки, западный инсайдер смелее российского. Сами же компании на западе скорее стараются соответствовать требованиям регуляторов, чем ловить сотрудников на инсайдерской деятельности.

В целом, мне кажется, что на Западе инсайдер в среднем ловчее и изворотливее Российского, потому что живёт не в тепличных условиях информационной анархии, когда на львиной доле предприятий и организаций любые документы можно получить практически беспрепятственно, а под зорким оком руководства и специалистов, нанятых специально, чтобы предупредить утечки информации. И при этом так инсайдер скорее идейный, а не старающийся раздобыть копейку себе на хлеб с маслом новый "Лексус" путём торговли корпоративной конфиденциальной информацией.

А что вы думаете по этому поводу?

Р. Идов,

специалист по информационной безопасности

Утечка информации в действии

Хочу поделиться небольшой новостью, которая не далее как сегодня помогла мне убедить одного знакомого в том, что необходимость защиты персональных данных - совсем не бред сивой кобылы, а насущная необходимость в условиях современной России. Думаю, что эта новость может помочь и вам в разговорах c теми, кто до сих пор не очень осознаёт важность защиты персональных данных.

Саму новость я почерпнул из регулярно читаемого мною и многими коллегами блога "Персональные данные. Правоприменение". Выглядит же она так:

Проблема квартирного разбоя, когда у граждан отбирают квартиры, к сожалению, не нова. В лихие 90-е это было вообще обычным делом. Позже ситуация несколько улучшилась. Однако затишье на криминальном рынке недвижимости оказалось мнимым, а круг «черных риэлторов» стал расширяться.
Вот, например одно из последних событий на этом рынке. Следственным отделом по Красногвардейского району завершено расследование уголовного дела по обвинению преступной группы, которая занималась квартирными мошенничествами. В состав группы  входил сотрудник милиции. По сообщению пресс-службы СУ СКП по Петербургу, перед судом вместе организаторами преступлений предстанет и, заместитель начальника 87 отдела милиции УВД по Всеволожскому району Ленинградской области Сергей Белых. Следствием установлено, что с 2008 года по 2009 год жертвами преступников становились лица из числа социально незащищенных граждан. Сергей Белых, являвшийся на тот момент участковым уполномоченным 75 отдела милиции УВД по Невскому району, как раз  и предоставлял подельникам списки таких людей. Затем жертв вывозили на съемные квартиры, где держали против их воли. На счету данной преступной группы шесть эпизодов квартирных мошенничеств, четыре эпизода незаконного удержания граждан, один - похищение человека. 

Как видите, ключевую роль здесь сыграли как раз списки, которые должны были бы, вообще говоря, защищаться от посторонних глаз. Но, конечно, в стране, где за сравнительно небольшие деньги можно купить базу данных любого ведомства, передача таких списков выглядела бы вообще как детская шалость... Если бы не последствия. Может быть, если бы преступники, которым полицейскиймилиционер передавал данные, действовали аккуратнее, не нарушая стольк грубо УК, чтить который завещал Остап Бендер, то и "бизнес" их процветал бы до сих пор. Но, как говорится, история не терпит сослагательного наклонения...

Р. Идов,

специалист по информационной безопасности

Сомнительное лидерство

Россия в который раз стала лидером (пока что только в Европе, но всё же) по количеству рассылающих спам ботнетов. Быть лидером, конечно, всегда приятно, только вряд ли это та ситуация, которой стоит гордиться - ведь фактически составители рейтинга в лице компании Symantec недвусмысленно дали понять, что дела с информационной безопасностью от Калининграда до Петропавловска-Камчатского обстоят, мягко говоря, не лучшим образом.

Наверное, для тех, кто занимается информационной безопасностью всерьёз, эта новость не стала откровением - несмотря на все усилия, предпринимаемые и властями, и бизнесом, и сообществом специалистов по ИБ, культура информационной безопасности в России остаётся чрезвычайно низкой, что создаёт массу проблем с ИБ как таковой. Хотя, конечно, в первую очередь это относится не к спаму, а к другим аспектам обеспечения ИБ - прежде всего, к защите от вредоносного ПО и утечек информации.

Со спамом же, я бы сказал, проблема несколько иного характера. А именно, вопрос состоит в том, что в России слишком много любителей рекламировать свои услуги с помощью спама. Об этом косвенно говорит состав спама, который "валится" на два моих ящика: один на русскоязычном домене (зона RU), другой - на международном (COM). Если на англоязычный ящик в основном приходит реклама медикаментов (викодин, виагра и т.д.), разные фишерские письма (Facebook потерял мой пароль и просит прислать им его вместе с номером кредитки) и нигерийский спам (мистер Хунг Во предлагает переслать $500 млн. своих личных накоплений из Сайгона), то структура русскоязычного спама куда богаче. Это, в первую очередь, реклама разных мелких компаний, работающих, в основном, в сфере услуг: грузоперевозки, продажа недвижимости, юридические услуги, продвижение сайтов, охрана. Во вторую очередь, это реклама... самого спама. В ней рассказывается, как он выгоден, эффективен и т.д. Ну и в-третьих, это уже всякие откровенно вредоносные вещи с вложениями подозрительного вида document.pdf.exe.

Что это означает? Что в России спам играет роль полноценной рекламы и рассматривается большинством рекламодателей (во всяком случае, небогатых) как хорошая альтернатива остальной рекламе. И что, в общем-то, судя по всему, и потенциальные потребители не видят ничего зазорного в том, чтобы пользоваться услугами того, кто обращается к спамерам. То есть, фактически, никого удара по репутации компании, рассылающей спам, он не несёт. Проблема, как видите, лежит не столько в экономической плоскости (да, спам дешев, но ведь SEO тоже не самый дорогой вид самопродвижения), сколько в психологической. Люди не видят в спаме ничего плохого, что, в общем-то, его легализует в глазах общества.

Как со спамом бороться в таких условиях? Прежде всего, поднимать общую культуру в области информационной безопасности, это потом благотворно скажется и на количестве утечек, вредоносного ПО и прочих вещах. Но, к сожалению, процесс это трудный и небыстрый...

Р. Идов,

специалист по информационной безопасности

Когда же они отстанут от Скайпа?

Последнее время стало модным запрещать скайп. Последнее время - это не в том смысле, что последнюю неделю или даже две, а последние год-два. Причём каждый раз разговоры о запрете этого всесторонне замечательного средства общения ведутся под флагом "национальной информационной безопасности", не больше, ни меньше.

Впервые о запрете Скайпа заговорили года два назад сотовые операторы - понятно, что им он очень мешает жить, потому что вместо грабительских тарифов на роуминг, благодаря которым можно потом требовать у абнонентов продать квартиру для оплаты счета, Скайп предлагает очень демократичные и разумные тарифы на звонки по всему миру.

Через некоторое время Скайп начали запрещать в отдельных регионах отдельные чиновники - в основном, кстати, как и сотовые операторы, аппелируя к защищенности протокола. Ну и вот, наконец, заговорили об этом и представители самой главной из всех структур, отвечающих за безопасность. Но почему-то поддержки не нашли ни у населения (которому не хочется продавать лишние почки для оплаты роуминга), ни у "безопасников", которые только пожали плечами.

Может ли Скайп угрожать национальной безопасности? Вопрос, конечно, не имеет однозначного ответа (потому что правильный ответ выглядит как-то вроде "да что ей не может угрожать?"), но здесь, скорее, беспокойство неуместно вовсе не из-за сложности контроля Скайпа, а именно из-за несоответствия усилий результатам. Скайп-трафик вовсе не так просто "выловить" среди общего потока трафика, выходящего за пределы страны. И во входящем трафике Скайп тоже нужно искать старательно. То есть, нужны очень, очень дорогие и мощные фильтры, которые (теоретически) могли бы "потянуть" борьбу со Скайпом.

Но при всём при этом фильтры эти не будут эффективными - потому что те, кого в первую очередь должны отслеживать товарищи, которым мешает Скайп, имеют возможность найти массу других каналов коммуникации, защищенных ничуть не хуже (а наверняка и лучше) несчастного VoIP-протокола. А вот тем, кто звонит в Америку "задешево", проблем прибавится. Так что возникает вопрос: не увидим ли за спиной тех, кто сегодня снова поднимает вопрос о запрете Скайпа, тень "большой тройки", которая заботится явно не о безопасности?..

Р. Идов,

эксперт по информационной безопасности

Показательная жестокость

Просто не могу пройти мимо одной новости, которая, в общем-то,  конечно, достаточно грустная, потому что рассказывает о достаточно варварском способе борьбы с утечками информации, но вместе с тем и весьма интересная в том плане, что идея, в общем-то, весьма здравая - наказание должно быть неотвратимым и пугающим. Впрочем, давайте обо всём по порядку.

Итак, новость. Как всегда, для ленивых цитирую:

В КНДР расстреляны бывший министр путей сообщения Ким Йон Сам и экс-министр финансов Мун Иль Бон. Об этом со ссылкой на северокорейский источник сообщает южнокорейская газета TheChosunilbo.
Первый занимал пост на протяжении десяти лет (1998-2008) и был обвинен в утечке секретной информации о расписании, которому следовал спецпоезд лидера Северной Кореи Ким Чен Ира в 2004 году. Якобы, в результате этой утечки, в апреле 2004 года на одной из станций был совершен теракт, который был расценен как покушение на главу КНДР, возвращавшегося из Китая.

С одной стороны, понятно, что Северная Корея - место своеобразное, и что идеи Чучхе требуют человеческих жертв. Но при этом нельзя не порадоваться за корейский народ, который всеми силами борется с исконно капиталистическим злом. И главное, посмотрите, какие результаты: сколько сообщений об утечках из США? А из КНДР? Так и хочется сказать: "правильной дорогой идём, товарищи!".

А если серьезно, то, конечно, расстреливать сотрудника, который допустил утечку, да ещё и не проникся собственной виной, или, хуже того, специально её организовал, - так вот, расстреливать его, конечно, нельзя. Но сделать наказание публичным, донести до коллектива, что увольняют его не "за просто так", не потому что у начальства сегодня плохое настроение, и не за то, что тот поставил машину на место босса - просто необходимо. Потому что в противном случае теряется половина того положительного эффекта, которое понесёт в себе такое наказание.

Конечно, не нужно раздувать из мухи слона, и выставлять посмешищем или, тем более, врагом коллектива сотрудника, потерявшего "флэшку" с персональными данными клиентов (хотя наказать всё равно нужно, чтобы больше не терял). Здесь публичность наказания может уже быть и во вред, потому что каждый, кто имеет обиды на начальство - первый кандидат в инсайдеры.

Так что обязательно соизмеряйте наказание со степенью вины, иначе ваша компания тоже рискует превратиться в такое же малопривлекательное место, как Северная Корея.

Р. Идов,

эксперт по информационной безопасности

Маленькая неприятность?

Недавно пришлось обсуждать проблему утечек персональных данных в кругу руководителей среднего звена из различных контор - в основном, конечно, коммерческих, но были и несколько "государевых людей". Сказать, что они прониклись проблемой, будет гнусной ложью - общее мнение можно выразить в двух словах как "ну и что такое утечка персональных данных? так, маленькая неприятность...".

Аргументация простая: в нашем не слишком высокотехнологичном обществе самый большой вред, который может нанести такая утечка лицу, чьи данные утекли, состоит в том, что тот начнём получать тонны разнообразного спама,  особенно мобильного. Ну а от спама, в принципе, какой вред кроме траты времени на его удаление? Даже польза есть: недавно один знакомый одного из присутствующих в спаме случайно нашел предложение о выгодной покупке дачного участка, и теперь спам прочитывает перед тем, как удалить. И зачем, мол, было городить забор для защиты персональных данных, покупать средства защиты, менять законодательство?

К сожалению, такая позиция сегодня является не то что не редкостью - я бы сказал, статистическим средним по всей стране. Не многие задумываются о том, что даже элементарные сведения о доходах, утекшие из налоговых органов или из банка, где человек брал кредит, являются отличной наводкой для преступников, которые ищут себе очередную жертву. Или, скажем, утечка банковских данных - имея элементарные знания в банковской области, преступники легко смогут манипулировать деньгами, находящимися на счете жертвы такой утечки, и явно не в пользу владельца счета.

Хорошо, скажут руководители, но у нас-то нет банковских данных, при чем тут мы? На самом деле, если разобраться, то любые данные могут быть использованы в итоге для ухудшения материального состояниях их субъекта. Впрочем, проблема даже не столько в этом - проблема в самой культуре информационной безопасности. Старые шаблоны мышления не дают руководителям возможности оценить всю важность информации в современном мире, отсюда и возникают такие расхожие мнения на злободневные темы.

Когда это изменится? Думается, не раньше, чем придёт новое поколение руководителей, воспитанных с мыслью о том, что информация - самый ценный ресурс организации. К сожалению, ждать ещё достаточно долго...

Р. Идов,

эксперт по информационной безопасности

От чего защищаемся?

Конкуренты озадачились вопросом, правильно ли другие "примазываются" к открытому ими для России термину DLP. Не скажу, что очень сильно не согласен с тем, что они возмущены наличием других продуктов на рынке, кроме своего (сами этим страдаем, чего уж там), но, между тем, после прочтения предложенного по ссылке поста невольно задаешься вопросом: если понимать термин DLP как любое средство защиты от утечек информации, то от чего с его помощью защищаться?

Вопрос совсем не праздный, потому что, в общем-то, именно на него нужно ответить, чтобы понять, какого рода система защиты нужна организации. Неожиданно может, кстати, выясниться, что нужна даже не столько система слежения за трафиком и за действиями работников, сколько мотивация к тому, чтобы они не старались делиться корпоративными секретами. Впрочем, редко кто понимает, насколько это важно в борьбе с утечками данных.

Итак, для начала, о случайных утечках. Именно от них страраются защититься те компании, которые приобретают блокирующую DLP-систему. Почему-то производители именно таких систем любят рассказывать о том, что неслучайные утечки в принципе невозможно предупредить, и именно поэтому нужно сделать упор на случайные. Но, по сути, случайные утечки в подавляющем большинстве структур критичны только для небольшого количества документов, к которым проще ограничить доступ, чем смотреть, кто и куда мог их переслать. Т.е. проследить за судьбой таких документов можно гораздо меньшей кровью, чем та, которую предлагает блокирующая DLP-система.

А неслучайные утечки - так ли они, действительно, непобедимы, как кажется? Нет, но только если отказаться от мысли, что со всем может справиться DLP-система, а отдел ИБ может спать спокойно. Ведь, на самом деле, DLP - не более чем инструмент безопасника, который дает ему информацию для анализа и, можно сказать, пищу для размышлений. А что уже затем делать с этой пищей - забота вовсе не производителя DLP. То есть, DLP-система поможет выявить инсайдера и предотвратить запланированную утечку, но для этого нужно работать головой и анализировать поведение сотрудников на более-менее длительном временном промежутке, а не просто поставить DLP и ждать, что произойдёт какое-то чудо. Но, конечно, если позиционировать свой продукт как чудодейственное средство для безопасников, которое, как антивирус, можно запустить одной кнопкой, то о предупреждении умышленных утечек говорить сложно.

Так что, в общем-то, нужно просто ставить задачи, не обращая внимание на голоса тех, кто говорит об их нерешаемости, и искать средства решения. Ведь очень часто такие средства - о чудо! - всё-таки находятся. И не так далеко, как можно было подумать...