А вы говорите, контроль бесполезен...

Анализируя новости об утечках, появляющиеся в последнее время, всё чаще прихожу к выводу, что контролировать надо не столько тех, кто  может захотеть вынести из компании какую-то важную информацию, сколько тех, кто отвечает за генерацию этой информации и хранение. Потому что один ляп такого человека, разместившего её не там, где надо, и выставившего, в итоге, на всеобщее обозрение, может стоит компании в разы больше, чем козни самых хитрых инсайдеров.

Вот, например, новость от наших друзей-конкурентов: В Интернет попали истории болезни 300 тысяч жителей Калифорнии. 

Истории болезни почти 300 тысяч жителей штата Калифорния были выложены в Интернет. Компания, оператор данных, утверждает, что она была уверена в том, что информация находилась под защитой. Данные жителей Южной Калифорнии были размещены на веб-сайте для удобства пользования сотрудниками компании. Но, как оказалось, информация хранилась в открытом доступе. Среди прочих документов в сети были выложены номера социального страхования граждан.

Проконтролировать одного программиста, писавшего модуль, размещающий данные пациентов на сайте, или одного сисадмина, устанавливающего права доступа к ним, в разы эффективнее, чем контролировать всех сотрудников компании, которые имеют доступ к этим данным. Потому что сотрудников явно заведомо больше одного человека. Но эффективнее - не значит проще, потому что для подобного контроля отделу информационной безопасности нужно вникать в суть бизнес-процессов, происходящих в компании, и тщательно анализировать потенциальные опасности на каждом маленьком участке каждого маленького бизнес-процесса. Куда проще купить "Контур информационной безопасности" - а какое ещё решение может купить, взвесив, грамотная, но ленивая ИБ-служба?;) - и "забить" в него максимальное количество всевозможных алертов, чтобы даже муха не пролетела. К сожалению, даже такие мощные инструменты без тщательного анализа возможностей их применения будут не так эффективны, как хотелось бы.

Выводы: ленивому безопаснику надо бояться не инсайдера, а "ляпуна". Инсайдер для него менее опасен: его можно выловить DLP-шкой. А вот незадачливого программера, написавшего кривой скрипт, она выловит вряд ли. И будет всё, как в Калифорнии.

Р. Идов,

аналитик компании SearchInform

101-й пост

Как-то незаметно в нашем корпоративном блоге набежало целых сто постов. Не знаю, много это или мало по меркам современных блоггеров, но мне кажется, цифра не такая уж и плохая - по крайней мере, раз меня и коллег читают, обсуждают и заходят сюда, эти посты были написаны не зря.

Тематика информационной безопасности сегодня набирает популярность в бизнес-среде. Да и в государственных структурах тоже, хотя и медленнее. В некотором смысле в этом есть и наша заслуга, дорогие читатели (а вы, я думаю, тоже работаете в основном в сфере ИБ). Конечно, останавливаться на достигнутом нельзя, нельзя себя и перехваливать, но не сказать какие мы сами молодцы тоже нельзя. Давно известно, что бывает с теми, кто забывает сам себя хвалить.

В завершение этого короткого поста не могу не пожелать нашему блогу дожить до 1001-го поста и стать самым читаемым блогом по информационной безопасности в Рунете:)

Р. Идов,

аналитик компании SearchInform

Правильный подход к безопасности

В последние дни одним из главных генераторов новостей стала корпорация Apple - и, в общем-то, это и неплохо, учитывая то, что ни с какими негативными тенденциями эти новости не связаны:) Напротив, Apple как раз даёт других компаниям (в том числе и отечественным) неплохой пример того, как правильно работать с теми, кто пытается тебя взломать.

О чем, собственно говоря, речь? А речь вот об этом: Взломщик iPhone отправится на стажировку в Apple.

19-летний Николас Аллегра (Nicholas Allegra), разработчик инструментов для "взлома" операционной системы iOS, пройдет стажировку в компании Apple. Об этом сам Аллегра, использующий в Сети псевдоним Comex, сообщил в своем микроблоге на сервисе Twitter.  В "твите" Аллегра рассказал, что стажером в Apple он станет в начале сентября. Как долго продлится стажировка и что будет входить в его обязанности, он не уточнил.

Что у нас обычно делают с теми, кто находит уязвимости на корпоративном сайте? Правильно, их или тащат в суд, или просто не обращают внимания. Слышал даже об одной истории, когда руководство компании в ответ на письмо одного из таких добровольных пентестеров дало указание отделу безопасности "вычислить" его, что называется, "в реале", и поговорить с ним по душам. Вполне естественно, что после этого сайт ничуть менее безопасным не стал:)

К чему я это пишу? К тому, что грамотная кадровая политика во многом обеспечивает информационную безопасность компании - даже в таком экзотическом, в общем-то, аспекте. Так что, дамы и господа, не отмахивайтесь от предоставляемой вам добровольцами информации, а используйте грамотно их энтузиазм и профессиональные навыки.

Р. Идов,

аналитик компании SearchInform

И все-таки соцсети - зло...

Несмотря на то, что достаточно интенсивно пользуюсь социальными сетями по работе, все-таки стараюсь делать это максимально осторожно. Почему? Дело даже не в том, что там оставлено много информации обо мне - как раз здесь, на мой взгляд, необходимый минимум, который можно легко найти и оффлайновыми средствами. Проблема в том, что в них очень много малвари, которую можно очень легко подцепить... А малварь легко может утащить у меня достаточно ценные данные.

Как, скажете, может здравомыслящий человек кликнуть по вредоносной ссылке, которую получит от черт знает кого в социальной сети? О, еще как! Не так давно проходило по новостям сообщения о дико хитром троянце, который похищал аккаунты и вел с них вполне очеловеченный разговор, подсовывая под шумок вредоносную ссылку. Вы бы не попались? Ну что ж, рад за вас, а себе я настолько не доверяю - считаю, что лучше перестраховаться.

А особенно укрепился я в своей профессиональной паранойе после того, как прочитал в своей новостной ленте вот это: http://www.itsec.ru/newstext.php?news_id=79965.  В заметке по ссылке говорится следующее: "Каждый четвертый российский пользователь социальных сетей переходит по ссылкам, независимо от того, знает ли он отправителя или нет, говорится в новом отчете G Data Software. Если соотнести эти результаты с количеством пользователей социальными сетями в России (более 23 млн по данным TNS в 2011 г.), то получается, что более шести миллионов пользователей не озабочены "здоровьем" своего компьютера, отмечают авторы отчета".

В конце концов, по ссылке можно кликнуть и чисто случайно... И из-за случайного клика вовсе не хочется попадать в эту грустную статистику. Так что, дамы и господа, стоит подумать... Может, стоит лишний раз воспользоваться более безопасным средством общения?

Р. Идов,

аналитик компании SearchInform

Мафия бессмертна!

Просто нельзя  не порадоваться за российских законодателей, озаботившихся  тем, чтобы граждане не проворачивали теневые схемы, и решивших, судя по симптомам, напрочь запретить оборот наличности на территории Российской Федерации в недалеком будущем.

Судите сами: "Минэкономразвития подготовило революционные предложения, которые могут перевернуть рынок безналичных платежей в России. Суть инициативы в том, чтобы установить лимит расчетов наличностью между юридическими лицами и гражданами, а также обязать предприятия торговли и услуг принимать банковские карты, пишет газета "Известия" со ссылкой на источник, близкий к министерству".

Чем не первый шаг к тотальному безналу? Казалось бы, идея действительно замечательная: нужно взять платежи под контроль, и всем будет счастье. Никаких теневых схем, потому что все "под колпаком"; можно проследить и источник, и получателя денег; нет никакой возможности скрыть доходы... Но, как говорится, "гладко было на бумаге, да забыли про овраги".

И дело даже не в технических накладках, которые, как мы все знаем, бывают при безналичных платежах: всегда есть риск просто даже отключения электроэнергии, которое сделает невозможным товарооборот. Дело в том, что особой безопасности это не принесет, потому что уже сегодня есть технологии, которые позволяют обходить подобные контролирующие средства.

Я говорю о BitCoin - экспериментальной, но уже достаточно широко известной и популярной системе интернет-платежей, основанной на тех же пиринговых технологиях, которые стали сегодня главным оружием BitTorrent и Skype в их битвах, соответственно, с правообладателями и спецслужбами. Кто выиграет в этой битве? Думаю, если посмотрите на ситуацию со Skype и BitTorrent, то поймете, что ответ очевиден...

Р. Идов,

аналитик компании SearchInform

Вести от соседей

В соседней с нами Белоруссии случилась таки утечка данных. До этого, судя по отчетам минского представительства SearchInform, белорусские организации божились и клялись, что их страну эта напасть обходит - но за самонадеянность очень быстро поплатились.

Собственно, в чем суть ситуации: 

Данные о двух тысячах белорусов, подавших электронные заявления на получение услуг МТБанка (паспортные и личные данные, информация о занятости, адреса и т.п.) как минимум несколько часов 10 августа находились в открытом доступе на сайте компании.
В банке подчеркнули, что информация стала доступной не с внутренних серверов банка, где хранится информация непосредственно о клиентах и защита которых обеспечена в полном объеме, а с внешних серверов компании-подрядчика, предоставляющей услуги хостинга сайта банка. К настоящему времени эксперты ликвидировали все последствия сбоя и упредили подобные неполадки в будущем, глубоко проанализировав обстоятельства ее возникновения. Сайт банка работал с перебоями на момент инцидента, в настоящее время сайт МТБанка работает в обычном режиме.

Думаю, очевидно, что речь идет о банальном головотяпстве: кто-то из сотрудников банка, или, скорее, компании, делавшей сайт, не защитил папки, в которые складываются автоматически собираемые на сайте анкетные данные заявителей, решивших получить кредит по интернету. Такое может случиться с каждым, кто экономит на разработке своего сайта (даже не столько на разработке, сколько на тестировании), но примечательнее всего реакция руководства банка.

Сразу поспешив заверить всех, что ничего особенного не произошло, братья-белорусы затеяли расследование, к которому подключили местную "киберполицию" - упраление "К" МВД Белоруссии. При этом, судя по всему, никаких реальных мер по защите данных клиентов от мошенников и других нечистых на руку людей принято не было. Сейчас расследование продолжается, а тем временем появляются такие сайты: http://mtbleak.net/about/.

В общем, пожелаем братьям-белорусам не слишком болезненного первого знакомства с тем злом, с которым мы боремся.И будем следить за развитием событий.

Р. Идов,

аналитик компании SearchInform

Постепенно движемся к цивилизации...

Просто не могу пройти мимо события, которое, на мой взгляд, означает очень заметный прогресс для всей российской сферы информационной безопасности. Наконец-то и нас появились компании, которые понимают, что утечка персональных данных - повод не промолчать и даже не извиниться, а выплатить денежную компенсацию пострадавшей стороне.

Собственно, вот как выглядит сама новость:
Tutu.ru одним из первых признал факт раскрытия данных. Ресурс занимается продажей и бронированием билетов на поезда и самолёты, а также предлагает гостиничные услуги. Там подтвердили кражу «обрывочных паспортных данных 70 клиентов раздела «авиабилеты». На сайте Tutu в сообщении по поводу случившегося написано: «В поисковую систему «Яндекс» попали обрывочные паспортные данные 70 клиентов раздела Авиабилеты. В другие поисковые системы (Google.ru, Mail.ru и т.п.) персональные данные с Tutu.ru не попали. В настоящий момент в компании проходит служебная проверка. По предварительной информации, данные были взяты с помощью «Яндекс.Бара» или «Яндекс.Метрики» с временных защищенных страниц сайта. Все эти страницы были защищены в соответствии с законодательством РФ и существовали не более 30 минут, после чего немедленно уничтожались». Сумма компенсаций не разглашается; пострадавших просят посетить офис для решения данного вопроса.

Может быть, конечно, на компенсацию эту "Майбах" и не купишь, но, думается, что клиенты гораздо лучше отнесутся к компании, которая компенсировала им хотя бы моральный ущерб за беспокойство по поводу последствий обнародования конфиденциальных данных. Фирма тоже это понимает, в отличие от героев скандалов последнего времени, которые ни о какой компенсации для пострадавших клиентов  и думать не хотят.

Хочется думать, что это будет не единичный случай, а первая ласточка, за которой последуют и остальные. И что не за горами тот день, когда компания, не выплатившая компенсации за утечки персональных данных своих клиентов или сотрудников, будет выглядеть белой вороной, а не обыденным явлением.

Роман Идов,

аналитик компании SearchInform

«Королям аськи» посвящается

После недавнего просмотра сего «народного творчества» вспомнился мне один майский случай. Против всемирно известной компании Google в России грозились возбудить уголовное дело. В полицию обратился житель Уфы. Он поверил объявлению на сайте рекламного подразделения фирмы AdMob. Скачал якобы бесплатное приложение. В итоге лишился денег на телефонном счёте, а его персональные данные были похищены.

Этот пример больше показывает человеческую доверчивость и беспечность в отношении телефонных приложений. Ведь если с компьютерами и различными способами «вредительства» в них люди смирились и худо-бедно научились различать по каким ссылкам можно ходить, а по каким нет, то с телефонами всё пока не так радужно.

Задавшись этим вопросом и вооружившись сапёрной лопаткой по имени «Google» удалось «накопать» вот что.

Советы от Министерства национальной безопасности США:

1. Работу в сети Интернет необходимо вести только через защищенные сети вашего провайдера 3G или защищенные Wi-Fi точки доступа.

2. Следует избегать перехода по ссылкам, ведущим на неизвестные, сомнительные ресурсы.

3. Скачивать и устанавливать приложения следует только из надежных источников, имеющих положительные отзывы.

4. Установите на мобильном устройстве анти-вирусное ПО и надежные пароли. Избегайте хранения на мобильном устройстве персональных данных и финансовой информации. Никому не сообщайте и не передавайте эти данные. Провайдеры и финансовые институты никогда не запросят у вас учетные данные через открытую сеть.

5. Помните, что наличие на вашем мобильном устройстве файлов с криптозащитой при пересечении границы ряда государств может стать основанием для изъятия мобильного устройства.

6. Не забывайте, что мобильные устройства часто банально теряют или крадут. Надо быть готовым к такому повороту событий. Прежде, чем это случится, подумайте, какая информация на вашем устройстве может нанести вам значительный урон. Удалите ее из мобильного устройства.

По мне, особенно прислушаться стоит к советам 2, 4 и 6.

Но, как всегда, есть нюансы. Вот вам с пылу с жару официальное письмо  http://news.drweb.com/show/?i=1764&lng=ru&c=14) от арахноподобных защитников. Если в двух словах, то за последнее время количество вредоносных приложений, найденных компанией в Android Market'e выросло в 10 раз. Это свидетельствует о том, что вирусописатели ни в коем случае не намерены упускать из виду новую, развивающуюся гигантскими темпами, платформу.

Представим возможное развитие событий. Человек пользуется SMS-банкингом. У него хорошая новая трубка под управлением Android. Если наш герой «подхватит» троянца, который умеет отсылать различную информацию через интернет третьим лицам, то… Концовку предлагаю каждому додумать самостоятельно.

Давайте вместе искать выход. Можно ли полагаться на антивирус для мобильника? Может быть лучше всем перейти на планшеты? Они управляются системами, которые практически идентичны компьютерным ОС. Или следует больше внимания уделить популяризации советов, подобных вышеперечисленным?

Что скажете?

Алексей Дрозд,

аналитик компании SearchInform

Рабочее пространство как фактор безопасности

Что ни говори, а соблюдение безопасности в компании невозможно без соблюдения некоторых правил организации её офисного пространства. Причина банальна - безопасность практически невозможно соблюдать там, где работники смотрят друг другу в монитор и могут легко взять бумаги со стола своего соседа.

Конечно, идеальная организация офисного пространства с точки зрения специалиста по информационной безопасности - это отдельные боксы для каждого из сотрудников, но вполне понятно, что против такого решения будут HR-менеджеры, корпоративные психологи и прочие люди, озабоченные корпоративным духом. Страдает от такого, чего греха таить, и эффективность труда, особенно тогда, когда важна работа "коллективного разума" - не зря ведь у тех же программистов популярны офисы по типу open space, где все сотрудники сидят в одном большом помещении.

Хотя современные средства коммуникации, в общем-то, делают эти open space уже не такими нужными и актуальными, как раньше. Потому что по тому же Skype сегодня договориться о чем-нибудь можно гораздо быстрее, чем если идти в другой конец большой офисной комнаты и искать нужного человека по очертаниям его затылка.

В любом случае, даже в открытых комнатах можно сделать условия труда более защищенными с точки зрения ИБ. Прежде всего, конечно, это расположение офисных столов и наличие в самих столах отделений, запирающихся на ключ - поверьте, у каждого сотрудника есть бумаги, флэшки и прочие вещи, которые имеет смысл спрятать, уходя на обеденный перерыв или даже перекур, от излишне любопытных  соседей. Неоднократно приходилось сталкиваться со случаями, когда такая простая мера предосторожности помешала бы инсайдеру получить важные для него сведения, которые были впоследствие разглашены.

Конечно, такого рода мер недостаточно для того, чтобы в полной мере обеспечить информационную безопасность организации, но они совершенно необходимы для того, чтобы безопасность все-таки была обеспечена.

Р. Идов,

аналитик компании SearchInform