Практика кадровой безопасности

Всё-таки что ни говори, а незаменимые люди бывают. Во всяком случае, если рассматривать достаточно короткий промежуток времени, в котором будет функционировать организация до их замены. И от ухода таких людей лучше обезопаситься. Или, во всяком случае, знать о том, что они подумывают об уходе: предупрежден - значит, вооружен.

Конечно, дело тут не только в том, что кадры нужно будет кем-то заменять. Есть ещё и такая проблема, как "утечка мозгов", то есть, конкуренты получат доступ к ценным мыслительным ресурсам вашего работника, если тот от вас уйдет. Утечь может и информация, с которой этот работник имел дело по долгу службы (а в особо наплевательски относящихся к своей информационной безопасности организациях - еще и масса дополнительных сведений). Впрочем, думаю, это все и так достаточно неплохо сознают, раз заинтересовались этим постом. Значит, от теории перейдем к обещанной в заголовке практике.

В одной компании увидели интересную схему контроля, которую сейчас рекомендуем и другим своим клиентам. Чем обычно занимаются сотрудники, ищущие новую работу? Правильно, рассылают и развешивают на сайтах резюме. Его же они пересылают и новому работодателю, который прислал им приглашение поработать. В общем, именно резюме и надо искать, если нужно обнаружить тех, кто готовится сменить работу.

Как его искать? Дело в том, что резюме - документ типовой, и достаточно просто составить перечень слов, встречающихся в нем, для того, чтобы искать те документы, в которых искомые слова встречаются в достаточных количествах для того, чтобы исключить заведомо нерелевантные совпадения. Ну, само собой, нужна хорошая система обнаружения таких документов во всех видах исходящего трафика.

Вот такая нехитрая система. Если у вас есть дополнения или замечания - милости просим в комментарии.

Р. Идов,

аналитик компании SearchInform

Немного о нашем роад-шоу

Как известно каждому, кто следит за нашим корпоративным сайтом, компания SearchInform в этом году проводит с 27 сентября по 1 декабря самое масштабное (пока что) в своей истории роад-шоу по инфрмационной безопасности. С полным списком городов и датами проведения каждого из мероприятий в рамках роад-шоу можно познакомиться здесь. Я же немного расскажу о том, что можно ожидать от наших семинаров.

Обратите внимание, что мы говорим о проводимых в рамках роад-шоу мероприятиях не как о презентациях, а как о семинарах. Что это значит? Это значит, что на них можно увидеть и услышать не только информацию о "Контуре информационной безопасности SearchInform", но и о других интересных вещах. В первую очередь, конечно, о том, что вообще скрывается за термином "информационная безопасность", и почему компаниям следует отнестись к нему со всей возможной внимательностью. Дело в том, что значительная часть тех, кто приходит на эти семинары - это руководители и айтишники, и именно для них необходим такой вводный инструктаж.

Впрочем, безопаснику, особенно практику, тоже будет интересно, потому что на большинстве из семинаров, проходящих в рамках роад-шоу (за все не поручусь, зависит от города) идет активное обсуждение практик обеспечения ИБ в организациях, где можно почерпнуть не только ценный опыт чужих "граблей", но и свежие идеи, что тоже, согласитесь, немаловажно. Само собой, как и на любом подобном мероприятии, можно встретиться и познакомиться с интересными людьми.

От "Контура информационной безопасности", конечно, тоже никуда не деться, но рассказ о нем не будет сухим и голословным, в духе маркетинговых материалов, которые раздают на выставках. Поскольку у докладчиков на семинаре будет действующая модель офиса с "Контуром" в нем (в виде VMWar'ки), то на любой интересующий вопрос по функциональности продукта можно получить 100% подтвержденный практикой ответ.

Заинтересовались? Ищите свой город в этом длиннющем списке и незамедлительно регистрируйтесь!

Р. Идов,

аналитик компании SearchInform

Занимательная математика, или безопасность глазами домохозяйки

Всегда интересно читать рассуждения о нашей с вами сфере деятельности от людей, мягко говоря, профессионалами в ней не являющихся. Рассуждения эти, как правило, имеют вид "сидят мужики, фигней маются, дофига денег получают, толку ноль". Очередной такой размышлизм, почерпнутый мною на Хабрахабре, даже переплюнул многие другие образчики подобного рода произведений. Ознакомиться с ним можно здесь. Ниже - мои комментарии по поводу данной публикации.

Прибегая к математической аналогии для описания сути информационной безопасности как отрасли, автор не потрудился вникнуть в эту самую суть. Дело в том, что информационную безопасность нельзя рассматривать с точки зрения теории действительных чисел или теории множеств как её обощения. Информационная безопасность, как и любая другая сфера человеческой деятельности, связанная с экономикой, оперирует, в основном, одним разделом математики - математической статистикой. Как, собственно говоря, и сама экономическая теория.

"На пальцах" объяснить суть информационной безопасности можно так: если мероприятия по ИБ позволяют снизить вероятность того или иного инцидента, то они оправданы. ИБ не ставит перед собой цель достичь абсолютной безопасности, "выловив" все возможные источники инцидентов. Как справедливо отмечает автор поста, это в принципе невозможно. Цель ИБ принципиально иная: её задача - достигнуть приемлемого "доверительного интервала", в котором вероятность ошибки в программном коде, утечки информации, успешной атаки и тому подобного будет достаточно мала.

Этой же цели следуют сертификаты, которые выдают люди с важными лицами: они говорят о том, что вероятность инцидента достаточно мала для того, чтобы применять сертифицированную систему в определенном классе задач. Они не говорят о том, что она абсолютно безопасна. Абсолют в случае информационной безопасности может, пожалуй, означать только одно: полное отсутствие человеческого фактора. Система, которой не пользуются, абсолютно безопасна. Только это никого не интересует.

Если у  вас, дорогие читатели, есть свои примеры рассуждений в стиле "ИБ глазами домохозяйки", потрудитесь, пожалуйста, оставить ссылочку в комментах. Заранее благодарен.

Р. Идов,

аналитик компании SearchInform

Аномалии информационной безопасности: чем защищеннее, тем небезопаснее

Ученые выяснили секрет долголетия ежей. Оказывается, никакого секрета нет. Да и живут они, собственно говоря, недолго...

Анекдот

Пожалуй, одной из главных аномалий сферы информационной безопасности в России можно назвать то, что тем, кого она в итоге и защищает, зачастую вовсе и не горят желанием ничего делать для повышения уровня собственной защищенности. И в итоге главным катализатором развития ИБ в России действительно оказываются регуляторы, как это и выяснилось по результатам одного весьма и весьма любопытного исследования.

Как бы, в общем-то, действительно никто Америки не открыл: ещё сравнительно недавно руководители организаций и предприятий только что пальцем у виска не крутил, когда их спрашивали, защищаются ли они от утечек информации.  С тех пор, конечно, наша отрасль достигла довольно-таки заметных успехов, но расслабляться и почивать на лаврах всё-таки не стоит, потому что успехи эти достигнуты, что называется, из-под палки. Можно ли это в действительности считать успехом? Думаю, здесь не может быть единой правильной точки зрения, потому что, как говорится, "смотря с чем сравнивать". Гораздо интереснее будет ответить на вопрос, нормальна такая ситуация, или нет, и с чем связано такое положение вещей.

Так вот, самое интересное, что ситуация-то, в общем-то, вполне нормальная, и в большинстве западных стран все технические решения в области информационной безопасности тоже внедряются, в основном, для защиты компаний вовсе не от инсайдеров, с которыми многие никогда на своём примере, к счастью, и не сталкивались. Нет, защищаются они как раз именно от регуляторов, поэтому такое положение дел даже можно рассматривать как повышение "цивилизованности" сферы ИБ в России.

Правда, возникает интересный парадокс. Средства ИБ, предназначенные для защиты от регуляторов, могут не очень хорошо справляться с главной задачей таких средств как класса, то есть, с ловлей инсайдеров и прочими подобными вещами. Потому что требования регуляторов - вещь в себе, и нередко для их выполнения приходится отказываться от простых и удобных способов решения задач в пользу выполнения пунктов требований "для галочки". В то же время, поскольку организация считает, что она защитилась, то и ведет себя гораздо беспечнее, а инсайдеры наглеют, и в итоге имеем классическую ситуацию с вымощенной благими намерениями дорогой сами знаете куда.

Такая вот интересная аномалия сферы информационной безопасности. Думаю, что далеко не единственная, которую мы с вами сможем вспомнить, уважаемые читатели...

Р. Идов,

аналитик компании SearchInform

И снова SCADA...

Я уже неоднократно писал о SCADA-системах. И теперь хочу еще раз сделать это - как и обычно, вдохновляют меня новости о них. Новость, правда, сложно назвать вдохновляющей - она скорее ужасает. Дело в том, что сразу в нескольких SCADA-системах обнаружены уязвимости «нулевого дня».

Думаю, что аудитории нашего блога не стоит слишком подробно рассказывать о том, что такое уязвимость нулевого дня. О SCADA-системах пару слов скажу: это программное обеспечение, контролирующее производственные процессы. Причем под производственными процессами имеются в данном случае в виду не только сборка автомобилей или распил досок. Атомные электростанции, нефтеперерабатывающие заводы, хладокомбинаты с сотнями тонн аммиака в старых советских холодильниках - всё это тоже "вотчина" SCADA-систем. Думаю, "радость" от нахождения огромного количество 0day-язвимостей испытают даже те, кто далек от вопросов обеспечения информационной безопасности.

Самое, впрочем, ужасное даже не в том, что эти язвимости в SCADA есть, и даже не в том, что их нашли. Самое "веселое" - это то, КАК их нашли. "По словам Ориеммы, поиск уязвимых мест занял совсем немного времени. В одном случае для удаленного исполнения кода оказалось достаточным просто ввести в систему нужную команду".

Очевидно, несмотря на специально разработанные для SCADA методики написания и тестирования программного кода, человеческий фактор в программировании по-прежнему означает слишком многое. Значит, надо пересмотреть подходы и, возможно, включить в процесс создания систем специалистов принципиально нового класса, которые будут заниматься дизайном безопасности подобных систем, посколько исключить ошибки нужно уже на этом этапе. Впрочем, вряд ли мы увидим коренные изменения в процессе создания SCADA в ближайшее время - инерция мышления, знаете ли...

Р. Идов,

аналитик компании SearchInform

Странные совпадения

Как-то в последнее время очень много в прессе появляется сообщений, связанных с утечками информации. Причем пресса далеко не профильная и имеющая о теме инфобеза весьма и весьма расплывчатое понятие. Что это - осеннее обострение или же тренд? Пока сказать сложно, но несколько интересных моментов последнего времени не могу не осветить.

Вот, к пример, как вам такая новость? Столичный банк оштрафован за передачу коллекторскому агентству персональных данных клиента, сообщает прокуратура Москвы. "В ходе прокурорской проверки выяснилось, что банк пытался таким образом получить информацию о задолженности клиента, с которым у него заключен договор на потребительский кредит. По сведениям прокуратуры, личные данные были переданы без уведомления и согласия клиента", - сообщается в новости. Закон о персональных данных, вопреки многим скептикам, всё-таки действует, что нас, защитников информации, не может не радовать.

"Ведомости", в то же время, рассказывают о зарубежных судебных спорах, связанных с утечкой информации. Ну, или утечкой мозгов - не зря же большинство читателей нашего блога, голосуя в нем, указало, что самый опасный инструмент любого инсайдера - это, прежде всего, его голова. 

"Пятилетний спор химических гигантов — американской DuPont и южнокорейской Kolon Industries — завершился победой DuPont, которой удалось добиться $919 млн компенсации за незаконное использование ее технологий. Окружной суд Восточного округа штата Вирджиния решил, что Kolon похитила и незаконно копировала защищенные патентами технологии DuPont по производству пуленепробиваемых жилетов с использованием кевлара, материала высочайшей прочности. Американская компания указывала, что Kolon получала доступ к конфиденциальной информации, нанимая бывших работников DuPont. Южнокорейская компания парировала, что не подозревала о конфиденциальности информации, полученной от этих людей, и что у нее не было необходимости в поиске секретных технологий или конфиденциальной информации. «В действительности многие “секреты”, рассмотренные в этом деле, являются публичными», — заверил представитель Kolon".
В очередной раз, казалось бы, можно только порадоваться: справедливость восторжествовала. Впрочем, на самом деле, похоже на то, что до финальной точки в этой истории ещё ой как далеко, поэтому не будем радоваться заранее. Тем более, что новости не все такие уж и радужные, например, очень интересно будет заглянуть сюда. Не то чтобы там было написано что-то раньше совсем не известное, но и совсем бесполезной информацию по ссылке тоже не назовешь.

Вот такое интересное начало недели, дамы и господа. Как говорится, будем следить за развитием событий.

Роман Идов,

аналитик компании SearchInform

Фишинг: new level

Координация революционных действий через интернет – явление не новое. Кто-то, по примеру Египта, координирует акции через Facebook, кто-то, будучи уверенным в «супершифровании» Skype, договаривается через него. Давайте абстрагируемся от политики, от суждений «этот прав, а этот лев», и рассмотрим только техническую часть вопроса. Хочу обратить ваше внимание на недавний «финт ушами», выполненный «теми, кого нельзя называть».

Краткая предыстория

Появилась в одном русскоязычном клоне Facebook'a группа «Революция через социальные сети». Со своими правилами, со своими призывами. В общем, добилась группа того, что попала в поле зрения «более серьёзных дядек». Так как акции группы носили строго периодичных характер, в один прекрасный день, последователей движения при переходе на страничку группы ждал сюрприз.

История

Опытные пользователи хабрахабра заметили огрехи в дизайне, проследили куда «редиректят» ссылки и прочее. Вопрос о том, кто мог такое сделать, не будем рассматривать. Важно то, что в очередной раз невнимательные пользователи стали жертвой фишинговой атаки.

Доверчивому пользователю предлагалась стандартная форма ввода логина и пароля. Что происходило после ввода сказать сложно, но кое-что можно утверждать наверняка – данные пересылались третьей стороне. И неизвестно, что она с ними будет делать.

И как обычно, возникает ряд вопросов:

1.      Можно ли осуществить подобную атаку без помощи «Вконтакте»?

2.      Как вы думаете, какова вероятность того, что среднестатистический пользователь заподозрит подвох, попав на подобную страничку?

3.      Насколько обоснованы высказанные предположения, что подобная схема использовалась в отношении Навального?

Слово экспертам.

Алексей Дрозд,

аналитик компании SearchInform

DLP или программы-шпионы?

Недавно один мой знакомый, имеющий свой не сильно большой, но уже и не маленький бизнес, спросил, правда ли, что DLP-системы могут помочь заставить работников не отвлекаться на "Контакт" и следить за расходом принтерной бумаги?

Естественно, я не мог не ответить, что это сходно со стрельбой из пушки по воробьям, и что DLP-cистемы, вообще говоря, придуманы совсем не для этого. Рассказал об утечках информации и о том, почему они могут быть опасны для бизнеса. Но, как оказалось, напрасно - об утечках информации мой знакомый знал не понаслышке, успев уволить уже двоих работников, воровавших не стройматериалы, а менее материальную субстанцию в виде бизнес-планов и переписки с партнерами. Только это, как оказалось, вовсе не убедило его в том, что для фирмы, занимающейся поставками строительных конструкций, есть необходимость защищать свою информацию от утечек. Его гораздо больше волновало то, что менеджеры больше увлекаются играми в социальных сетях и расход бумаги для принтера.

И вот я подумал, что, возможно, все инициативы по созданию "простых DLP для малого бизнеса" будут не слишком успешны вовсе не из-за того, что у малого бизнеса мало денег, и не из-за того, что у него нет информации, которую нужно защищать от утечек. Проблема лежит в принципиально иной плоскости. Малый бизнес не так остро ощущает репутационные потери вследствие утечек информации, как большой, поэтому и сами они не представляются ему чем-то, что заслуживает специальных средств защиты.

Конечно, было бы приятно думать, что я ошибаюсь, и что небольшая компания моего знакомого - исключение из правил. Но интуиция подсказывает, что вряд ли это так. А вы что думаете по этому поводу, дамы и господа? Кто сегодня нужнее малому бизнесу - DLP или программы, которые шпионят за сотрудниками?

Р. Идов,

аналитик компании SearchInform

Заставь дурака молиться...

Думаю, все знают продолжение известной фразы, вынесенной в заголовок (ну, или Гугл в помощь). Эта пословица, к сожалению, очень хорошо подходит к сфере информационной безопасности, в которой буквально на каждом шагу мы с вами можем встретить самые разнообразные перекосы.

За примерами далеко ходить не нужно. Буквально на днях появилась очень интересная новость об одном из американских производителей ПО для поиска украденных ноутбуков:

Судья может осудить производителя ПО Lojack For Laptops за незаконный перехват сообщений с украденного компьютера и предоставление этих данных полиции. Дело было заведено вскоре после того, как преподаватель Сьюзан Клементс-Джеффри влипла в историю, оказавшись владельцем лэптопа с системой LoJack For Laptops, которая является программой для дистанционного восстановления данных, разработанной компанией Absolute Software.
После того, как владелец сообщил о краже лэптопа, в Absolute начали запись IP-адресов устройства. Помимо этого они перехватили переписку сексуального характера, сопровождавшуюся также и фотографиями с веб-камеры, между Клементс-Джеффри, 52-летней вдовой, и Карлтоном Смитом, ее возлюбленным из средней школы, с кем она только что завязала отношения в интернете. Затем Absolute поделились добытыми данными с полицией. Полиция приехала к Клементс-Джеффри без предупреждения, но с распечатками фотографий сексуального характера, которые они ей и продемонстрировали. В итоге она впустила их в дом, где они нашли лэптоп и арестовали ее за владение краденым имуществом. Неделю спустя с нее сняли обвинение.

Как несложно догадаться, суть судебного иска состоит в том, что помимо IP-адресов и геолокационных данных софт от Absolute Software перехватывал много другой информации, не относящейся напрямую к поиску украденных ноутбуков. И здесь сложно не согласиться с истцом, хотя, конечно, избыток информации, который явно имел место, очень даже мог ускорить процесс поиска украденного лэптопа. Но здесь мы видим в явном виде ситуацию с расшибленным лбом излишне старательного дурака.

Когда в некоторых компаниях безопасники, имеющие достаточно наглости и настойчивости, вводят драконовские запреты на общение по Skype, использование "флэшек" и прочие легко контролируемые действия сотрудников, это выглядит не менее анекдотично и так же сильно вредит компании, как незаконный сбор данных, хотя у нас к этому привыкли. Так давайте же постараемся, чтобы безопасность была разумной.

Р. Идов,

аналитик компании SearchInform

Обмен опытом или суммирование заблуждений?

Побывав не столь давно на одном мероприятий, посвященных информационной безопасности, я невольно стал свидетелем разговора между молодым безопасником и уже убеленным сединами его коллегой. Разговор шел о DLP-системах. Молодой был ярым сторонником их применения, пожилой - противником. В своём споре каждый из них апеллировал к своему опыту общения с этим классом ПО.

Спорили они достаточно долго, и в итоге пожилой убедил молодого, что его успехи в применении DLP случайны. Что, мол, просто повезло с компанией, с коллективом, который недалек и попадает в примитивные ловушки, расставленные DLP-системой на пути инсайдера. В общем, как это часто бывает, непоколебимая уверенность в сочетании с опытом участия в дебатах сделали своё дело - заблуждение передалось носителю верного мнения.

Сложно судить, насколько такая ситуация вообще характерна для сферы информационной безопасности - раньше как-то не обращал на это внимание. В повседневной же жизни мы видим такое сплошь и рядом. Особенно хорошей иллюстрацией, демонстрирующей прямо-таки волнообразное распространение заблуждений, будут финансовые рынки. Именно там одно ловко вброшенное заблуждение даст возможность не просто быстро, а очень быстро обвалить курс всего, чего только угодно.

К чему это я? К тому, что безопасник, как и ученый, должен прислушиваться только к двум вещам: собственной интуиции и объективным фактам. Если факты говорят о том, что DLP-система работает эффективно в десяти компаниях, а у вас не работает, значит, надо либо поковыряться в настройках, либо подумать, как ещё может утекать информация, какой канал не перекрыт. Ну, или идти на пенсию, давая дорогу молодым.

Р. Идов,

аналитик компании SearchInform

День знаний и ИБ

Как-то по традиции принято считать, что знания - это такое абсолютное благо, которое и лишним не бывает, и приносит одну только пользу. Поэтому и День знаний (1 сентября) - праздник абсолютно позитивного толка. Никто в речах, обращенных к школьникам и студентам, не говорит об обратной стороне медали знаний. А напрасно.

Знания знаниям рознь. Немало детективных романов построено как раз на том, что чьи-то знания оказались лишними, и детектив вынужден распутывать сложную цепочку, ведущую к источнику этих знаний. Поэтому совершенно не случайно зародилась такая отрасль, как информационная безопасность, суть которой,  в общем-то, можно сформулировать как контроль и управление распространением знаний. Конечно, нет, наверное, особого смысла говорить об этом в пафосных речах, которые говорятся первого сентября перед теми, кому следующие девять месяцев нужно будет провести в учебных аудиториях. Но вот ввести хотя бы основы информационной и компьютерной безопасности в качестве учебного курса было бы, я так думаю, а коллеги, уверен, меня поддержат, совсем не лишним.

Подумайте только, насколько проще было бы работать тем же безопасникам и сисадминам, если бы бухгалтерия понимала, чем может грозить скачивание музыки с незнакомых сайтов, если файл с ней почему-то имеет расширение EXE, и чем чревата пересылка списка должников  кому-то из кредитного отдела на личный почтовый ящик на mail.ru. Что ни говори, а если бы подобные вещи хотя бы поверхностно изучались еще в школьные годы, проблем возникало бы значительно меньше.

Впрочем, боюсь, что эти мечты так и останутся мечтами, потому что образование - сфера очень и очень инертная, и пройдет ещё пять-семь лет, прежде чем подобные идеи начнут реализовываться в масштабах страны.

Р. Идов, 

аналитик компании SearchInform