Интеграция безопасника в бизнес

Информация сегодня играет столь важную роль в практически любом бизнесе, что роль безопасника возрастает многократно даже по сравнению с тем, что было ещё три-пять лет назад. Но несмотря на это и на весь прогресс, безопасник сегодня по-прежнему мало что понимает в той информации, которую защищает. Правильно ли это? Думается, нет.

Интеграция бизнеса и обуслуживающих его отделов для разных отделов заметно отличается, что, в принципе, понятно. И в случае с отделом ИБ об интеграции вообще говорить достаточно сложно: мало кто из руководства понимает, чем этот отдел вообще занимается, равно как и отдел ИБ мало понимает в том, чем занимаются другие, несмотря на то, что принимает достаточно активное участие в контроле их деятельности.

Безопасник сегодня должен выполнять роль не только надзирателя, но и консультанта для бизнеса, поскольку бизнес сам не в состоянии защитить себя в полной мере, а защита без понимания сути процессов не будет полноценной. Многие ли безопасники будут в состоянии эволюционировать таким образом? Честно говоря, не знаю. Думается, тут проще научить бизнесмена безопасности (скажем, включить ИБ в курсы MBA), чем безопасника бизнесу.

Интересное рассуждение по теме нарыл тут, хотя согласен и не со всем. Эволюция ИТ-шников в безопасников представляется маловероятной и ненужной - ИТ-шник, в отличие от безопасника, не нуждается в понимании сути бизнеса, как автомеханику совершенно всё равно, кого возит обслуживаемый им автомобиль. Но это уже тонкости.

Пожалуй, единственное, с чем можно согласиться - это в том, что сегодня ни безопасники, не бизнес не очень готовы к тесной интеграции, хотя время уже как бы намекает на полезность этой меры. Думаю, что в ближайшие пять лет сильно увеличится спрос на разбирающихся в том или ином бизнесе безопасников. Так что торопитесь занять нишу!

Р. Идов,

аналитик компании SearchInform

Да на кой нам эта ИБ?

Каким образом службе ИБ доказать свою эффективность или просто даже хотя бы элементарную нужность? Вопрос непростой. Если, например, отделу продаж или ИТ-отделу не нужно лишний раз говорить, что они молодцы, потому что и так видно, как быстро богатеет фирма и как часто простаивают сломанные компьютеры, то с ИБ всё гораздо сложнее. Инцидентов нет - и непонятно, почему. То ли ИБ и вправду молодцы, стараются, то ли просто повезло.

Поэтому иногда в головах некоторых топ-менеджеров возникает вопрос: так а на кой нам эта ИБ вообще сдалась, если непонятно, что она делает и за что получает деньги? Вопрос озвучивается на очередном совете директоров, и иногда так бывает, что ИБ вливается в другую службу (чаще всего, в ИТ или в СБ), чтобы "оптимизировать расходы". Расходы оптимизируются, и, если компании везет и утечки какое-то время обходят её стороной, то руководство радостно потирает руки. До тех пор, пока не грянет гром.

Понятно, что как тут правильно писали в комментариях, можно посчитать риски и экономически обосновать существование ИБ в компании. Но сделать так, чтобы руководство вняло этим расчетам, часто сложно, потому что перебороть аргумент "вы ж всё равно ни хрена не делаете" достаточно сложно. Даже сложнее, чем что-то делать в таких условиях.

Конечно, нельзя сказать, чтобы такой отказ от ИБ был тенденцией, но косые взгляды в её сторону неизбежны практически в любой компании. Потому что... непонятно. А объяснить на пальцах не всегда получается. Издержки профессии? Видимо так.

Р. Идов,

аналитик компании SearchInform

Кадровый голод

Намедни наткнулся на одну интересную статью, в которой рассматривается проблема подготовки кадров для ИБ-индустрии. Проблема действительно важная, и отмахнуться от неё невозможно. Вот, собственно ссылка на саму эту статью, она там довольно длинная, и целиком повторять здесь её я не буду.

В статье, конечно, описываются украинские реалии, но проблема достаточно актуальна и для России, и для других стран постсоветского лагеря. Вообще, нужно сказать, что от кадрового голода страдает не только ИБ, но и ИТ-отрасль, которая сталкивается с тем, что грамотных и хорошо подготовленных программистов взять в достаточных количествах просто неоткуда, а готовить их самостоятельно, так сказать, взращивать, - и дорого, и долго.

С безопасниками всё ещё хуже. Если неопытного программиста всё-таки можно посадить на не сильно важный проект или просто дать задание готовить какие-то модули для внутреннего пользования, то с неопытным безопасником такой номер, что называется, не прокатывает. Потому что от его работы зависит, фактически, весь бизнес, и ценой неопытности может стать дорогостоящий ИБ-инцидент, который при неблагоприятном стечении обстоятельств может послужить причиной полного уничтожения бизнеса компании. Кто-то захочет так рисковать? Сомневаюсь.

Ну и с ВУЗами, которые готовят безопасников, тоже всё сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь.

С одной стороны, конечно, это хорошо, потому что повышает ценность тех, кто уже работает в профессии. С другой, кадровый голод несомненно аукнется множеством неприятностей уже завтра. И поэтому, действительно, лучше не дожидаться их, а постараться решить проблему до того, как она развернется во весь свой немалый рост.

Р. Идов,

аналитик компаниии SearchInform

Лучше перебдеть?..

В очередной раз цивилизованная Европа проявляет нешуточное беспокойство по поводу данных, хранящихся на электронных девайсах своих граждан. В принципе, вроде бы, всё правильно, но всё равно хочется, чтобы власть заботилась не только о правах, но и об обязанностях своих граждан, а также об их уровне грамотности - если он будет на высоте, то и проблема с хранением данных сама собой решится.

Представители Европейской комиссии заявили, что они будут проводить консультации по поводу того, как собирается, хранится и обрабатывается информация в устройствах.
Европейская комиссия исследует возрастающее распространение Интернет в различных гаджетах. Регулятор отмечает, что до 2020 года Интернет будет использоваться в подавляющем количестве домашних электронных приборов. Об этом сообщает BBC.
Представители Европейской комиссии заявили, что они будут проводить консультации по поводу того, как собирается, хранится и обрабатывается информация в устройствах. Регулятор хочет удостовериться, что в рамках этих процессов не нарушаются права пользователей.
Подробнее: http://www.securitylab.ru/news/423183.php

Именно такие органы, как Европейская комиссия, и порождают гнев тучи офисных хомячков, которым на каждом шагу чудится, что нарушаются их права. В то же время, если бы больше внимания уделялось не правильности хранения данных, а вопросам трудовой дисциплины и, к примеру, правомерности использования мобильных устройств на рабочих местах, или так называемой консьюмеризацией ИТ, которой озабочены сегодня многие эксперты на Западе.

Впрочем, Европе, конечно, виднее, какие проблемы для неё сегодня более актуальны. Что же касается России и вообще всего постсоветского пространства, то у нас, к сожалению, также наблюдается тенденция к тому, что внимание к правам работников зачастую заставляет общественность сквозь пальцы смотреть на грубые и вопиющие факты пренебрежения ими своими непосредственными обязанностями. Что, в принципе, и понятно - общественность сама не прочь порассказывать про плохих работодателей и производителей софта/железа, которые мешают ей жить и развиваться.

Но стоит ли такие разговоры поощрять?.. Для меня ответ очевидный, а для вас?

Р. Идов,

аналитик компании SearchInform

"Вероятный противник" и ИБ

Досточно интересную новость вычитал сегодня, и уже спешу с вами ею поделиться. Оказывается, американская армия испытывает недостаток в специалистах по информационной безопасности. Уже так и вижу лес рук желающих уплыть за океан и там на благо страны, которую на одной шестой суши называли не иначе как "вероятным противником", начать применять свои знания. Но пишу я здесь об этом вовсе не для того.

Новость заслуживает того, чтобы привести её здесь целиком и полностью: 

Армия США столкнулась с проблемой нехватки квалифицированных кадров в сфере IT-безопасности, передает Computerworld.
В директиве Министерства обороны США (The Department of Defense, DOD), опубликованной еще в 2005 году, подробно описывается, какие соответствующие обучения должны пройти военнослужащие, а также какие сертификаты получить, чтобы иметь право работы в информационных системах Министерства обороны по обеспечению информационной безопасности.
По словам программного менеджера по информационной безопасности компании, предоставляющей IT-решения для информационных систем армии США, Лизы Ли (Lisa Lee), согласно требованиям этой директивы, даже ценного сотрудника могут понизить в должности, если он не имеет указанного сертификата. Она отметила, что очень часто сотрудники, имеющие сертификаты по IT-безопасности не настолько компетентны в своей работе как те, которые не имеют такого сертификата. Ли также добавила, что за получение некоторых типов сертификатов и за прохождение обучения военные должны платить сами.
Для того чтобы решить эту проблему, было принято решение, согласно которому не все специалисты должны соответствовать требованиям, изложенным в директиве министерства. Отныне более квалифицированным специалистам армия будет предоставлять высшие административные привилегии в сети, в то время как менее компетентные лица будут иметь меньше прав в сети и, соответственно, меньшую заработную плату. «Я была вынуждена это сделать. У нас есть компетентные люди, у которых возникают проблемы при прохождении тестов. Они просто не очень хороши в сдаче тестов», - сообщила Ли.Источник: http://www.securitylab.ru/news/423020.php

Что обращает на себя внимание? В первую очередь, сам факт того, что такое значение придаётся вопросам готовности личного состава армии к ИБ-инцидентам. Про российскую армию нечего и говорить - там сегодня совсем другие проблемы, поэтому там американцев попросту не поймут. И здесь армия, по сути дела, есть всего лишь отражения того отношения к вопросам информационной безопасности, которым пронизано всё общество, включая и госаппарат, и бизнес.

Это наталкивает на интересную мысль. А что, если и отношение к инфобезу начать менять именно с армии? Если уж даже суровые прапорщики и старшины проникнутся проблемами ИБ, то донести их до государственных мужей в высоких кабинетах будет куда как проще. Ну, а бизнес уже как-нибудь подтянется. Жаль только, что армии пока не до ИБ...

Р. Идов, 

аналитик компании SearchInform

Лояльность? Нет, не слышали

Уж много раз твердили миру: безопасность для бизнеса, а не бизнес для безопасности. Аналогично и с другими сферами жизни: стандарты для прогресса, регуляторы для общества, власть для народа... Ну, в общем, все всё поняли. Нет, сейчас не о политике, а о безопасности и о том, как рационализация и автоматизация вредны  там, где не вполне уместны.

"Узнав о нарушениях в родной компании, многие сотрудники американских корпораций и финансовых институтов теперь, собрав доказательства, бегут к регуляторам. Ведь по новым правилам информаторы могут стать миллионерами — им причитается от 10 до 30% штрафа или выплаты по мировому соглашению, которые придется заплатить компании-нарушителю", - пишут Ведомости.
Конечно, в России такое не пройдет по целому ряду причин, которые так или иначе своими корнями упираются в русский менталитет. Да и вообще где-либо на просторах бывшего СССР этот подходя вряд ли вызвал бы особенный наплыв жалобщиков. Хотя, возможно, поскольку речь идет о финансовой сфере, всё не так и плохо... Но дело не в этом - дело в том, что же опаснее для бизнеса и общества в данном случае, молчание сотрудника, или его нелояльность работодателю?

Не надо удивляться, что бизнес и общество тут у меня стоят вместе, как не надо удивляться и самой постановке вопроса: в конечном счете, бизнес тоже нужен обществу. Так вот, по моему мнению, в данном случае нелояльность опаснее. Да, конечно, кто-то может пострадать от очередной финансовой пирамиды или стать жертвой недобросовестной конкуренции. Но, скажите, разве это стоит тех семян имени Павлика Морозова, которые подобными законами насаждаются в компаниях? В конечно итоге, они подрывают общество еще хуже, чем любые нарушения финансового законодательства.

Так что, как обычно, благими намерениями оказалась вымощена дорога в ад. Пусть, конечно, и в фигуральном смысле, но всё же.

Р. Идов,

аналитик компании SearchInform

К наболевшему вопросу

Думаю, все ещё хорошо помнят недавние баталии вокруг инцидента с переманиванием нашего сотрудника компанией "Инфосистемы Джет", гремевшие в нашем ЖЖ. Конечно, может быть, кто-то сочтет мой новый пост толстым троллингом, но я хотел бы вернуться к теме законности контроля почты и других каналов передачи данных на рабочем месте.

Подтолкнула меня к этому публикация не не слишком любимом мною за свою закрытость Хабрахабре (придумают же название!), в которой достаточно подробно разобран вопрос законности контроля переписки сотрудников на рабочем месте. Рекомендую всем ознакомиться. Ну а здесь приведу резюме того, что должен сделать руководитель организации, чтобы обезопасить себя от утечек информации и нападок офисных хомячков:

Указать в Уставе организации, кто является собственником всех материальных, технических и интеллектуальных (информационных) ресурсов, в том числе и содержимого служебной переписки, которая осуществляется сотрудниками организации в служебное время и при помощи технических средств, принадлежащих организации.
Установить в организации режим коммерческой тайны (согласно ст. 10 ч.1 Закона «О коммерческой тайне»). Руководитель должен издать приказ, определяющий права доступа сотрудников к информации, носящей конфиденциальный характер.
При заключении с сотрудником трудового договора необходимо включить пункт, по которому работодатель оставляет за собой право контроля деятельности сотрудника на рабочем месте в служебное время, в том числе проверку содержимого служебной переписки, каким бы способом она ни велась (на бумажных носителях, при помощи электронной почты).

В общем, что и требовалось доказать. На работе нужно работать, а если кто-то желает что-то написать по поводу новой работы, здоровья любимой бабушки или потомства любимой собачки, он может сделать это дома. Не опасаясь при этом того, что его переписку будут читать злые дядьки из отдела информационной безопасности.

Р. Идов,

аналитик компании SearchInform

"DLP - это для нас слишком дорого"

Не знаю, как вам, коллеги, а мне периодически приходится слышать фразу, вынесенную в заголовок этого поста. Пользуются ей обычно вовсе не безопасники, а "топы" - генеральные и коммерческие директора, причем как небольших фирмочек, так и вполне себе солидных и крупных компаний.

Конечно, можно долго убеждать их в том, что утечка информации будет стоить, в конечном итоге, заметно дороже, чем даже самая крутая и дорогая DLP-система, и что тот, кто экономит на своей информационной безопасности, рискует просто-напросто подарить вложенные в бизнес деньги конкурентам. Но они обычно остаются глухи к уговорам - "у нас утечек не было, с какой стати им теперь взяться?".

К сожалению, утечки, как правило, так и берутся - из ниоткуда, когда их никто не ждет. Особенно когда компания вовсе не занимается собственной информационной безопасностью. Впрочем, даже если занимается, это вовсе не гарантирует ничего, потому что заниматься можно по-разному - и примеры этого в новостях мы видим буквально каждый день. За свежими тоже далеко ходить не надо.

Бывший сотрудник Intel похитил секретную информацию компании на сумму в $400 млн. На судебном заседании обвиняемый признал себя виновным в незаконном скачивании документов, которые относились к разработке и производству компьютерных процессоров. Бывшего сотрудника Intel обвиняют в краже секретной информации компании. Бисвамохан Пани (Biswamohan Pani) воровал конфиденциальную информацию для продвижения по службе в компании AMD, которая является конкурентом Intel.
Подробнее: http://www.securitylab.ru/news/422887.php

Вот скажите, что может сказать директор компании, считающий DLP-систему излишеством? Правильно, "мы - не Intel". К сожалению, такое отношение встречается очень часто, гораздо чаще, чем хотелось бы.

А какие аргументы применяете вы, когда вам говорят, что DLP - это слишком дорого?

Р. Идов,

аналитик компании SearchInform

"Решительные" меры

Очередная новость, которая не оставила меня равнодушным, и которой я спешу поделиться с широкой общественностью. На сей раз она посвящена не утечкам, не DLP-системам и даже не контролю сотрудников, а... спаму. Как то ни удивительно прозвучит.

В четверг Twitter подал судебный иск против пяти разных разработчиков программных инструментов, помогающих публиковать спам в твитах. Ответчиками по иску являются компании TweetAttacks (tweetattacks.com), TweetAdder (tweetadder.com), TweetBuddy (tweetbuddy.com), Джемс Люсеро (justinlover.info) и Гарланд Харрис (troption.com), которых обвиняют в нарушении правил использования сервиса Twitter и ряда уголовных статей. Новость целиком.

Давеча я тут уже рассказывал о своем знакомом спамере, который решил уйти из бизнеса, но при этом не уничтожил свой ботнет, а продал его другим "предпринимателям". Спама меньше не становится, и причина вполне понятна - несмотря на всю свою топорность и раздражающий эффект, спам всё-таки работает и приносит немало денег тем, кто занимается "дешевыми рекламными рассылками".

Только методы, которыми социальные сети пытаются с ним бороться, не вызывают ничего, кроме улыбки. Впрочем, тут, конечно, лучше сделать недостаточно больно спамеру, чем обидеть честного пользователя. Думаю, в ближайшем времени вслед за спамерскими утилитами и сервисами для соцсетей должны появиться специальные антиспамы для пользователей Твиттера и Фейсбука. Платные, естественно, или хотя бы с рекламой.

Ждем-с, как говорится...

Р. Идов,

аналитик компании SearchInform

DLP для Mac

Изредка к нам приходят люди, которые спрашивают, есть ли у нас DLP для Mac? Мы говорим, что агентских решений для Mac нету, а решения, контролирующие зеркалируемый трафик на серверах, успешно работают и с Mac'ами, и с Linux'ом и с любой другой экзотикой - главное, чтобы сервер был на старых добрых "Форточках".

Начинаем выяснять, неужели же в конторе все сидят на "Маках"? Оказывается, нет, "Маки" есть у гендиректора, главного инженера и ещё пары таких же руководителей, которых обычно никто и контролировать-то не пытается. Но поскольку кто-то из руководства сказал, что Маки тоже должны "обслуживаться" DLP'шкой, то и безопасники ищут именно такого редкого зверя. Возможно, находят, но тут интереснее не столько наличие DLP для Маков, сколько общий подход к безопасности.

Он, к сожалению, очень характерен для многих контор. Начальство, а не руководство профильных подразделений, не только решает, какие средства защиты информации приобретать, но и формулирует требования к ним.  Результаты получаются соответствующие. Не знаю, как безопасники работают в таких конторах, но, наверное, результат их работы нравится офисным хомячкам, которых особо не напрягают "шпиономанией".

Надеюсь, что всё-таки подавляющее большинство ИБ-специалистов не идёт на поводу у руководства, а умеет аргументированно отстаивать отсутствие необходимости покупки DLP под Mac. Иначе это плохие новости для нашей отрасли, дамы и господа.

Р. Идов,

аналитик компании SearchInform

Почему уход сотрудников важен с точки зрения информационной безопасности

Поскольку прошлый пост вызвал бурные обсуждения в ЖЖ, то считаю своим долгом прояснить некоторые моменты, касающиеся вопросов ухода сотрудников от одного работодателя к другому в том случае, когда эти работодатели конкурируют.

Почему это забота не только HR-отдела, который должен замотивировать сотрудника, "навострившего лыжи" (хотя хороший HR-отдел мотивирует не только таких сотрудников, а всех, но речь сейчас совсем не о нём), но и отдела информационной безопасности? Да всё, знаете ли, очень даже просто. Когда сотрудник уходит к прямому конкуренту, он уносит к нему не только свои знания и навыки в той профессиональной области, в которой он специализируется, но и знания о технических или организационных особенностях святая святых бизнеса своего прошлого работодателя.

Приведем конкретный пример (если мало было предыдущего поста). Допустим, есть компания Doom Nukem, выпускающая оружие. Она разработала мегабластер BFG-666. Оружие хорошее, все покупают. Есть некая другая компания RaspilCraft, которая занимается поставками оружия по госконтрактам в одной стране, и спит и видит стать международным игроком. И она начинаем сманивать инженеров Doom Nukem, которые могут что-то знать о BFG-666.

Как это называется в цивилизованном мире? Недобросовестная конкуренция. Она угрожает безопасности Doom Nukem, и соответственно, служба безопасности также вплотную занимается данным вопросом. А офисные хомячки, узнающие об этой работе, негодуют, крича, что компания нарушает их права уходить к тому, кто пообещает лучшую кормежку. Так было всегда, всегда и будет. Но безопасность важнее писка хомячков.

Р. Идов,

аналитик компании SearchInform