26 октября 2012

Сбор информации и ничего больше

На удивление редко службы ИБ в крупных компаниях практикуют такую штуку, как сбор информации о подозрительных действиях сотрудников со стороны самих этих сотрудников. Понятно, что применение подобной практики порождает опасения в тотальном "стукачестве" каждого на каждого. Но этой крайности, на мой взгляд, достаточно легко избежать, в то время как сбор информации, необходимой для предотвращения инцидентов, выйдет на качественно новый уровень.
Так вот, как избежать "стукачества". Всё предельно просто: надо только ввести наказание за ложные сообщения и лимитировать количество сообщений на сотрудника в определенном интервале времени (в неделю, в месяц...). Тогда те, кто стараются свести личные счеты, используя возможность сообщить о потенциально опасном поведении другого сотрудника, будут сами поставлены не в самое выгодное положение.
В то же время, благодаря тому, что сотрудники сами станут глазами и ушами компании, дополнив работающую в ней DLP-систему, которая, к сожалению, далеко не всегда может отобразить то, что уже готовится, а не то, что уже случилось. Поэтому возможность "ябедничества" и "стукачества" среди сотрудников, которая, как я показал выше, пресекается очень простыми способами, - это не такая уж и высокая цена за возможность  сбора информации, необходимой для отдела информационной безопасности.
В общем и целом, можно сказать, что организации недостаточно внимательно относятся к тому, что могут сделать для обеспечения ИБ все сотрудники, излишне полагаясь на отдел ИБ и технические средства. Но, будем надеяться, со временем эта ситуация изменится в лучшую сторону.
Р. Идов,
аналитик компании SearchInform

24 октября 2012

ИБ: немного о рынке труда

Возможно, тема покажется вам не такой уж и животрепещущей, но, думаю, когда кто-нибудь сталкивается с вопросами поиска нового сотрудника в ИБ-отдел, то проблема встает перед ним во весь свой немалый рост. В общем-то, эта же проблема достаточно характерна и для многих других прямо или косвенно связанных с информационными технологиями отраслей, но раз уж мы работаем в ИБ, то и говорить будем именно об ИБ.
Проблема имеет две, если можно так выразиться, ипостаси. С одной стороны, конечно, больше всего не хватает ни кого-нибудь, а безопасников высокой квалификации, причем не важно, говорим мы о банковской безопасности или о промышленности или о других сферах. Вторая сторона медали - это то, что ощущается довольно-таки острая нехватка ИБ-специалистов среднего уровня. Это вряд ли было бы проблемой, если бы из-за этого многим профессионалам экстра-класса не приходилось заниматься рутиной.
Вместе с тем, рынок ИБ очень привлекателен для того, кто хочет выстроить свою карьеру и пройти профессиональный путь строго вверх, а не по горизонтали.  Как я уже когда-то писал для одного HR-портала, рынок ИБ дает сегодня возможность быстрого карьерного роста практически любым специалистам, поскольку большая часть компаний, работающая на этом рынке, растет достаточно быстрыми темпами и постоянно открывают новые направления, представительства и филиалы, которым нужны руководители. Расти можно даже быстрее, чем в среднем по ИТ, что уже говорить о других, более медлительных профессиональных сферах?
То есть, я думаю, в обозримом будущем (лет пять-семь) острый кадровый голов в ИБ уже пройдет, и можно будет с уверенностью говорить о том, что профессиональных безопасников в России стало заметно больше. Не нужно бояться того, что вы станете из-за этого менее востребованы - рынок расширяется, поэтому будет происходить естественный переход теперешних практиков от ИБ на сугубо руководящие должности, что, впрочем, бывает везде и всегда.
Р. Идов,
ведущий аналитик компании SearchInform

18 октября 2012

Новый законопроект Центробанка вызвал бурное обсуждение и критику в сфере информационной безопасности

В целом, идея проекта заключается в том, чтобы значительно ужесточить условия идентификации банковских клиентов: каждая организация либо же физическое лицо должны будут заранее – во время заполнения анкеты на открытие банковского счета – указывать IP-адрес, с которого они собираются заходить в интернет-банк.  Помимо этого, потребуется сообщить также MAC-адрес для каждого из устройств, с которых будет происходить работа со счетами.
В идеале постоянная привязка к IP-адресу позволяет значительным образом снизить уровень угрозы потенциального мошенничества, данный законопроект является вполне обоснованным и справедливым.  Однако существует множество технических аспектов, которые не позволяют считать это решение абсолютно верным и эффективным.
Вопросы возникают уже на уровне самых простых понятий. IP-адреса могут быть как постоянными (для одного компьютера, либо же домашней или корпоративной сети), так и динамическими – то есть, регулярно изменяющимися. Из этого следует, что если для работы с интернет-банком вы используете  не стационарный компьютер, а смартфон, планшет или же ноутбук, то ваш IP-адрес будет  напрямую зависеть от вашего же месторасположения: дома он может быть одним, в кафе совершенно другим, на работе третьим, а в метро ‑ четвертым.
MAC-адрес представляет собой своеобразный «автограф» сетевой карты вашего компьютера. Данный адрес во время изготовления «зашивается» в устройство, однако сегодня существует множество средств для быстрого изменения MAC-адреса. При этом оба адреса не являются секретной информацией, и при должном навыке узнать их не составляет никакого труда. При этом в каждый из конкретных моментов сочетание двух данных адресов позволяет однозначно идентифицировать подключенное к интернету устройство: IP-адрес позволяет узнать приблизительное географическое местонахождение компьютера, а MAC-адрес – какой именно компьютер подключается в данном месте.
Именно возможность однозначной идентификации пользовательского компьютера заставила Центробанк принять данное постановление, которое обязует всех клиентов интернет-банкинга оставить заранее свои электронные «отпечатки пальцев», то есть, MAC- и IP- адреса, в банке. Что должно предотвращать возможность мошенничества и несогласованного доступа к интернет-банкингу.  Банковские сервера станут пропускать запросы к интернет-банкингу лишь от тех пар адресов IP/MAC, которые входят в белые списки, то есть, однозначно принадлежат клиентам.
Однако с точки зрения рядовых пользователей подобный подход способен снизить удобство, а, следовательно, и ценность интернет-банкинга. Ведь на клиента при этом способно лечь сразу несколько дополнительных ограничений.
Во-первых, вам придется приобретать статический IP-адрес. Данная услуга осуществляется провайдерами, предоставляется по отдельному требованию и стоит определенную сумму. Что не очень удобно в случае использования счетов с небольшими сумами  денег для оплаты насущных потребностей.  При этом для мобильных устройств понадобятся отдельные адреса в сетях 4G или 3G.
Во-вторых, во время приобретения нового гаджета необходимо обращаться в банк лично. Чтобы дополнить новым MAC-адресом свою анкету.
В-третьих, о возможности использования  интернет-банка через публичные Wi-Fi-точки в аэропортах, кафе, торговых центрах и метро, можно забыть – ведь каждая из них обладает собственным  IP-адресом.
В-четвертых, вы сможете потерять доступ к интернет-банкингу во время поездок за границу. Если только вы заранее не выясните, обладают ли ваши бизнес-партнёры или отель статическим IP-адресом.
В-пятых, вы не сможете использовать компьютер кого-либо из своих друзей. Зачастую в этом возникает острая необходимость: чтобы оценить состояние своих счетов либо же провести операцию по оплате. MAC-адрес просто не пройдет проверку.
Безусловно, для кого-то это не является проблемой. Многие пользователи обладают лишь одним компьютером, который установлен дома. Однако для более динамичных людей новый закон может создавать серьёзные проблемы и неудобства.
Способы решения этой дилеммы существуют. Можно, например, ввести разграничение, которое отделит счета обычных пользователей с небольшими сумами денег от счетов для крупных денежных переводов, которые никто не станет совершать в спешке. Когда речь идёт о значительных финансовых операциях, такой уровень безопасности просто необходим, однако принудительно уравнять всех – выход не самый лучший.
Не стоит также забывать и о том дополнительном контроле со стороны банковской системы, который она получает благодаря новому законопроекту. Возможно, этот контроль также является определяющим фактором, который не позволит сделать систему защиты более дружелюбной к конечному пользователю.
Алексей Дрозд, 
заместитель PR-директора компании SearchInform

17 октября 2012

Есть чему поучиться

Пока мы обсуждаем, что нужно беречь от чужих глаз персональные данные и беречь компании от утечек информации, в цивилизованных странах борются с этими напастями рублём. И это очень, на мой взгляд, правильная тактика, потому что никто не захочет нормально работать со страной, если в ней не уважают чужое право на приватность.
К сожалению, уважать научиться что бы то ни было совсем не просто, потому что это надо воспитывать не в одном поколении граждан. А воспитательные методы, как известно, кроме пряников в виде не вполне понятной русскому человеку хорошей репутации, подразумевают еще и кнут. Вполне понятный каждому, прошу заметить. Штраф в таком случае - очень полезная воспитательная мера, потому что никаких катастрофических последствий он в себе не несёт, а деньги терять всегда, скажем прямо, не очень приятно. И в плане штрафов можно применить богатый зарубежный опыт.
Согласно новому закону жители Сингапура смогут требовать компенсацию за финансовые потери, которые они потерпели в результате нарушения правил обработки их конфиденциальных данных. Реестр National Do-Not-Call, в котором пользователи смогут отписаться от служб телемаркетинга, будет создан в 2014 году. Отметим, что в США данный реестр существует уже с 2003 года и действует с 2004 года, с тех пор абонентам мобильной связи достаточно позвонить по бесплатному мобильному номеру, и запретить службам телемаркетинга связываться с ними. Новое ведомство Personal Data Protection Commission (PDPC), которое будет создано в Сингапуре в результате действия закона , сможет в случае обнаружения нарушений в обработке персональных данных обязать организацию выплатить штраф, максимальный размер которого составляет порядка $800,000.
Согласитесь, 800 тысяч "вечнозеленых" - это не те две-три тысячи "деревянных", которые должны сейчас выплачивать под видом штрафа отечественные компании. Тут уже любой задумается о том, что данные, вообще говоря, действительно неплохо было бы немного подзащитить, чтобы потом не остаться без штанов, выплачивая штрафы. Уверен, что защищенность организаций перестала бы быть заботой исключительно безопасника, и стала бы волновать всё высшее руководство.
Р. Идов,
ведущий аналитик компании SearchInform

14 октября 2012

Черные и белые

Сегодня хочу немного поговорить о "черных" и "белых" списках (касательно, конечно же, нашей любимой тематики - ИБ), и обсудить их эффективность в нежно любимой всеми нами отрасли. О распространенности этого решения ничего говорить не буду - о ней вы и сами не меньше моего можете рассказать. А вот эффективность обсудить всё-таки хотелось бы.
Вначале о "черных" списках. Суть их применения двояка: с одной стороны, она заключается в том, что однажды попавший в них за какую-либо оплошность сотрудник лишается возможности снова эту оплошность совершить. И это работает не только в рамках одной компании или организации, а в целом во всей отрасли. То есть, человек, вынесший какие-то секретные документы из банка, больше в банках работать не сможет. С другой стороны, это черные списки, например, сайтов, к которым нельзя получать доступ с рабочего места. Ну и других подобных вещей, в зависимости от компании.
Обе эти ипостаси чрезвычайно, на мой взгляд, эффективны при борьбе практически со всеми видами информационных угроз. Человек, оказавшийся инсайдером, больше не получит доступа к каким бы то ни было корпоративным или, тем паче, государственным секретам, а вредные сайты на работе просматривать вообще чревато увольнением.
Совсем другая ситуация с "белыми" списками. Это обычно относится к руководству организации. За ними нельзя следить с помощью DLP-системы, им доступны все документы и сайты... Белые списки сайтов тоже есть, в них значатся сайты, которые заведомо не могут содержать ничего плохого (но, как правило, при неблагоприятном раскладе всё равно могут нанести вред тем или иным способом).
"Белые" списки, в отличие от "черных", вредны. Они вредны как самой идеей о том, что кто-то может быть безопасен и безвреден, так и внедрением этой идеи в неокрепшие головы тех, кто от ИБ достаточно далёк (руководства организации, к примеру). Поэтому я считаю, что при первой же возможности необходимо исключать "белые" списки из практики службы безопасности, и максимально внедрять "черные".
Р. Идов,
аналитик компании SearchInform

11 октября 2012

Как обезопасить компанию от ухода ключевых сотрудников?



Одним из условий успешной работы компании на любом рынке является кадровая безопасность, которую может серьезно подорвать уход ключевых сотрудников. Хотя действительно незаменимых людей в любой компании не так и много, ухода по-настоящему ценных кадров всё-таки лучше постараться избежать.
Компании пользуются различными способами увеличения лояльности сотрудников, стараясь удержать их у себя и не дать воспользоваться их знаниями и опытом конкурентам. Впрочем, это удается далеко не всегда. Но всегда можно вовремя узнать о том, что сотрудник готовится сменить работу: ведь поиск нового работодателя – занятие довольно длительное. И даже в тех случаях, когда предложение сотрудникам приходит от кого-то из конкурентов, можно легко узнать об этом, поскольку, как правило, уходу сотрудника в конкурирующую организацию предшествует достаточно длительная переписка с новым работодателем, содержащая обсуждение условий перехода к нему.
К счастью, компании, использующие средства контроля информационных потоков, такие, как «Контур информационной безопасности SearchInform», имеют возможность своевременно узнать о планах своих сотрудников по переходу в конкурирующие организации, и, соответственно, так же своевременно на них реагировать.
Основными мероприятиями, которые должен проводить отдел информационной безопасности для предупреждения ухода ключевых сотрудников из организации, являются отслеживание рассылки резюме сотрудником и мониторинг сообщений, содержащих в себе слова, характерные для переговоров по поводу размеров заработной платы, условий труда и тому подобных вещей.
Для отслеживания этих двух групп сообщений с помощью «Контура информационной безопасности SearchInform», целесообразно воспользоваться «поиском похожих» ‑ запатентованным алгоритмом, позволяющим использовать в качестве поискового запроса списки фраз и целые документы. В качестве запроса для обнаружения резюме нужно задать фразы, которые наиболее распространены в этом виде документов:
  • Фамилия
  • Имя
  • E-mail
  • Возраст
  • Выполняемые функции:
  • График работы:
  • Дата и место рождения
  • Деловые качества
  • Образование
  • Семейное положение
  • Специальность
  • Должность
  • Домашний адрес
  • Контактная информация
  • Мобильный телефон:
  • Опыт работы
  • Профессиональные достижения
  • Резюме
Аналогичный список можно подобрать и для отслеживания переговоров с HR-менеджерами конкурирующих компаний, если те сами «стучатся» к сотрудникам. Совместное использование этих двух видов оповещений позволит вам быть уверенным в том, что сотрудник не перейдет на работу к конкурентам неожиданно для вас.
Роман Идов,
ведущий аналитик компании SearchInform

09 октября 2012

Пару слов о Скайпе

Не так давно пришлось в очередной раз убеждать одного из руководителей одной из коммерческих структур в том, что Skype нет смысла запрещать, гораздо лучше его контролировать. По этому поводу отыскал свои старые записи на эту тему, которыми хочу сегодня поделиться здесь с вами. Может, с тех пор, как это писалось, что-то и поменялось, но не думаю, что существенно.
Среди широкого спектра решений, позиционируемых производителями как средства работы с информацией, передаваемой пользователем по протоколу Skype, преобладают аппаратные инструменты, блокирующие Skype-трафик («файрволы»). К явным недостаткам относится невозможность анализа трафика. В то же время, подавляющее большинство программных систем защиты от утечек данных (DLP), позволяющих производить анализ трафика для других протоколов, не имеют в своём арсенале средств контроля и анализа Skype-коммуникаций.

Программные средства блокировки доступа (программные «файрволы») неэффективны в случае Skype из-за архитектуры протокола, позволяющейэффективно их обходить. Регулярные обновления протокола Skype, производимые его разработчиками, позволяют программе-клиенту эффективно обходить программную защиту, предлагаемую производителями «файрволов». Существующие программные решения для блокировки Skype, являясь эффективными в вопросах блокировки трафика, не позволяют анализировать передаваемую информацию из-за шифрования и распределённой архитектуры сети Skype. Таким образом, для анализа Skype-коммуникаций эффективны только решения, перехватывающие передаваемую информацию не на сервере, а на компьютере пользователя, то есть, ещё до её шифрования клиентом Skype.
Блокировка Skype является неэффективным решением, так как исключает Skype из бизнес-коммуникаций, лишая сотрудников преимуществ использования данного средства в рабочих целях. Более перспективным является анализ Skype-трафика с помощью систем защиты от утечек данных.
 Может, вам есть что добавить к этому?
Р. Идов, 
аналитик компании SearchInform