Предсказуемо, но обязательно: новогодний пост и ТОП-5 ИБ-событий 2013

Можно было бы, конечно, соригинальничать и не писать в нашем блоге поздравления с новым годом, но, боюсь, это будет выглядеть несколько невежливо. Поэтому, как говорится, постараюсь быть кратким. Ну, а чтобы меня всё-таки прочитали, снабжу свой пост топом-5 самых главных событий в сфере ИБ, приключившихся в уходящем году.

Напомню, что это не официальный топ компании SearchInform, где я имею счастью и удовольствие работать, а лишь моё сугубо частное видение ситуации, поэтому если кто со мной в чём не согласен, на компанию бочки не катите - лучше добро пожаловать в комментарии.

Итак, вот самые важные, на мой взгляд, ИБ-события 2013-го:

1. Сноуден.  Думаю, здесь что-либо комментировать не только бессмысленно, но и вредно. Я же признателен ему за то, что весь мир благодаря ему задумался о своей информационной безопасности.
2. Утечка миллионов паролей Adobe. Такого масштаба утечки сами по себе являются грандиозными событиями, но, безусловно, эта утечка особенно интересна хотя бы уже потому, что пароли утекли зашифрованными, а благодаря статистическому анализу исследователи смогли подобрать ключ. Что показывает нам ненадежность всей системы парольной защиты.
3. Выход iPhone 5S с поддержкой биометрической аутентификации. Опять-таки, совершенно, на первый взгляд, бесполезная "игрушечная" функция стала одной их центральных в обновлении самого известного и популярного в мире смартфона, дав поводы догоняющим вроде "Самсунга" тоже заняться вопросами ИБ.
4. GPS-пуфинг. Может, новость об "уводе" корабля благодаря подмене GPS-координат и не была такой громкой, как выход "айфона", но я уверен, что это тоже начало новой эпохи для спутниковой навигации.
5. Распечатанное на 3D-принтере боевое оружие. Сегодня уже правообладатели и так недовольны массовым распространением трехмерных принтеров, а создание полноценного боевого оружия (пусть пока и несколько одноразового) ставит жирный вопрос над дальнейшим выходом этой технологии в массы.

Ну, что ж, а теперь поздравления. Желаю, чтобы в следующем году вы не попадали в сводки ИБ-инцидентов (и вообще любых неприятных инцидентов). Всех с Новым годом!

Злонамеренность инсайдеров: материальная подоплека

Что и говорить, материальная сторона в проблеме инсайдерства всегда в том или ином виде существует. Поэтому необходимо обратить внимание и на то, каким образом организация предотвращает желание своих сотрудников торговать корпоративными секретами с помощью мер материального стимулирования своих сотрудников.

Вполне понятно, что материальное стимулирование не может кардинально решить проблему, однако трудно переоценить роль этого фактора в формировании лояльности сотрудников к своему работодателю. Не стоит бояться того, что сотрудники воспримут различные финансовые поощрения как своего рода «подкуп»: сам формат рабочих отношений предполагает получение работником денежного вознаграждения от работодателя, и поэтому увеличение таких вознаграждений будет восприниматься сотрудниками адекватно.

К сожалению, не всегда в организациях есть возможность материально стимулировать своих сотрудников. Однако если финансовые трудности организации настолько масштабны, что она не может себе позволить хотя бы небольшую премию для тех сотрудников, которые работают с наиболее важной информацией, возможно стоит задуматься: а так ли вообще эта информация может быть интересна конкурентам? В таких условиях, конечно, необходимо оперативно сосредоточиться на некоторых более насущных вопросах, чем информационная безопасность.

Поэтому если ваша компания не решает материальных проблем своих хороших сотрудников (кстати, а зачем вам другие?), будьте готовы к тому, что они будут торговать вашими корпоративными тайнами, и в итоге всё кончится плохо. Ну, или, проще говоря, скупой платит дважды. Об этом нужно помнить.

Злонамеренность инсайдеров: кулуарная борьба

Достаточно часто подоплекой утечек информации из организации становятся интриги сотрудников и кулуарная борьба между ними. Особенно актуальной эта проблема является для достаточно больших по своим размерам организаций, поскольку именно в них «боевые действия» сотрудников могут развернуться не на шутку, и порождать даже столкновения целых «кланов» и подразделений в рамках организации.

Пожалуй, выявлять утечки информации, которые сделаны так, чтобы подставить кого-то из ответственных сотрудников, наиболее трудно, потому что их «авторы» старательно маскируются, и, надо сказать, что у многих это получается особенно хорошо. Свою роль в этом играет и тот факт, что службы информационной безопасности обычно, не разбираясь долго, наказывают того, чья вина лежит на поверхности, даже если тот всё отрицает и требует более тщательного расследования. С одной стороны, вполне понятно, что службам ИБ хватает других дел, кроме расследования элементарных, на первый взгляд, инцидентов. С другой стороны, всё-таки использование утечек информации в целях кулуарной борьбы – серьезная угроза для кадровой безопасности организации, потому что, как показывает практика, страдают из-за них, в первую очередь, наиболее компетентные сотрудники, с которыми таким способом борется тот, кто уступает им по опыту и профессионализму, но, тем не менее, хочет занять их место.

Что же в связи с этим делать тем, кто отвечает за информационную безопасность? К сожалению, универсального рецепта не существует, потому что приёмы кулуарной борьбы, как и её внутренние мотивы, достаточно разнообразны. Конечно, в идеале безопасник должен быть в курсе того, кому может быть выгодным подставить стоящего на хорошем счету профессионала или даже линейного руководителя, который неожиданно оказался виновным в утечке информации. Поэтому при расследовании инцидентов, в которых замешаны совершенно неожиданные люди, нужно действовать максимально осторожно и внимательно.

Злонамеренность инсайдеров: приемы социальной инженерии

Классические злонамеренные инсайдеры – действительно технически грамотные люди, поскольку для того, чтобы получить доступ к информации, имеющей значение для компании, нужно иметь представление о том, как эта информация защищается от тех работников, которые не должны её видеть. Но сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы социальной инженерии, против которых бессильны пароли и схемы контроля доступа.

Как узнать, что потенциальный злонамеренный инсайдер собирается применять приёмы социальной инженерии для «обработки» кого-либо из сотрудников? Главный признак этого – активный интерес к личным сведениям будущей жертвы, которые нужны злонамеренному инсайдеру для установления тесного контакта с нею. Сбор данных о сотрудниках не может при грамотном использовании технических средств укрыться от сотрудников отдела информационной безопасности. Также обязательно нужно обращать внимание и на поступающие от сотрудников сообщения вида «такой-то интересовался семейной жизнью такого-то», «такой-то узнавал послужной список такого-то» и т.д. Конечно, в ряде случаев этот интерес не будет связан ни с какими угрозами для информационной безопасности организации, однако если он приобретает комплексный характер, то есть видно, что кто-то собирает максимум возможных данных о другом сотруднике, есть повод взять этого «сборщика данных» под пристальный контроль.

Иногда сбор данных может и вовсе проявляться в форме внедрения злоумышленником на компьютер жертвы «кейлоггеров» и другого шпионского программного обеспечения, крадущего логины и пароли, и открывающего, таким образом, практически неограниченный доступ к любым данным этой жертвы для злонамеренного инсайдера.

Для чего инсайдеры применяют приёмы социальной инженерии и крадут идентификационные данные? Обычно они нужны им для получения доступа к интересующей их информации, хотя, например, в случае с теми же данными для идентификации пользователя на корпоративных информационных ресурсах, они сами могут стать достаточно востребованным информационным товаром, который инсайдер может продать, например, кому-либо из конкурентов.

Раз пошла такая пьянка...

Перед Новым годом все разрождаются разными прогнозами, которым, как правило, грош цена, потому что каждый говорит со своей колокольни, но из-за огромного количество прямых и обратных связей между этими колокольнями такой математический способ "дифференцировать, а потом интегрировать" дает не очень надежные результаты. И, тем не менее, раз пошла такая пьянка, я тоже не останусь в стороне от общего веселья и расскажу о своем видении нашего светлого будущего в славном 2014-м году.
Итак, первое. Инсайдеры никуда не исчезнут, а утечек информации станет ещё больше. Думаю, это аксиома, не нуждающаяся в доказательствах.
Второе. DLP-системы будут внедрены во всё большем количестве организаций, но, несмотря на это, см. выше. Почему? Потому что кроме того, что купить DLP, ею ещё нужно научиться эффективно пользоваться. У нас, кстати, есть программа обучения практике применения DLP, так что у вас есть шанс не попасть на те же грабли, что и основная часть компаний.
Третье. Само понятие приватности будет играть всё меньшую роль в жизни простого пользователя. Потому что на работе у него DLP, дома - жена, изучающая историю переписки в "Одноклассниках", а на более высоком уровне - СОРМ и PRISM. Пусть не в следующем году, но скоро мы будем понимать приватность в куда более узком смысле, чем делаем это сегодня.
Идем дальше. Четвертое. Количество всевозможных сетевых мошенничеств будет расти. И, возможно, уже в ближайшее время мы перейдем от "черных списков" к "белым спискам", как уже сделано в случае с мобильными приложениями. Теперь осталось сделать то же самое с браузерами, и... нет, безопаснее не станет, потому что даже на Google Play и AppStore встречаются малвари. Что уж тут говорить о большом интернете! В принципе, Россия может даже стать пионером в этой области.
Ну, и на закуску, пятое. Социальные сети применят тот же принцип для загружаемого пользователями контента, чтобы уменьшить количество случаев фишинга и распространения вредоносов. Ну, и правообладателей заодно порадовать, конечно.
Ну, и на закуску, раз уж у нас пятничный, да еще и предпраздничный пост - немного дурного креатива. 10 «безбашенных» способов «убить» iPhone. Если будете что-то из этого повторять - тоже обязательно залейте на Ютуб и оставьте ссылку в комментах!

Эффективное взаимодействие служб ИТ и СБ

Эффективное взаимодействие служб ИТ и СБ возможно только тогда, когда их работа друг с другом максимально формализована, и все возможные ситуации изложены в документах и инструкциях. Пусть «айтишники» и не любят инструкции, но зато СБ намного проще работать тогда, когда можно опереться в своих действиях на документы. При таком раскладе можно говорить о частичной подчиненности ИТ-отдела службе безопасности без какого-либо ущерба для выполнения им своих основных функций.

Основой всех инструкция для взаимодействия служб должна стать политика информационной безопасности организации. Это, между прочим, верно и в тех случаях, когда в организации есть специализированный отдел информационной безопасности. Каждое из подразделений, в соответствии с должностными инструкциями, должно выполнять свои функции, при этом делегируя другому подразделению только те задачи, которые находятся в его компетенции. В спорных вопросах руководители подразделений должны решать вопросы в рабочем порядке, либо же в крайних случаях прибегать к помощи более высокого руководства.

Основные задачи в сфере ИБ, решаемые каждым из отделов, должны при этом выглядеть следующим образом:

·         Служба безопасности или отдел информационной безопасности:

o   определение требований к защищаемым данным

o   классификация в соответствии с классом защиты

o   разработка методик и стратегий защиты

o   осуществление контроля действий пользователей в корпоративной информационной сети и за её пределами

o   реализация разработанных методик и стратегий защиты информации

o   проведение аудита защищенности отдельных рабочих станций и всей организации

o   разработка инструкций

o   проведение инструктажа среди пользователей

o   проведение зачетов по результатам инструктажа.

·         ИТ-отдел:

o   установка необходимых программных и аппаратных решений для обеспечения информационной безопасности

o   осуществление резервного копирования данных на рабочих станциях и серверах

o   восстановление данных из резервной копии

o   управление паролями и их генерация

o   осуществление  текущего обслуживания и настройки программного и аппаратного обеспечения для обеспечения информационной безопасности.

Безусловно, это достаточно типовой перечень задач, возникающих перед подразделениями СБ и ИТ, и в конкретной организации он может быть дополнен новыми пунктами.

Но даже в том случае, когда все необходимые инструкции разработаны достаточно подробно, возникает потребность в контроле взаимодействия служб СБ и ИТ со стороны высшего руководства организации. Особенно актуален этот вопрос на первых порах, когда инструкции только вступили в силу, и подразделения приспосабливаются к ним и друг к другу.

Контроль в данном случае необходим, как принято говорить в технике, неразрушающий, то есть, руководитель не должен вмешиваться в работу отделов без острой необходимости и стараться привить им привычку решать проблемы, возникающие в процессе взаимодействия друг с другом, максимально самостоятельно.

Целесообразно (по крайней мере, на первых порах) реализовать контроль в виде еженедельных отчетов руководителей соответствующих подразделений с оценкой работы друг друга. Можно предложить «айтишникам» и «безопасникам» высказывать пожелания по внесению корректировок в работу смежного отдела, с обязательной «модерацией» этих предложений руководителями соответствующих отделов.

Если вы все задумали и реализовали правильно, то результаты не заставят себя долго ждать. Количество инцидентов в сфере информационной безопасности начнет снижаться, и при этом нагрузка на ИТ-отдел не будет всё время возрастать. Безусловно, для этого, помимо выстраивания грамотного взаимодействия отделов, придется приобрести некоторые технические средства, например, межсетевой экран, система резервного копирования,DLP-система (система защиты от утечек информации). Но без правильного разграничения сфер ответственности и обязанностей каждого из отделов, все эти системы окажутся практически совершенно бесполезными.