ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ...IV квартал 2015 12ЗАЩИТА...

IV квартал 2015

№ 12

ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ

История НЕ одного инцидентаМария Воронова

Полковника никто не ждет

Рашид Нугаев

Доктрина кибербезопасностиНаталья Касперская

Любая остромодная тема часто напоминает подростковый секс. Ну посудите сами: о ней слишком много говорят, мало кто реально это пробовал, а те немногие, кто все же попробовали, были, как правило, разочарованы, но верят, что в следующий раз получится лучше. А еще модную тему сопровождает густой шлейф маркетинговой пены и горячих споров вокруг терминов и определений. Казалось бы, какая связь между маркетингом и терминами? Самая прямая! Всегда найдутся те, кто за деньги заказчика постараются завернуть любой свой продукт в обертку терминологии модной темы, да еще и обмотать ленточкой того или иного регулятора.

Сейчас к таким темам можно смело отнести часто упо-минаемые всуе SOC и SIEM. Их популярность невольно навевает воспоминания о традициях брежневских ракетных КБ, в которых, если у тебя еще не было двух инфарктов, с тобой никто из ведущих конструкторов секретного изделия и здороваться не стал бы. А сейчас, если в твоем прайс-листе нет SOC или SIEM, никто из заказчиков даже кофе не попросит тебе принести в переговорку. Правда, про-дукта, работоспособность которого была бы подтверждена практикой, пока нет, а потому все силы уходят на борьбу за чистоту определений.

Никоим образом не хочу усомниться в важности термино-логии. При выпуске различной профессиональной, научной литературы и учебных пособий огромное значение имеет правильность используемых в них терминов и дефиниций. А, например, в юриспруденции и медицине от точности терминов зачастую зависят не только судьбы, но челове-ческие жизни. В таких областях выбор определения — дело весьма ответственное, слишком уж высока цена ошибки.

Однако вера в то, что правильные термины являются гарантией успешного решения, естественно, обманчива. Что случится, если в нашем изменчивом мире потребуется изменить определение? И как тогда подогнать под него функционал продукта? А надо ли это делать?

В современной жизни правят знания, и мы привыкли считать, что принятая нами в юности или чуть позже сверхдоза знаний позволит не только вывести продукт и создавшую его компанию в лидеры рынка, но и долгое время удерживать это лидерство. Но разве мало при-меров того, что команда отличников и медалистов так и не смогла рассказать о себе миру?

С терминологией происходит нечто подобное. Дискуссии на конференциях, в блогах и социальных сетях непрерывно взрываются спорами о том, что такое SOC или, напротив,

не-SOC, как и с чего начинается SIEM. Забавно то, что мы этот подростковый период проходили уже неоднократно. То весь мир бурлил и переливался через край, обсуждая аутсорсинг. То шли баталии, сопоставимые по масштабам с битвой при Ватерлоо, по поводу облаков. Я хорошо помню, как спикеры в самом начале своих презентаций крупно, во весь слайд, приводили «единственно верное» определение облака, авторство которого принадлежало авторитетному специалисту или целому бренду, например NIST (The National Institute of Standards and Technology). Но уже к пятому слайду все забывали «непреложное» определение, снова начинали спорить и убеждать друг друга в том, что вот это можно считать облаками, а это — ни в коем случае. И ведь убедительны были все!

В какой-то момент споры прекращались. Сначала казалось, что все просто устали, хотя единое понимание так и не появи-лось. А на деле приходил бизнес, который говорил, что ему ЭТО нужно, и он готов на инвестиции, а как оно правильно называется, ему абсолютно все равно. Мало того, ему малоинтересно даже то, дешево ЭТО или дорого, поскольку бизнес интересует другое. В первую очередь, насколько эффективен предмет обсуждения для самого бизнеса. Если эффективен, то нужные деньги, как правило, находятся. А в противном случае и говорить не о чем.

Ну а потом модные темы обрастали практикой, переставали быть модными и очень быстро набирали компетенции и опыт. Столь же быстро избавляясь от подростковых комплексов…

ОЛЕГ СЕДОВГлавный редактор журнала «!Безопасность Деловой Информации»

Горе от терминологии

СОДЕРЖАНИЕ

ИБ и бизнес...........................................................................................4 О новой доктрине замолвите слово

Новая Доктрина информационной безопасности России должна прийти на смену ныне действующему документу — версии 2000 г. Проект Доктрины вызывает ряд вопросов, на которые мы попросили ответить генерального директора компании InfoWatch Наталью Касперскую.

8 Конструкторы угроз для бизнесаБольшинство крупных компаний и государственных организаций представлены в Интернете не только сайтами-визитками, но и полноценными бизнес-приложениями. А как обстоит дело с защитой этих веб-приложений?Рустэм Хайретдинов, заместитель генерального директора ГК InfoWatch, президент ассоциации BISA

10 Их цель — продать, наша — сделать!О том, какими сегодня хотелось бы видеть партнерские отношения на рынке высоких технологий и какова взаимосвязь между конкуренцией и партнерством, рассказывает генеральный директор компании «Код безопасности» Андрей Голов.

13 Между правами, обязанностями и свободамиГодами не стихают споры между сторонниками и противниками установления жесткого контроля над информационными потоками и техническими средствами.Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»

16 Мировые утечки коммерческой тайны в первом полугодии 2015 г.

ИБ-практика......................................................................................18 Правда о коммерческой тайне

Российские законы, регулирующие вопросы коммерческой тайны (КТ), ругают за несоответствие современным реалиям. Тем не менее специалисты не только внедряют режим КТ в своих компа-ниях, но и рассказывают о личном опыте.Алексей Волков, начальник отдела эксплуатации средств защиты информации Управления по защите информации гендирекции ОАО «Северсталь», эксперт BISA

22 Ожидания от качества ИБСреди специалистов доминирует точка зрения, что в сертификации системы ИБ на соответствие стандартам качества иные плюсы, кроме получения красивого документа, увидеть сложно. Иной точки зрения придерживается Алексей Сергеев, руководителя службы ИБ компании «НЕВАДА».

24 Информационная безопасность «как искусство»На примере информационных рисков поговорим о том, как искусственный интеллект может транс-формировать бизнес-процессы риск-менеджмента.Андрей Власов, аспирант Финансового университета

28 О границах между SIEM и SOCНа SOC Forum было решено оставить терминологические споры на будущее. Вернемся к этой теме, обсу-див термины SIEM и SOC, а также возможность существования связанных с ними реалий друг без друга.Эльман Бейбутов, руководитель аутсорсинга ИБ компании Solar Security

31 Кибератаки-2015: снаружи, изнутри и сбокуРоссийские эксперты по ИБ назвали основные тенденции хакерских атак уходящего года, изучив их профили с разных точек зрения.Павел Седаков, обозреватель Forbes

35 Игра «Веселый садовник» Проверьте свои силы! Оцените, хорошо ли вы знаете российские законы, связанные с защитой коммерческой и банковской тайны.

36 В погоне за черным котомЕще недавно функционал вредоносных программ, позволяющий им «обходить» антивирусные сред-ства, был незамысловатым, поэтому антивирусы на основе сигнатурного метода неплохо с ними справлялись. С усложнением вредоносного ПО классические антивирусы начали становиться все менее эффективными. Крайне сложно искать черного кота в темной комнате, да еще и не зная, как он сейчас выглядит.Анатолий Виклов, Security Engineer компании Check Point Software Technologies

Киберкриминалистика...................................................................40 180 дней без обновлений

Эта история — хороший пример того, как пренебрежение простыми процедурами гигиены ИБ может дать точку входа для угрозы, опутавшей всю инфраструктуру банка и проникшей глубоко внутрь его ключевых процессов.Андрей Бешков, руководитель программы безопасности Microsoft в Центральной и Восточной Европе

42 История НЕ одного инцидентаВ кризисные годы количество инцидентов растет, чему способствует ряд достаточно простых и пред-сказуемых факторов. Один из них — значительное снижение лояльности к компании, в результате которого ее сотрудники решаются на то, чего раньше никогда делать не стали бы.Мария Воронова, ведущий эксперт по ИБ компании InfoWatch, эксперт BISA

Компетенции ИБ.............................................................................46 Полковника никто не ждет?

То, что человек с погонами зачастую оказывается ненужным в качестве безопасника, уже стало тенденцией. И дело, конечно, — не в том, что у всех генеральных директоров внезапно началась аллергия на бывших полковников. Просто изменилась жизнь, а с нею — и требования к таким сотрудникам.Рашид Нугаев, преподаватель УЦ «Информзащита»

50 И швец, и жнец, и на дуде игрецКаковы ключевые направления профессионального развития специалистов по ИБ? Какими ком-петенциями должны обладать ИБ-руководители, и можно ли их полностью «увязать» между собой?Александр Бондаренко, генеральный директор R-Vision

4 «!Безопасность Деловой Информации»

ИБ и бизнес

О новой доктрине замолвите словоНовая Доктрина информационной безопасности России должна прийти на смену ныне действующему документу — версии 2000 г. Проект нового документа вызывает ряд вопросов, на которые мы попросили ответить генерального директора ГК InfoWatch Наталью Касперскую.


5№12 | IV квартал 2015

!БДИ: С момента принятия версии Доктрины 2000 г. прошло 15 лет, что для современных технологий — целая вечность. Почему все эти годы почти никто о данной теме не вспоми-нал, и вдруг — такой интерес к ней на высочайшем уровне?

Н. К.: На мой взгляд, Доктрина 2000 г. — довольно хорошо проработанный и взвешенный документ, описывающий не конкретные угрозы, а некоторые общие принципы защиты государства. С этой точки зрения за 15 лет не так уж много изменилось. Бесспорно, появились новые информационные угрозы, поскольку технологии эволюционируют, но подходы к защите остались принци-пиально теми же. Я думаю, именно это было причиной того, что к пересмотру Доктрины так долго не приступали.

А вот что действительно изменилось — это внешнеполити-ческая ситуация. С середины 2000-х гг. стало все четче ощущаться противостояние России другим государствам, и примерно в то же время риторика западных СМИ начала смещаться в сторону антипропаганды России. В стратегиях кибербезопасности зарубежных стран присутствует неявная агрессия по отношению к России, поэтому новый проект Доктрины можно рассматривать и как ответную реакцию: ее основной посыл состоит в том, что Россия будет защищать свои национальные интересы во всех сферах и на любых уровнях.

!БДИ: Что принципиально новое в развитии киберугроз должно найти отражение в современной Доктрине?

Н. К.: В Доктрине 2000 г. были обозначены три укрупнен-ных варианта угроз — государству, его предприятиям, гражданам. Эти объекты, естественно, остались неиз-

менными. Однако поменялись детали, и сами угрозы вышли на принципиально новый уровень.

В отличие от 2000 г., сейчас практически 100 % докумен-тов хранятся в электронном виде, что влечет за собой потребность в дополнительных способах защиты. Кроме того, появились новые вирусы и киберугрозы, направ-ленные на государство. Первым вирусом такого типа стал знаменитый Stuxnet, обнаруженный в 2009 г., который был нацелен на ядерные объекты Ирана. Вообще говоря, угрозы становятся все более целевыми, т. е. направленными на конкретные цели. Возникла техническая возможность подвергать целевым атакам не только компьютерные сети, но и системы управления

автоматизированными процессами (АСУ ТП), которые стали гораздо более компьютеризированными. Появ-ление социальных сетей и других многочисленных Интернет-ресурсов, предназначенных для общения, делает возможным их использование для пропаганды политики какого-либо государства и организации мас-совых беспорядков на территории других стран.

Есть еще одна общая проблема старой Доктрины, о кото-рой стоит упомянуть. Мы постоянно используем термин «киберугрозы». В международную терминологию он вошел уже лет 20 назад. Однако в нашем законодательстве понятие «киберугроза» попросту отсутствует. Вместо этого используется термин «информационная безопасность», который подразумевает целостность, конфиденциальность и доступность. Однако наличие «спящего» вируса в сети не приводит к изменению информации, нарушению ее доступности или целостность. До поры до времени. Воз-никает своеобразный феномен: проблема существует, но является как бы неназванной. Это, естественно, порождает различные коллизии и, безусловно, должно быть исправлено в новом документе.

!БДИ: Во введении к Доктрине говорится, что она является основой стратегического планирования в сфере обеспечения национальной безопасности. Что это означает для професси-онального ИБ-сообщества — российского и мирового?

Н. К.: Доктрина декларирует отношение Российской Федерации к проблеме обеспечения национальной безопасности и возможные варианты реагирования на кибер- и информационные угрозы, возникающие внутри страны и направленные на нее из зарубежных

государств. Сейчас, как правило, средства и меры защиты критически важных предприятий и объектов исправно внедряются, их информационная безопас-ность как таковая обеспечивается. А вот в отношении защиты граждан и общества ИБ пока еще недостаточно эффективна, хотя это — крайне важное направление национальной безопасности.

Для российского ИБ-сообщества важно понимание текущего состояния, перспектив развития, проблем и угроз на самом верхнем уровне. В глазах же мирового ИБ-сообщества новая Доктрина — имиджевый документ, который дает представление о направлениях обеспе-чения безопасности ИТ в России. Ко всему прочему

В стратегиях кибербезопасности зарубежных стран присутствует неявная агрессия по отношению к России, поэтому новый проект Доктрины можно рассматривать и как ответную реакцию: ее основной посыл состоит в том, что Россия будет защи-щать свои национальные интересы во всех сферах и на любых уровнях.



Доктрина провозглашает необходимость реализации организационно-административных и технических мер для снижения рисков и защиты стратегически важных областей, что, в совокупности с трендом импортоза-мещения, дает возможность развития отечественных производителей и поставщиков ИБ-решений.

!БДИ: В проекте Доктрины предлагается выделить пять блоков угроз национальной безопасности России в информационной сфере: воздействие зарубежных государств с помощью ИКТ на критически важную информационную инфраструктуру; подрыв

с помощью ИКТ суверенитета и территориальной целостности, дестабилизация внутриполитической и социальной ситуаций; рост компьютерной преступности в кредитно-финансовой сфере и нарушение права на неприкосновенность частной жизни; отставание России от ведущих зарубежных стран в создании конкурентоспособных ИКТ; стремление некоторых стран использовать для получения экономических и геополитических преимуществ технологическое доминирование в глобальном информационном пространстве. Какие еще блоки проблем, на ваш взгляд, следует затронуть в этом документе?

Н. К.: На мой взгляд, имеющийся проект, к сожалению, серьезно не проработан. Например, в нем не сфор-мулирована модель угроз. Эти пять блоков выбраны хаотически, и при таком подходе целые области защиты выпадают из рассмотрения. Например, почему гово-рится о росте компьютерной преступности только в кре-дитно-финансовой сфере? А как быть с преступниками, которые воруют информацию, а не деньги? Разве они не являются угрозой?

Помимо деления на блоки необходимы деление на типы угроз, их ранжирование по критичности, а также оценка вероятности наступления каждого риска. Понятно, что любая концепция ИБ всегда начинается с построения модели угроз. Данный вариант Доктрины такого не предусма-тривает, и это свидетельствует о том, что специалисты по информационной безопасности не участвовали в его разработке. Я поддерживаю идею старой Доктрины по делению угроз на три блока. С данной точки зрения ничего не поменялось принципиально: государство осталось государством, граждане — гражданами, а биз-нес — бизнесом (хотя он, естественно, развивается и видоизменяется). В проекте новой Доктрины это деление исчезло.

!БДИ: Похоже, перед профессиональным ИБ-сообществом стоит задача, которая ставит его на грань имеющихся компе-тенций. Понятно, что без взаимодействия с ИБ-сообществом и государство не способно решать задачи, связанные с киберугрозами.

Н. К.: Ну, я бы не стала рубить с плеча и говорить, что госу-дарство на это не способно. Однако задача создания Доктрины, действительно, интеллектуально крайне сложна. Сегодня обороноспособность страны, госбезопасность, экономическая безопасность, кибербезопасность

и информационная безопасность слились воедино, поэтому для комплексного обеспечения реальной защиты информационной сферы от внешних и внутренних угроз необходимо использовать соответствующие компетенции ИБ-сообщества и коммерческих компаний. Уже сейчас для решения масштабных и государственных задач в области информационной безопасности создаются рабочие группы, состоящие из ИБ-экспертов из разных отраслей. Это позволяет выработать разносторонний, комплексный подход к одной и той же угрозе, исключает «зашоренность», при которой проблема рассматривается только с одной позиции.

!БДИ: В проекте новой Доктрины отмечается, что РФ отстает от ведущих зарубежных стран в области создания ИКТ, в част-ности суперкомпьютеров и электронной компонентной базы. Из-за этого Россия становится зависимой от экспортной политики других государств. Как в этих условиях можно реа-лизовать концепцию кибербезопасности?

Н. К.: Требуется продолжать реализацию стратегии импортозамещения — несмотря на сопротивление ино-странных компаний. Нужно поддерживать и обеспечивать на законодательном уровне развитие отечественных технологий, создавать комфортные условия для научной деятельности, развивать образование — начиная со школ, пропагандировать ИТ, повышать качество образования с точки зрения компьютерных технологий. Точнее, следует говорить даже не о технологиях, а о фундаментальной базе. В Советском Союзе была хорошая математическая школа, которая служила основой для развития ИТ. К этому подходу, мне кажется, надо вернуться. Я — не фанат идеи обучения студентов узкоспециализированному программированию, поскольку к моменту окончания студентами ВУЗов технологии, которым они научились,

Доктрина провозглашает необходимость реализации организационно-администра-тивных и технических мер для снижения рисков и защиты стратегически важных областей, что, в совокупности с трендом импортозамещения, дает возможность развития отечественных производителей и поставщиков ИБ-решений.



уже устареют. Значит, учить надо базовым вещам, чтобы потом специалисты могли легко перестраиваться как на любой язык программирования, так и на создание различных алгоритмов.

Важной для импортозамещения задачей является формирование цельной экосистемы. Под экосистемой я подразумеваю такую цепочку: заказчик технологии (компания или государство) — > поставщик –> специ-алист поставщика –> ВУЗ, обучающий специалистов –> преподаватели этих ВУЗов, которые одновременно практикуют у заказчика либо поставщика. Само импор-тозамещение, на мой взгляд, не должно формироваться за счет государственных денег, а, наоборот, должно формировать рыночный спрос на продукты и приво-дить к повышению качества последних. Собственно, импортозамещение в сфере ИТ и будет способствовать повышению уровня ИБ страны, т. к. позволит резко снизить ее зависимость как от внешних поставщи-ков и их шпионских возможностей, так и от санкций с их стороны.

!БДИ: Современное киберпространство — не секретный объект, обнесенный забором. В этой среде соседствуют госу-дарственные и частные ресурсы, а значит, участие граждан в реализации Доктрины игнорировать нельзя. Как их вовлечь в общий процесс обеспечения кибербезопасности?

Н. К.: Мне кажется, здесь есть три уровня. Первый — зако-нодательный. Необходимо законодательно ограничивать вредоносные ресурсы и распространение вредоносных технологий. Собственно, их распространение должно пресекаться на втором уровне, техническом, с помо-щью ИБ-продуктов. Третий уровень — образовательный. У нас уже преподают ИБ в школах, но нужно начинать

еще раньше — с детского сада (на соответствующем уровне, естественно), продолжать в средней школе и далее развивать в высшей. Что можно, а что нельзя делать в Интернете должен знать каждый ребенок с трех лет.

Вообще вопрос просвещения граждан крайне важен. Прежде всего, нужно на понятном для всех языке пред-упреждать о возможных рисках и угрозах. Учить людей видеть и распознавать угрозы, применять актуальные технические меры защиты, повышать их иммунитет

к методам социальной инженерии и другим способам мошенничества. Недавнее социологическое исследо-вание, проведенное по инициативе государственных органов безопасности, показало потребность в такой работе самого населения — 45 % опрошенных призна-лись, что боятся мошенничества в Интернете (http://wciom.ru/index.php?id=236&uid=115363).

!БДИ: Доктрина — документ самого верхнего уровня. Какие законодательные акты должны быть подготовлены в бли-жайшее время, чтобы версия 2016 г. не повторила судьбу предыдущей? Может ли на это повлиять профессиональное ИБ/ИТ-сообщество?

Н. К.: Естественно, для того чтобы Доктрина максимально воплощалась в жизнь, она должна быть подкреплена соответствующими законами и требованиями. Однако я не являюсь специалистом в законодательстве, поэтому затруднюсь с перечислением конкретных документов. В любом случае, проект Доктрины пока еще — слишком сырой, чтоб говорить о каких-то конкретных дальнейших шагах.

!БДИ: Какое влияние может оказать реализация Доктрины на отечественный рынок ИБ?

Н. К.: Я не понимаю, что такое «реализация Доктрины». Доктрина — это свод общих правил и положений. Как его реализовать — большой вопрос. Реализо-вать можно конкретные законы. Но, конечно, мне как разработчику программных продуктов в области безопасности хотелось бы видеть рост ИБ-рынка, увеличение на нем доли отечественных разрабо-ток и компаний, а также развитие экспорта наших технологий и, тем самым, усиление влияния России

на международной арене. Собственно, последнее достигается в случае внедрения эффективной про-граммы импортозамещения. Мы создаем спрос для отечественных компаний, и у них появляется возможность зарабатывать больше. В таком слу-чае они могут инвестировать свободные средства в развитие, в частности на международных рын-ках. Поставка высоких технологий, естественно, увеличивает авторитет компании и ее влияние на мировой арене.

Сегодня обороноспособность страны, госбезопасность, экономическая безопас-ность, кибербезопасность и информационная безопасность слились воедино. Поэ-тому для комплексного обеспечения реальной защиты информационной сферы от внешних и внутренних угроз необходимо использовать соответствующие компе-тенции ИБ-сообщества и коммерческих компаний.



Через веб-приложения сегодня доступна не только информация компаний, предназначенная для распространения (как было и раньше), но и критически важная — сведения о клиентах, ценах, персональные и платежные данные. Буквально лет пять назад начальник службы ИБ нефтяной фирмы с улыбкой говорил мне: «Ну, упадет сайт нашей компании, так что, нефть перестанет по трубам течь?». А сейчас даже в полностью оффлайновой компании простой электронной закупочной площадки во время торгов может привести к проблемам с обеспечением бизнес-процессов, а нарушение онлайновых коммуникаций между территориально распределенными проектными группами — к сбою управления проектами. О предприятиях, на которых веб-приложение автоматизирует ключевой бизнес-процесс, и говорить не приходится! Интернет-банк или Интернет-магазин, не способный обслуживать клиентов, напрямую теряет деньги.

Недоступность ресурса для пользователей — не единственная угроза. Возможности похищения критически важных данных, проведения мошеннических операций, размещения на сайте запрещенных материалов или зараженных ссылок, многие другие угрозы делают защиту веб-приложений непростой задачей.

Границы ответственности

До сих пор распространена парадигма защиты веб-приложения как сложного статичного объекта. Есть

объект, надо найти в нем уязвимости, смоделировать атаки на них и блокировать. На этом подходе основано большинство систем защиты: они обращены в сторону не объекта защиты, а исключительно атакующего. Идея о том, что для более эффективного обеспечения защиты ее объект можно изменять, при таком подходе не рассматривается.

Другими словами, разработка приложения — зона ответственности одних людей, а его защита — других. Первые не мотивированы писать безопасные приложения, ведь основные критерии оценки их работы — это скорость, пропорциональная ей цена разработки и функциональность. Написав в нужные сроки нужные функции и уложившись в нужный бюджет, они сдают приложение на приемку. И только в этот момент подключаются специалисты, которые, используя методы анализа защищенности, оценивают риск запуска этого приложения в промышленную эксплуатацию.

Зачастую выявленные во время приемочного тестирования уязвимости и некорректности функционирования приложения требуют исправлений, о чем и сообщают исследователи. Однако бизнес-заказчик обычно не предполагает, что при-ложение придется перерабатывать, поскольку это приведет к увеличению сроков и бюджета разработки, а главное — к задержкам внедрения. Соответственно, отсрочится запуск, например, Интернет-магазина. Вполне возможно, что на данное приложение завязаны и другие бизнес-

Конструкторы угроз для бизнеса

Можно с уверенностью утверждать, что большинство крупных компаний и государственных организаций представлены в Интернете не только сайтами-визитками, но и полноценными бизнес-приложениями. Кто-то через веб-приложение обслуживает клиентов, кто-то проводит закупки, кто-то организует групповую работу сотрудников и партнеров… А как обстоит дело с защитой этих веб-приложений?

РУСТЭМ ХАЙРЕТДИНОВЗаместитель генерального директора ГК InfoWatch, президент ассоциации BISA



процессы — найм и обучение персонала, запуск рекламной кампании и пр. Не исключен и такой вариант, что задержка запуска веб-приложения на один-два месяца лишит смысла весь бизнес — скажем, если этот запуск был приурочен к «пиковому» сезону (рождественской распродаже, «черной пятнице», 8 марта или Олимпиаде, наконец).

В результате мнение исследователей о недостаточной защищенности веб-приложения обычно принимается к сведению, но не ведет к каким-либо действиям заказчика или разработчика. Службам информационной безопас-ности выдается список уязвимостей и ставится задача прикрыть их внешними средствами защиты.

Именно то, что приложения сначала пишутся, а потом иссле-дуются, но при этом уязвимости зачастую не исправляются, и породило печальную ситуацию: недели не проходит без резонансного взлома или DDoS-атаки на серьез-ный веб-ресурс. Отметим, все больше успешных атак осуществляется на прикладном уровне, и можно, не сильно передергивая, заявить, что разработчики и системные администраторы, настраивавшие защиту атакованных ресурсов, являются «соучастниками» таких взломов.

Противоречие неразрешимо?

Противоречие между разработчиками и исследователями при таком подходе — принципиальное и, похоже, неразрешимое. Понятно, что чем раньше будет найдена некорректность кода, тем проще и дешевле обойдется его исправление. Эксперты дают такие оценки: в среднем исправление некорректности, выявленной в процессе кодирования, стоит 100 долл., обнаруженной на этапе

тестирования — 1 тыс. долл., на этапе приемки — 10 тыс. долл, а ущерб от найденной хакерами уязвимости в действующей системе может составить миллионы. Однако большинство сканеров могут полноценно находить уязвимости только в полностью собранном приложении, запущенном в реальном окружении, поэтому исследователи безопасности и подключаются к процессу лишь тогда, когда зачастую уже слишком поздно или дорого что-то менять.

Казалось бы, внедряй SDLC (security development lifecycle), используй его и получай на выходе безопасный код! Но не стоит забывать, что такое внедрение подразумевает перестройку

самой разработки, прием дополнительных сотрудников, изменение процессов и реализующих их инструментов. К тому же лучшие практики SDLC и инструменты их реализации подготавливались преимущественно для создания тиражных продуктов и не всегда полностью применимы к внутренней веб-разработке.

Даже если приложение создается по контракту, а не внутри компании, то его заказчик — все равно один, и точно известны характеристики его инфраструктуры, трафика и нагрузки. Это сильно упрощает разработку и позволяет отказаться от процессов, рассчитанных на обеспечение безопасности тысяч пользователей ПО. Самый простой пример: для срочного закрытия найденной уязвимости «контрактный» производитель просто выпустит и переустановит билд системы с исправленным кодом, а производитель тиражируемого ПО будет вынужден создать и протестировать патчи для всех уже установленных версий.

Еще большую сложность привносит частота изменений. Бизнес-приложение отражает реалии бизнеса, требования которого могут внезапно меняться. Не исключено, что бизнесу срочно понадобятся новые процессы, связанные с его действиями на рынке, конкуренцией, экономической ситуацией или изменением требований регуляторов. Не откажешь ведь, например, отделу маркетинга, придумавшему очередную программу типа «купи продукт А — получи скидку на продукт В» для быстрого освобождения склада! Если даже веб-страница с этой программой окажется уязвимой, никто не позволит задержать ее выпуск.

Частота выпуска новых версий заказных бизнес-приложений растет с каждым годом. Еще лет пять назад бизнес-приложения обновлялись раз в несколько месяцев,

сегодня новые функции добавляются еженедельно и даже чаще. В результате процесс исследования приложения на уязвимости длится дольше, чем период изменения самого объекта рассмотрения. Ну, отдадите вы приложение для исследования в известную лабораторию и через пару месяцев получите отчет, по которому ваша программа, применявшаяся пару версий назад, имела такую-то защищенность! К актуальной версии этот отчет не будет иметь никакого отношения. Значит, нужно обновлять подход к защите приложений, и если приложения изменяются непрерывно, так же непрерывно должны проводиться исследования и изменения настроек?

Бизнес-приложение отражает реалии бизнеса, требования которого могут вне-запно меняться. Не исключено, что бизнесу срочно понадобятся новые процессы, связанные с его действиями на рынке, конкуренцией, экономической ситуацией или изменением требований регуляторов.



!БДИ: Какие, с вашей точки зрения, изменения произошли в области импортозамещения за год?

Андрей Голов: Год назад был только термин «импортоза-мещение», и практически больше ничего. Как обстоит дело сейчас?

Если называть все своими именами, можно утверж-дать, что микроэлектронику нам не создать ни за год, ни за два, ни за три. Мы научились работать и хорошо защищать государственную тайну с помощью «недо-веренного железа». И надо отдавать себе отчет в том, что если с китайцами мы можем договориться о чем угодно, то с производителями процессоров можем и не договориться. Процессорные технологии, и это необходимо четко понимать, «дислоцируются» в Аме-рике, и в любой момент кран могут закрыть. Данная проблема была уже известна год назад и осталась неизменной сейчас.

Ну а если говорить про импортозамещение в целом, то я считаю, что процесс потихоньку начался. Конечно, следует понимать, что в отношении системообразу-ющего ПО этот процесс — очень трудоемкий. На его реализацию необходимы, по самым скромным под-счетам, три-пять лет. Если какой-нибудь гений и при-думает новые операционную систему и архитектуру, то для их написания и создания все равно понадобятся тысяча-полторы программистов и порядка 10 млрд руб. Вот хоть тресни!

!БДИ: Как это сказывается на сегменте информационной безопасности?

А. Г.: Нас немного расстраивает подход государства, его отношение к рынку ИБ. Мы никак не можем найти себе место под солнцем, ну никак! Для нас как не было статьи в макроэкономике, кода бюджетной классифи-кации, так нет и поныне. Есть ИТ, есть связь, а ИБ нет. Ну а поскольку сегмент «отсутствует», то и рассчитывать на выделение ему каких-то грантов не имеет смысла. Мы предприняли попытки все-таки поднять этот вопрос в Минкомсвязи, но там вообще всю информационную безопасность воспринимают «а-ля Касперский»: мол, у вас и так все хорошо, ведь если доля российских решений в сегменте операционных систем составляет всего 5 %, то в ИБ-сегменте — более 65 %.

!БДИ: Мне кажется, что большинство проблем ИТ и ИБ связаны с бизнес-заказчиками, которые не видят в соответствующих решениях конкурентных преимуществ.

А. Г.: Мы заметили любопытную тенденцию: заказчики из госсектора стали своего рода псевдоинвесторами. Такие организации нельзя назвать инвесторами, но они заказывают специализированные продукты, и за счет этих заказов мы начинаем новые разработки. Другими словами, за появлением ряда российских продуктов стояли «первоначальные» заказчики, и не самые малень-кие. Отмечу, на зарубежном рынке все обстоит ровно так же. А дело вендора — из заказной разработки создать

Их цель — продать, наша — сделать!

В России беда — не только с терминологией. Беда — и с партнерством. Не надо далеко ходить за примерами того, как партнеры одни и те же задачи и цели трактуют каждый по-своему. О том, какими сегодня хотелось бы видеть партнерские отношения на рынке высоких технологий, какова взаимосвязь между конкуренцией и партнерством, а также о многом другом мы беседуем с генеральным директором компании «Код безопасности» Андреем Головым.


11№12 | IV квартал 2015

массовый продукт. Если конкретный заказчик выделил хороший бюджет, мы должны не просто выполнить заказ-ную разработку, а проапгрейдить наш продукт до массо-вого. Ни один банк не в состоянии такое потянуть, ведь для создания продукта нужны большие деньги, которые из чистой прибыли выделить очень тяжело.

!БДИ: Про банковские кредиты можно забыть?

А. Г.: Для вендора это — еще одна сложная проблема. «Нормальный» вендор работает через классическую партнерскую сеть, что означает отсутствие у него прямых договоров с клиентами. А если отсутствуют клиентские договоры, ты не можешь ничего принести в банк в каче-стве гарантии и взять кредит.

!БДИ: Попробуем коснуться вопроса национальной безопас-ности. Мне кажется, задача состоит не в том, чтобы «импор-тозаместить» что-то, а в том, чтобы научиться управлять той инфраструктурой, которую мы имеем.

А. Г.: «Жучки» были и будут всегда. В этом отношении вопросов нет. Вопрос состоит в том, как именно меня-ются модель угроз и парадигма. Если мы импортные «жучки» поменяем на собственные, то, видимо, изме-нится и модель угроз.

!БДИ: Очевидно, что хороший продукт должен создаваться для какой-то конкретной ниши. Как этого добиваться и с кем сотрудничать?

А. Г.: Наша стратегия такова: мы хотим создать плат-форму, на которую можно «нанизывать» функциональные

сервисы, обеспечивая централизованное управление, мониторинг и систему развертывания. А как этого добиваться… С теми же стартапами мы не придумали ничего нового, но мы категорически не хотим их поку-пать! Нам бы очень хотелось, чтобы на рынке имелись нишевые компании, разрабатывающие нишевые реше-ния. Мысль простая — у ребят не должен угасать огонь в глазах. Они должны заниматься тем, чем занимаются сейчас, и делать это лучше остальных.

Понятно, при этом нужно, чтобы они не сильно беспо-коились о том, что будут завтра есть. Если они начнут метаться из стороны в сторону, хватаясь за любую

работу, то перестанут концентрироваться на основном функционале. Главная сложность стартапов состоит в том, что у них нет клиентской базы и партнерской сети. Мы сами занимаемся созданием продукта и сами выводим его на рынок, а потому не понаслышке знаем, насколько это тяжело. У стартапов вероятность успеха близка к нулю. Какой бы умный ты ни был, тебе нужны деньги на развитие и продвижение продукта. К тому же разработка и вывод продуктов на рынок — абсолютно разные компетенции, поэтому многие стартапы гибнут. Некоторые думают, что, уехав «туда», они «там» станут кому-то интересны, но вероятность такого развития событий невысока.

В свою очередь, для нас, крупного вендора, «схантить» команду, забрать ее к себе, кормить, воспитывать, вкладываться в ее продукт — все это слишком дорого, долго и рискованно. И риск состоит даже не в том, что команда может разбежаться. Гораздо худшая угроза — ее потенциал может быть поглощен в прямом смысле слова. Смотрите, как у нас построена работа: мы корпим над каким-то продуктом, но прибегает заказчик и говорит: «Ребята, нужна SSL. Всем все бросить и заниматься ею!». Именно так и бывает. И вот уже талантливые ребята растворяются в команде, занимаясь SSL и прочими сиюминутными задачами. И они ходят по коридору гордые, как птицы, а ведь еще ничего не создали и не продали.

Вот потому-то обязательно должны быть нишевые компа-нии, которым мы в состоянии помочь выйти на рынок. Наша задача простая — добиться того, чтобы они были рядом с нами. И если они создают продукт, который мы

можем встроить в свой и продать, мы готовы разделить прибыль с ними.

!БДИ: Но ведь их могут точно так же «схантить» и другие вендоры?

А. Г.: Да ради бога! Мы ведь не просто берем их продукт, вставляем соответствующую позицию в свой прайс-лист и начинаем продавать. Нет! Мы его интегрируем в свою систему мониторинга и систему управления. А это — целый бизнес, целая история. Необходимо не просто софт написать, а еще и его совершенствовать, поддерживать, осущест-влять интеграцию, вести третью линию поддержки и т. п.

Для крупного вендора, «схантить» команду, забрать ее к себе, кормить, воспитывать, вкладываться в ее продукт — все это слишком дорого, долго и рискованно. И риск состоит даже не в том, что команда может разбежаться. Гораздо худшая угроза — ее потенциал может быть поглощен в прямом смысле слова.



Как бы то ни было, в нашей стране интересные техно-логии и команды есть, и мы за ними охотимся. Задача вендора — вовремя объяснить им, что продукт совершен-ствуется только тогда, когда им начинают пользоваться как можно больше людей.

!БДИ: Как, на ваш взгляд, в свете импортозамещения выглядит нынешняя конкуренция на внутреннем рынке? И какой ее хотелось бы видеть? Мне кажется, она должна быть одним из типов партнерства, объединением компетенций на вну-треннем рынке для решения какой-то задачи.

А. Г.: Абсолютно верно! Хороший пример — возможность нашего объединения с теми, кто занимаются поиском и анализом уязвимостей. Или возьмите тот же бизнес SOC. Из чего он рождается? Из детекторов атак. Я не открою большую тайну, если скажу, что тут важны две характери-стики: качество обнаружения и «глубоко инженерные» вещи, связанные с пропускной способностью, балансировкой и всем остальным. Для решения задачи необходимо уметь обрабатывать гигантский трафик, а это — особый бизнес и особые компетенции, к которым нужно идти много лет (нанять пятерых «линуксоидов» явно недостаточно). А мы умеем это делать с точки зрения сетевых технологий, и в случае нашего объединения всем была бы только польза, партнерство оказалось бы взаимовыгодным.

!БДИ: Так что мешает это сделать? Может быть, национальная особенность страны, в которой плохо играют в командные виды спорта?

А. Г.: Именно так! Все почему-то видят друг в друге исклю-чительно конкурентов, хотя непонятно, как мы можем быть соперниками, действуя на разных уровнях, имея компетенции в разных областях. Если мы торгуем «желе-зом» на десятки миллионов долларов, то, естественно, мы несколько компетентнее других компаний именно в данной области. А кто-то занимается глубоким анализом, которым мы заниматься не хотим, ибо это — отдельная сфера, в поддержку которой надо вкладываться тоже отдельно. Так почему бы не организовать аутсорсинг? Вот как раз это и есть кооперация!

!БДИ: Я вообще считаю управление партнерскими отноше-ниями важнейшей задачей XXI века. Ты не распыляешься в разные стороны, а фокусируешься на своих компетен-циях и добиваешься результата быстрее и лучше, чем те, кто пытаются заниматься всем самостоятельно. И если вы научитесь общаться по-партнерски в рамках российского рынка, то для вас исчезнут любые границы.

А. Г.: Мы сейчас находимся непосредственно перед шагом «туда». При разработке новых решений мы корректиро-вали в июне свою продуктовую стратегию, изначально

не ограничиваясь ориентацией лишь на отечественный рынок. И мы намерены все-таки создавать софт, вос-требованный не только в России, но и за рубежом.

!БДИ: Я верю, что санкции рано или поздно закончатся. А с чем мы выйдем из этих санкций, в каком виде и с какими компетенциями окажемся на рынке, на котором будут отме-нены ограничения?

А. Г.: Чиновнику необходимы в качестве результатов работы качество и скорость, а что будет потом, после него, — не так уж интересно. Потому-то и проводились закупки зарубежных продуктов с их проверенным качеством и возможностями быстрого внедрения. Не было стимула вкладываться в собственное произ-водство, и мы получили то, что должны были получить. Если не создавать свою ИТ-индустрию, нам не выйти из этого тупика. А ведь ИТ-индустрия высокомаржи-нальна, как и весь ИТ-бизнес, поскольку капитальных затрат требуется не так уж много, станки или вышки-качалки не используются, и нужны только затраты на людей и аренду помещений. При этом программисты у нас — талантливые, лучше индусов…

!БДИ: Вот тут, я, пожалуй, не соглашусь. В любой точке мира «на коленке» могут сделать и черта лысого…

А. Г.: Верно, и наши могут! Но основная проблема России состоит в том, что мы не умеем коммерциализировать свои разработки. Так было во все времена — от Ломо-носова до Вайнштейна. Ну не умеем мы этого делать, хоть тресни, несмотря на то, что изобретать очень даже умеем! С точки зрения организации продаж и маркетинга американцы гораздо сильнее нас. У них это — в крови, у них экономика на этом построена, их цель — продать. А наша цель — сделать!

!БДИ: Что еще влияет на сегодняшнее формирование рынка ИБ?

А. Г.: Думаю, то, что меняется отношение к инфор-мационной безопасности. Люди наконец-то начали понимать, что это важно, а главное — инициатива исходит от руководства страны. Все-таки доктрина ИБ обновляется нечасто! Если раньше мы были «довеском» к ИТ-проектам, то сейчас все быстро меняется. Теперь десять процентов бюджета тратится на безопасность, а на отдельные области, такие как сигнализация, средства активной и пассивной безопасности, уходит еще больше. Как только мы окончательно поймем, что информация не менее важна, финансирование пойдет и в данном направлении. Только желательно, чтобы это происхо-дило не «поинцедентно». А русский менталитет таков, что мы начинаем чем-то заниматься лишь тогда, когда это касается лично нас.


13№12 | IV квартал 2015

«А на фига?»

С момента появления в Гражданском кодексе РФ ст. 139, определявшей коммерческую тайну (сегодня эта статья утратила силу), а особенно после принятия в 2004 г. специального закона № 98-ФЗ «О коммерческой тайне» в профессиональной среде не утихают споры, суть которых чаще всего сводится к вопросу черного ворона из поэмы А. Вознесенского: «А на фига?». Пессимисты справедливо указывают, что меры защиты секретов, предлагаемые законом, безнадежно устарели и как-то уж очень подозрительно напоминают рекомендации режимщика-пенсионера из 1-го отдела. Все эти грифы, ознакомления под роспись с разработанными не для бизнеса, а для его защиты нормативными актами, учеты осведомленности и прочие посыпанные нафталином меры, извлекаемые из опыта прошлого, а то и позапрошлого века, вызывают оторопь и неприятие у современного бизнесмена.

Требование закона об обязательности установления контроля над соблюдением порядка обращения с информацией, составляющей коммерческую тайну, ситуацию только усугубляет. В организации, задумавшейся о вводе режима коммерческой тайны, тут же находятся доморощенные

«правозащитники», громогласно цитирующие нормы Конституции о неприкосновенности частной жизни, праве на личные секреты, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообще-ний, которая может быть нарушена только по решению суда. Правда, эти блюстители privacy очень не любят, когда кто-то вспоминает другую норму основного закона: осуществление прав и свобод гражданина не должно нарушать права и свободы других лиц.

Специально для любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решение одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ суд считает несостоятельной, поскольку информация была извлечена из компьютера, установленного на рабочем месте истца и используемого для осуществления трудовой функции».

С о б с т в е н н о , н а э т о м т е м у правомерности контроля можно было бы закрыть, но на всякий случай — еще два аргумента. Во-первых, в Уголовном кодексе есть ст. 138.1 «Незаконный оборот специальных технических средств, предназна-ченных для негласного получения информации». И мне не доводилось слышать, что по ней привлекали

производителей или продавцов DLP-систем. Тех, кто заказали в Китае ручки или часы со встроенными камерой и микрофоном, — пожалуйста, а вот производителей средств контроля над доступом к информации — ни разу.

В о - в т о р ы х , н е р е д к о м о ж н о от кого-нибудь услышать, что, мол, недавно работодателя привлекли к ответственности за нарушение тайны переписки, но я ни разу не получил конкретного ответа на просьбу дать

Между правами, обязанностями и свободамиЗадайте себе тривиальный вопрос, есть ли в вашей организации коммерческие секреты, и ответ на него неизбежно окажется столь же тривиальным. Но вот на вопрос, что же с этими секретами делать, простого ответа нет. И годами не стихают споры между сторонниками и противниками установления жесткого контроля над информационными потоками и техническими средствами.

МИХАИЛ ЕМЕЛЬЯННИКОВУправляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»



ссылку на такое решение суда. Зато более чем достаточно решений, которые основаны на предоставленных работодателем доказательствах «слива» информации, полученных его айтишниками или безопасниками путем анализа, например, электронной почты.

Вот — цитата из определения суда кассационной инстанции 2014 г., оценивавшего возможность рассмотрения жалобы на апелляционное решение , по которому было признано правомерным увольнение работника за разглашение секретов. «К генеральному директору поступила служебная записка директора

Департамента информационных технологий, из которой следует, что в ходе проведения контрольной проверки использования корпоративной почтовой системы сотрудниками компании был установлен факт отправки пакета документов на внешние адреса электронной почты, не принадлежащие

компании». Суд эту докладную, как и остальные предоставленные ответчиком материалы, рассмотрел, увольнение признал законным и жалобу не принял.

Или — еще одно решение как контрдовод тем, кто считают, что собрать доказательства неправомерных

действий сотрудника работодатель не может: «Комиссия во исполнение приказа генерального директора провела проверку на предмет нарушения коммерческой тайны и установила, что ХХХ имела доступ к служебной информации, охраняемой режимом коммерческой тайны,

и допускала нарушения этого режима: с использованием персонального компьютера она переписала на личную флэш-карту 57 файлов, содержа-щих конфиденциальную информа-цию, и передала по электронной почте третьим лицам сведения о планируемых у заказчика объемах работ и их стоимости».

В организации, задумавшейся о вводе режима коммерческой тайны, тут же нахо-дятся доморощенные «правозащитники», громогласно цитирующие нормы Консти-туции о неприкосновенности частной жизни, праве на личные секреты, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, которая может быть нарушена только по решению суда.


15№12 | IV квартал 2015

Что тут думать, трясти надо!

В конечном счете, устанавливая режим коммерческой тайны, обладатель охраноспособной информации решает несколько задач. Он создает правила работы, четко свидетельствующие о недопустимости использования определенной информации вне установленных процедур, контролирует выполнение

этих правил и повышает общую дисциплину документооборота, наконец, создает условия для привлечения виновных в нарушении правил к ответственности — дисциплинарной, уголовной, гражданско-правовой.

Цитата из судебного решения — для тех, кто считают бесперспективным сбор доказательств вины сотрудника за разглашение коммерческой тайны, объективных и субъективных фактов дисциплинарного нарушения с целью увольнения этого работника. «Довод апелляционной жалобы истца о том, что судом не установлено наличие либо отсутствие ущерба, причиненного ответчику в результате действий истца, несостоятелен, поскольку не имеет правового значения и не может повлечь отмену вынесенного по делу решения».

В некоторых случаях даже наличие или отсутствие грифа секретности на документе не является решающим ф а к т о р о м д л я п р и в л е ч е н и я «разгласителя» к ответственности. Гораздо важнее, как определены права и обязанности участников правоотношений, связанных с коммерческими секретами.

Случаев привлечения к уголовной ответственности по ст. 183 — очень много: с реальными и условными сроками, большими и маленькими

штрафами… Статья работает, если обладатель информации, составляющей коммерческую тайну, действительно заботится о ее сохранности, если его сотрудники и контрагенты знают о возможных последствиях разглашения, «слива» или неправомерного использования тайны.

Ну а теперь вернемся к вопросу, упомянутому в начале статьи: «Есть ли

в вашей организации секреты?». Чаще всего на него дает ответ договор с контрагентом, гласящий примерно следующее: «Все сведения о деятельности сторон, полученные ими при заключении, изменении, исполнении и расторжении договора, а также сведения, вытекающие из содержания договора, являются коммерческой тайной и не подлежат разглашению третьим лицам в течение срока действия договора и … лет после его окончания». Но без режима коммерческой тайны и предусмотренных законом мер охраны конфиденциальности эти слова ничего не значат.

Вот что решил арбитражный суд, рассмотрев иск о неисполнении условий договора и разглашении цен продажи: «В отношении сведений о порядке расчетов за услуги по передаче электроэнергии стороны договора перечень информации, составляющей коммерческую тайну, не определяли, порядок обращения с данной информацией и контроль над его соблюдением не установлен, учет лиц, получивших допуск к конфиденциальной информации, не осуществлялся, текст договора не содержит грифа «Коммерческая тайна» с указанием обладателя такой информации». В результате суды первой, апелляционной и надзорной инстанций совершенно справедливо

пришли к выводу, что передача третьим лицам информации, четко не определенной в договоре, закона не нарушает, и в возмещении убытков истцу отказали.

Судебная практика по делам, связанным с коммерческой тайной, в нашей стране велика и разнообразна. Ее ведут суды всех инстанций — от районных до Верховного и Конституционного. Есть достаточно четкое понимание

того, в каких случаях и почему права обладателей секретов защищаются, а в каких — нет.

Почему же не прекращаются споры о коммерческой тайне среди специалистов по ИБ? Выскажу не очень приятную для нашего сообщества мысль: в большинстве организаций, обращающихся в суды, ИБ-служб нет. Вообще. С нарушителями судятся хлебозаводы и маленькие компании, торгующие по почтовым каталогам, Интернет-провайдеры третьего уровня, Интернет-магазины и разработчики софта. Какая связь? Очень простая. Путь к режиму коммерческой тайны проходит не через службу ИБ, а через бизнес-подразделения. И пока они не осознают ценность режимных мер, коммерческая тайна в организации не появится.

А в заключение — по поводу устаревших механизмов защиты коммерческих секретов. Пока мы спорим, надо ли делать, некоторые делают. Создают новые системы и средства защиты таких секретов, о которых, как правило, не услышишь на российских конференциях. Используют новые технологии, развивают и обеспечивают бОльшую доступность известных технологий, по каким-то причинам не получивших распространения. Но об этом — как-нибудь в другой раз.

Путь к режиму коммерческой тайны проходит не через службу ИБ, а через бизнес-подразделения.

В 52,5% случ�ев к�н�л, по которому произошл� утечк� КТ, не был уст�новлен постр�д�вшей комп�нией (либо эт� информ�ци� не приводил�сь в сообщении об утечке). Среди известных к�н�лов под�вл�ющ�� дол� утечек КТ (45%) пришл�сь н� сеть.

Свыше 67% утечек КТ з�фиксиров�ны высо-котехнологичными комп�ни�ми. Не было ни одного сообщени� об утечк�х КТ из торго-вых комп�ний, � дол� фин�нсового и меди-цинского секторов ок�з�л�сь незн�читель-ной.

Получивш��с� к�ртин� утечек КТ примеч�-тельн� следующим:• то, что утечки ч�ще всего фиксируютс� по сетевому к�н�лу, � в большей ч�сти сооб-щений о них нет информ�ции о способе перед�чи т�ких д�нных, свидетельствует, скорее всего, о высоком уровне л�тентно-сти утечек КТ (они худо-бедно перехв�ты-в�ютс� в сетевом к�н�ле, но пр�ктически не регистрируютс� в других к�н�л�х перед�чи д�нных);• можно предположить, что и с р�спределе-нием утечек КТ по р�змер�м комп�ний не все однозн�чно. Скорее всего, в средних комп�ни�х т�кие утечки происход�т д�же ч�ще, чем в крупных, но ост�ютс� нез�ме-ченными из-з� сл�бости примен�емых средств з�щиты информ�ции.

Доли мировых утечек КТ в зависимости от размеров компаний Распределение утечек КТ по векторам воздействия

Распределение утечек КТ по каналам и отраслям

Внешние

злоум

ышленники – 6,5%

Внутренние

угрозы

– 93,5%

Менее 50 П

К.

Коммерческая

тайна – почти

100%

.

50–500 ПК.


тайна – м

енее 10%

,

остальное – более 9

0%.

Более 500 П

К.


тайна – 2

0%,

остальное – 8

0%.

Сотруд

ники – 77,4%

Бывшие сотруд

ники – 8,4%

Контраге

нты/п

одрядчики – 7,7%

Внешние злоум

ышленники – 6,5%

Высокие

технологи

и – 67,5%

Не определено – 52,5%

Сеть (б

раузер, c

loud) – 4

5,0%

Друго

е/не определено – 1

7,5%

Промышленност

ь

и транспорт –

10,0%

Электронная почта

– 2,5%

Банки и ф

инансы – 2,5%

Медицина – 2,5%

Распределение утечек КТ по виновникам инцидентов

МИРОВЫЕ УТЕЧКИ КТВ ПЕРВОМ ПОЛУГОДИИ 2015 г.Дол� утечек во всем мире информ�ции, сост�вл�ющей коммерческую т�йну (КТ), ср�внительно невелик�: в первом полугодии 2015 г. он� сост�вил� 5,4% общего числ� утечек. Одн�ко в списке комп�ний, постр�д�в-ших от утечек КТ, фигурируют многие известные имен�, т�кие к�к Apple, BMW, DreamWorks, FIA, Gigabyte, HBO, HTC, Kia Motors, Lenovo, LG, Microsoft, Nintendo, NVIDIA , Pratt & Whitney, PwC, Samsung, Toyota, Twitter, Yahoo и др.В р�де случ�ев утечки КТ имели призн�ки н�меренного «слив�». Т�к, публик�ции технических х�р�ктеристик новых iPhone сложно св�з�ть с происк�ми конкурентов или действи�ми недобросовестных сотрудников. Скорее всего, м�ркетологи Apple воспользов�лись проверенным способом подн�ть интерес к своей про-дукции и «поделились» д�нными с з�интересов�нной �удиторией. Ин�че обсто�ло дело с утечкой в �преле 2015 г. отчетности сервис� Twitter, котор�� привел� к п�дению �кций комп�нии, по д�нным РБК, н� 18% (20 млн долл.).

Примеч�тельно, что утечки КТ фиксиров�лись преимущественно в крупных комп�ни�х (имею-щих более 500 ПК): их дол� сост�вил� чуть менее 20% совокупного числ� утечек.

Ч�ще всего виновник�ми утечек КТ ок�зыв�лись действующие или бывшие сотрудники комп�ний. Воздействи� внешних злоумышленников обуслови-ли не более 6,5% всех утечек КТ.

Д�нные отчет� �н�литического центр� комп�нии InfoWatch комментиров�л

Сергей Х�йрук, �н�литик InfoWatch.

Доля мировых утечек КТКоммерческая тайна – 5,4%

Иное


ИБ-практика

Экономическая эффективность ИБ

Очень модная тема в последнее время. Оно и понятно: ситуация в экономике — «не очень», и бизнес требует отчета за каждую копейку. Самый популярный вопрос викторины «Защити бюджет», в которую руководители предприятий заставляют играть безопасников, таков: «Что мы получим, утвердив эти затраты?». На помощь ИБ-шнику приходят методики обоснования затрат, подкрепленные технологиями визуализации результатов. Таких методик много. Их описывают в умных книжках и статьях (например, интересные материалы бывают у Алексея Лукацкого), о них рассказывают в ВУЗах, а Дмитрий Мананников даже читает специализированный курс. Но на практике реализация всех методов зачастую сводится к следующему.

Предположим, в вашей компании есть мобильные сотрудники — те, кто выезжают «в поле» с ноутбуками.

Поскольку там нет доступа в корпоративную сеть, им приходится вбивать данные в ноутбуки, привозить их в офис, перекачивать информацию в систему предприятия, а уж потом работать с клиентами. ИБ-шник на белом коне въезжает в офис гендиректора и заявляет, что может увеличить на 200 % скорость обработки заказов, сократить время выпуска продукта и оптимизировать использование производственных мощностей. По его выкладкам, это приведет к увеличению клиентской базы на 50 % и к повышению рентабельности предприятия на 20 %. Гендиректор, едва сдерживая слезы радости, спрашивает: «Как вы этого добьетесь?». И ИБ-шник рассказывает ему про VPN стоимостью 100 тыс. долл.

Осознав, что это не бесплатно, владелец бюджета сразу теряет запал: сколь бы радужными ни были описываемые перспективы (окажутся ли они таковыми на деле — большой вопрос), деньги на проект нужно

Правда о коммерческой тайнеРоссийские законы, регулирующие вопросы коммерческой тайны (КТ), ругают за несоответствие современным реалиям. Меры, которые «работали» в 1970-е гг. (сейфы, слепки с печатями, грифы на материальных носителях), стали бесполезными. Теперь специалисты внедряют режим КТ в своих компаниях и рассказывают о личном опыте на семинарах и конференциях. Слушатели внимают и задают вопросы, но ответы порой оказываются диаметрально противоположными, а потому удовлетворения не приносят. Автор определил три наиболее актуальных вопроса о КТ и попытался сформулировать ответы на них.

АЛЕКСЕЙ ВОЛКОВНачальник отдела эксплуатации средств защиты информации Управления по защите информации генеральной дирекции ОАО «Северсталь», начальник удостоверяющего центра ОАО «Северсталь-Инфоком», эксперт BISA


19№12 | IV квартал 2015

вынуть из бизнеса прямо сейчас. Гендиректор хочет знать, нельзя ли «сделать дешевле». ИБ-шник твердит о небезопасности такого решения — дескать, враги получат удаленный доступ к системе и напакостят. Тут гендиректор вспоминает, что в компании его знакомого есть такая штука, но там сетевой провод просто выброшен из окна офиса. Мобильные сотрудники подключают к нему свои ноутбуки, и, надо сказать, пока никто не пострадал! Ну и как ИБ-шнику отвечать на такие аргументы?

Конечно, удаленный доступ — пример элементарный, а мы говорим о методах обоснования экономической эффективности проекта, нацеленного на создание режима КТ. Основная сложность состоит даже не в необходимости вложений: подобные проекты зачастую подразумевают перестройку бизнес-процессов и организационные изменения. А что получит бизнес, «подписавшийся» на столь серьезное мероприятие? Эксперты утверждают: введение режима КТ — едва ли не единственный способ защиты компании от ущерба, вызванного утечками ценной информации. Разберемся, почему они так считают.

Трудовой, гражданский и уголовный кодексы предусматривают для виновников утечек КТ разные меры наказания (от увольнения до лишения свободы), штраф до 1,5 млн руб. в пользу госказны и компенсацию причиненных бизнесу убытков. Однако компания должна доказать суду: в ней установлен режим коммерческой тайны, полностью соответствующий законодательству РФ; ей причинен ущерб, величина которого адекватно определена; лицо, причинившее ущерб, надлежащим образом ознакомлено с локальными нормативными актами (ЛНА), имело доступ к информации, составляющей коммерческую тайну (ИКТ) и умышленно нарушило свои обязательства. При этом сбор доказательств — задача нетривиальная, и некоторые из них могут быть не приняты судом к рассмотрению, а другие — оспорены защитой обвиняемого. Что же касается возмещения ущерба… Бизнесменов, выиграв-ших судебное разбирательство, заваливают деньгами лишь в американских телесериалах. Увы, в России возмещение ущерба — сплошное разочарование (хотя иногда случаются чудеса).

Но если нельзя компенсировать ущерб, для чего нужен режим КТ? Во-первых, для предотвращения утечек ИКТ, а во-вторых, для обеспечения наказания преступников (которое, к слову, является предупреждением для потенциальных злоумышленников). Подчеркнем: при наличии в компании режима КТ доказательства будут собирать и предоставлять суду правоохранительные органы, а при отсутствии такого режима бремя сбора доказательств, подтверждения их легитимности и обоснования ущерба ляжет на плечи ваших юристов, и, понятно, экономическая эффективность этого окажется куда меньшей.

Подписи и грифы

Для воплощения в жизнь ФЗ «О коммерческой тайне» установлен перечень мер, необходимых и достаточных для создания режима КТ. Желающий установить этот режим должен не только определить ИКТ и разработать ЛНА, но и реализовать две процедуры — нередко трудно-выполнимые.

Первая из них — ознакомление сотрудников, допущенных к работе с ИКТ, с перечнем такой информации, с ЛНА компании и мерами ответственности за их нарушение. Если в организации насчитывается 50 сотрудников, размещен-ных в трех кабинетах, сложностей у ИБ-шника не возникнет. Но если сотрудников — тысячи, офисов — сотни, а регионов присутствия компании — десятки, возможны серьезные проблемы. Помимо рассылки ЛНА и листов ознакомления нужно организовать их подписание, сбор, обратную пересылку, контроль над правильностью заполнения, повторную пере-сылку для корректировок, снова сбор, учет и хранение. И так — при любом внесении изменений в используемые меры или, чего доброго, в перечень ИКТ. И понятно, что длительный «переходный период» — удачное время для злоумышленника, задумавшего разгласить вашу ИКТ.

Вторая процедура, еще более сложная, — нанесение грифа «коммерческая тайна» на материальные носители ИКТ или включение его в состав реквизитов документов. Под материальными носителями подразумевается все что угодно («флешки», HDD и SSD, ПК, планшеты, смартфоны), и если какой-то из них содержит ИКТ, он должен содержать и соответствующий гриф. У ИБ-шника есть два варианта: либо выделять для обработки ИКТ отдельные носители и «огребать» от сотрудников и руководства за усложнение бизнес-процессов, либо «грифовать» все поголовно — с тем же результатом.

С документами тоже непросто. Конечно, хорошо иметь систему, которая распознает содержимое файла и при наличии в нем ИКТ автоматически проставляет гриф. Но такие системы стоят дорого и не способны полностью заменить человека. Да и специальный сотрудник, наносящий грифы, не всегда в состоянии определить, содержит ли документ ИКТ. Полноценно это сделать может лишь тот, кто его подготовил. А что если он и является злоумышленником, отправляющим конфиденциальные документы вашему конкуренту до нанесения на них грифа?

Именно такой случай произошел в одной из компаний, внедривших режим КТ. Сотрудник, занимавшийся подготовкой протоколов для тендерного комитета, перед проставлением грифа фотографировал документы на смартфон и отправлял коллеге из другого предприятия, участвовавшего в тендере. Пострадавшая компания выявила «слив» и подала судебный иск, оценив ущерб в 1,7 млн руб.



Защита обвиняемого, конечно, воспользовалась отсутствием грифа КТ на переданных «на сторону» документах. Однако компания предоставила суду копию ЛНА «Положение о режиме коммерческой тайны», в котором говорилось: нанесение грифа на документ, содержащий ИКТ, является обязательной процедурой, осуществляемой его исполнителем, и за ее невыполнение предусмотрена ответственность. Кроме того, имелся лист ознакомления сотрудника с этим ЛНА, что подтверждало наличие умысла в его действиях.

Тогда адвокат заявил об отсутствии подписи обвиняемого под документом об ознакомлении с измененным перечнем ИКТ. В ответ компания предоставила подписанное сотрудником дополнительное соглашение к трудовому договору, в котором работник и работодатель договорились, что первое ознакомление с ЛНА осуществляется под расписку, а информирование об изменениях выполняется путем рассылок по электронной почте и публикации новых версий на корпоративном портале. Кроме того, имелись доказательства наличия у сотрудника доступа к порталу и получения им письма о размещении новой версии перечня с уведомлением о прочтении.

Суд квалифицировал действия обвиняемого по ст. 183 ч. 2 УК РФ как «незаконное разглашение информации, составляющей коммерческую тайну, без согласия владельца» и приговорил его к 18 мес. исправительных работ с удержанием 10 % зарплаты в доход государства. Погодите, спросите вы, а как же возмещение ущерба? К сожалению, суд исключил из обвинения ст. 183 УК РФ: не было получено бесспорных доказательств того, что именно в результате умышленных действий сотрудника компании причинен крупный ущерб, поскольку решение о приобретении продукции принималось коллегиально тендерным комитетом.

Что ж, наказать злоумышленника — тоже большое дело. Главное — выявить его легальным способом, не нарушив право гражданина на тайну переписки, телефонных переговоров, почтовых и иных сообщений, обеспечиваемое ст. 23 Конституции. А то, неровен час, придется самому стать обвиняемым по ст. 138 УК РФ, да еще и с отягчающими обстоятельствами (использо-вание служебного положения), а это — до четырех лет лишения свободы.

Однако ч. 1 ст. 10 ФЗ «О коммерческой тайне» не просто позволяет, а ОБЯЗЫВАЕТ контролировать соблюдение порядка обращения с ИКТ. А как это делать, если бОльшая часть данных обрабатывается в информационной системе и передается по каналам связи?

Режим и Конституция

Необходимость выполнения требований режима КТ без нарушений Конституции — серьезное противоречие цифровой эпохи. ИТ, можно сказать, избаловали сотрудников и руководителей. Большинство документов обрело электронный вид, документооборот перекочевал в корпоративные сети, его объем и скорость неимоверно выросли. А поскольку теперь любой сотрудник — сам себе секретарь, то ничего не мешает ему нет-нет да и отправить с рабочего ПК электронное письмецо приятелю, открыть вкладочку с любимой соцсетью или мессенджером.

Конечно, конституционные права и свободы граждан — это святое. Вот и в ч. 6 ст. 10 закона «О коммерческой тайне» определено, что режим КТ не может быть использован в целях, противоречащих Конституции, применяться для нарушения прав других лиц. В той же Конституции есть несколько статей, так или иначе связанных с темой нашего обсуждения (ст. 23, 24, 34, 35 и 45).

Например, ст. 23 устанавливает право на неприкосновенность личной жизни, а в ст. 24 говорится, что сбор, хранение, использование и распространение информации о частной жизни человека без его согласия недопустимы. Такое «согла-сие» фигурирует в пользовательских соглашениях любого сервиса, предоставляющего частным лицам бесплатные информационные услуги.

Отметим, для выполнения служебных обязанностей исполь-зуется имущество работодателя. При этом ст. 45 устанав-ливает право каждого гражданина защищать свои права всеми способами, не запрещенными законом, а ст. 35 дает право владельцу имущества распоряжаться им по своему усмотрению. Значит, в рамках закона работодатель может запретить использование его имущества сотрудниками в личных целях и контролировать соблюдение данного правила. Проще всего — включить в трудовой договор при-мерно такие пункты: «Любые информационные ресурсы корпоративной сети и содержащаяся в них информация являются собственностью Работодателя. Средства хранения, обработки и передачи информации Работодателя, доступ к информационным ресурсам Работодателя и третьих лиц (социальные сети, средства обмена сообщениями и др.) предоставляются Работнику исключительно для выполнения им служебных обязанностей. Работник обязуется использовать их только для выполнения служебных обязанностей, дает согласие на участие в процедурах охраны ИКТ и на контроль Работодателем использования данных информационных ресурсов и технических средств».

Кроме того, эксперты рекомендуют заранее уведомлять «внешних» адресатов о введенных в компании ограничениях и процедурах. В Call-центрах автоинформатор предупреждает


21№12 | IV квартал 2015

клиента о ведении записи переговоров «для контроля над качеством». В мессенджер такое уведомление не вставишь, но можно переложить обязанности «автоинформатора» на сотрудника, включив их в трудовой договор: «Работник обязуется уведомлять сторонних участников информационного обмена о недопустимости использования ресурсов Работодателя для всех видов коммуникаций, не связанных со служебной деятельностью». Нелишним будет и добавить во все средства обмена информацией стандартные уведомления: например, «Почтовый адрес отправителя не предназначен для обмена сообщениями личного характера», «Данное сообщение может содержать информацию, являющуюся коммерческой тайной, и предназначено исключительно для людей, которым адресовано. Любое несанкционированное копирование или распространение материалов, содержащихся в данном сообщении, строго запрещено».

В судебной практике почти не встречаются иски к работодателям, посягнувшим на конституционные права сотрудников. Дело в том, что компании, внедрившие системы контроля над информационным обменом, разрабатывают грамотные ЛНА и очень осторожно применяют полученные с помощью таких систем материалы. Для передачи компромата в правоохранительные органы (только они имеют право на легальный доступ к содержимому переписки),

как правило, используется поступающая из подразделений экономической безопасности оперативная информация, транслированная в систему контроля с помощью настраиваемых правил автоматизированного анализа. В правоохранительные органы передаются выборка электронных сообщений сотрудника за определенный период и заявление о ее проверке на предмет наличия ИКТ. Затем всеми проверками фактов утечек и сбором доказательств занимается полиция.

Безрискового метода использования систем контроля над информационным обменом не существует, но многие организации все же внедряют такие системы для мониторинга обращения сотрудников с ИКТ. Одни безопасники делают это втайне, копируя трафик для последующего анализа, другие — открыто, контролируя лишь исходящие сообще-ния, третьи полностью используют возможности системы, предупреждая сотрудников о своих действиях и регулярно проводя с ними разъяснительную работу. И это — самый эффективный метод. Сотрудники должны понимать, что любой ущерб работодателя негативно скажется на них самих, а использование системы контроля приносит пользу компании, не нанося вреда ее работникам. Насколько честным и убедительным будет ИБ-шник, настолько снизятся риски, связанные с использованием систем контроля.



!БДИ: Как вы объясняете скептическое отношение коллег к стандартам качества?

Алексей Сергеев: Думаю, отношение к сертификации, прежде всего, зави-сит от зрелости самих ИБ-шников. Скепсис возникает, когда они счи-тают, что ИБ — лишь обеспечение безопасности как таковой. Но суть дела состоит совершенно в другом: ИБ должна помогать бизнесу, для чего

быть органично интегрированной в бизнес-процессы. А для этого нужен конкретный план, дорожная карта точек стыковки с бизнесом. Стандарты позво-ляют ИБ показывать бизнесу, как мы

работаем, насколько продуктивны и как, управляя своими процессами, можем встраиваться в бизнес-про-цессы компании без их нарушения. К сожалению, гораздо чаще на пред-приятиях доминирует ИБ-стратегия «все запретить» или, напротив, «все разрешить».

!БДИ: Компания «НЕВАДА» — крупный региональный игрок, действующий на рынке розничных и оптовых продаж продуктов питания и ТНП в Хабаровском крае. А как в ней относятся к сертифи-кации по ISO?

А. С.: У нас пока имеется только концепт сертификации по ISO, т. е. сертифи-ката еще нет. Сама идея — не моя, она проскальзывала в СМИ, а вот инициатива была моей, и я прописал ее в ИБ-политике в виде тех бонусов, которые ИБ может дать бизнесу. Нам надо к чему-то идти, показывая бизнесу направление движения.

Не обязательно говорить про ISO. Основная мысль — нужно деклариро-вать вовне то, что компания является

надежным партнером. В частности, ИБ может дать бизнесу преимуще-ство при заключении договоров на конкурентной основе. Обычно в таких случаях сначала играют

другими картами — цена, сроки… Когда этих аргументов становится недостаточно, вступают в действие бонусы — наличие централизованного склада с новейшей пожарной системой и удобными подъездами или доставка собственными силами со страхов-кой товара. Некоторую роль играют «исторические» данные: например, компания работает на рынке 20 лет, что свидетельствует о ее стабильности. Абсолютно уверен, что к этому списку нужно добавить еще один пункт: «Мы — надежная компания, поскольку у нас ИБ — на высшем уровне».

Компания может заявить о своей надежности, продекларировав, что ее данные надежно сохраняются, что она не перестанет работать при вирусных или хакерских атаках, что выкладки по бонусам от поставщика и прайсам останутся тайной для третьих лиц. А как можно доказать надежность ИБ? Просто заявить, что у нас все хорошо, — это смешно. Показать подписанную директором Концепцию ИБ — да, уже лучше, но кто ее будет внимательно читать, да к тому же написать можно

что угодно! Предъявить документ зарегистрированного образца (сер-тификат ISO или любой другой) — вот это уже весомый аргумент. Такого курса я и придерживаюсь.

Ожидания от качества ИБКакова польза для ИБ и бизнеса в целом от сертификации системы ИБ на соответствие стандартам качества? Среди специалистов доминирует точка зрения, что иные плюсы, кроме получения красивого сертификата, который можно кому-то показать, в этом увидеть сложно. Мы попросили поделиться своим мнением о сертификации Алексея Сергеева, руководителя службы ИБ компании «НЕВАДА».

У нас пока имеется только концепт сертификации по ISO, т. е. сертификата еще нет. Сама идея — не моя, она проскальзывала в СМИ, а вот инициатива была моей, и я прописал ее в ИБ-политике в виде тех бонусов, которые ИБ может дать бизнесу.


23№12 | IV квартал 2015

!БДИ: Как относятся коллеги и партнеры компании к вашей инициативе?

А. С.: Думаю, половина из них скажет «нам все равно», а половина — «это интересно». Порой поставщики сетуют на то, что мы не обеспечили выполне-ние определенного положения SLA, например при отключении серверов на складах не смогли осуществить отгрузку. Для нас это означает издержки, простои, лишение бонусов, да и для них задержка фур — совсем не здорово.

!БДИ: Это — скорее, изнанка партнерских отношений. А к ISO это как относится?

А. С.: Все должно работать незави-симо не только от ISO, но и ни от чего вообще. ISO — это перечень требо-ваний к менеджменту информаци-онной безопасности, а доступность сервисов — это и есть ИБ.

Почему специалисты по ИБ зачастую не видят смысла в сертификации по ISO 27001? К сожалению, поко-павшись в Интернете, я нашел не так уж много примеров прохождения такой сертификации. Думаю, все зависит от того, какой у вас бизнес. Поставщики, в основном, требуют сертификации по ISO 9001, а сер-тификацию по ISO 27001 проходят преимущественно банки, ИТ-компании и продавцы, связанные с такими компаниями и банками. Кроме того, когда организация начинает работать с крупными зарубежными поставщиками, требования к ней становятся более жесткими. Сегодня некоторые компании выдвигают чет-кие требования к дистрибьюторам: например, количество точек должно быть таким-то, сроки реализации — такими-то, необходима сертификация по ISO 9001. Но я не удивлюсь, если буквально завтра мы получим в этих

требованиях и сертификацию по ISO 27001.

В России бизнес ведется «по-разному», и далеко не все хотят, чтобы их инфор-мация распространялась вовне. Если утечки пластиковых карточек вызы-вают шумиху, то про утечки своих прайс-листов компании так громко не объявляют. А ведь это — реальная проблема, которая приводит к потерям бонусов, клиентов и поставщиков. Если такое случится с нами, пусть

даже в одной из дочерних компаний, то конкуренты смогут «перебить» наши цены, буквально на копейку снизив их по сравнению с нашим прайсом. В результате мы потеряем не только клиентов, но и поставщиков, по которым снизятся обороты. В нашем бизнесе разница цен, составляющая всего две-три копейки, приводит к потерям огромных денег.

!БДИ: Признаться, я скептически отношусь к рассуждениям о репутационных рисках — кажется, что речь идет о чем-то выдуман-ном. Ну какие могут быть репутационные риски, скажем, у РЖД? Кто-то откажется от их услуг?

А. С.: С РЖД — все верно, но, скажем, в нашем бизнесе репутационные издержки — вовсе не выдуманные. Например, мы «подцепили» вирус-шифровальщик, и он зашифровал базу 1С в одном из подразделений, где все было организовано не так, как предписывалось. В результате подразделение оказалось практически парализованным на четыре дня. А ведь при снижении уровня обслуживания, оговоренного с поставщиком, мы можем лишиться соответствующих бонусов — и это далеко не все потери. Торговые точки, с которыми мы рабо-таем, делают заказы, а наши агенты

отвечают: «Извините, мы не можем их выполнить, у нас склад встал». И партнеры вынуждены передавать заказы другим поставщикам. Значит, мы теряем еще и агентские бонусы с продаж, так как снижаются объемы поставок. Если такие случаи происходят неоднократно, компания становится менее привлекательным партнером.

!БДИ: Следует ли из сказанного, что уровень информационной безопасности должен соответствовать уровню зрелости бизнеса?

А. С.: Вне всяких сомнений!

!БДИ: А как быть в том случае, если уровень зрелости ИБ превышает уровень зрелости бизнеса? Это — путь к конфликту?

А. С.: Вовсе не обязательно. Предста-вим, что какая-то компания состоит из трех человек, один из которых неплохо разбирается в ИБ. Очевидно, что внедрение ISO 27001 в данной компании совершенно не оправ-данно. Это — уровень зрелости ИБ, не соответствующий уровню данного бизнеса. Но даже в таком случае грамотный специалист по ИБ может оценить необходимость затрат на информационную безопасность при развитии бизнеса. Компании не просто растут, а почти всегда растут лавинообразно. И через пять лет какая-то из них вдруг понимает, что у нее есть 30 магазинов, 10 торговых точек, куча серверов, доставка, склад, но нет ни одного безопасника. А отсюда — куча про-блем с утечками, из-за которых страдает бизнес. Другими словами, если уровень ИБ-зрелости в компа-нии — выше уровня зрелости самого бизнеса, то задача ИБ — брать развитие компании под контроль и встраиваться как можно раньше во все бизнес-процессы.

Сегодня некоторые компании выдвигают четкие требования к дистрибьюторам: например, количество точек должно быть таким-то, сроки реализации — такими-то, необходима сертификация по ISO 9001. Но я не удивлюсь, если буквально завтра мы получим в этих требованиях и сертификацию по ISO 27001.



Прошлое и настоящее — наши средства , только буд у щ е е — н а ш а ц е л ь . Блез Паскаль

Абстрактная живопись и… ИБ

Ценность информационной безопасности, как и предметов искусства, не всегда ясна с первого взгляда. Увидев на вер-нисаже, например, полотно Марка Ротко (рис. 1), не каждый осознает его уникальность и сумеет определить его цену, а уж тем более не каждому творчество «самого дорогого» художника-абстракциониста еще и понравится.

Общество уже не представляет сво-его существования без множества информационных систем, обеспечи-вающих автоматизацию производ-ства, управление электростанциями, полетами и т. д. Качество работы и безопасность этих систем напрямую влияют на эффективность деятель-ности предприятий и организаций, а порой — и на все общество. С учетом уровня проникновения информаци-онных систем в нашу жизнь можно утверждать, что их влияние на любые процессы стало критически важным, и обеспечение информационной без-опасности этих систем превратилось в актуальнейшую задачу.

Проблема заключается в том, что нельзя формально описать и предсказать все действия злоумышленников. Информационные системы и методы их защиты постоянно развиваются и усложняются. Но одновременно развиваются и усложняются способы и технологии «обхода» защиты, органи-зации утечек данных, злонамеренного вывода систем из строя. А значит, крайне необходимо создание эталонов оценки текущего уровня защищенности, учитывающих не только известные, но и новые уязвимости и угрозы.

Решением проблемы может стать применение в сфере ИБ методик

и технологий, накопленных в области искусственного интеллекта, которые успешно внедряются в различных сферах деятельности. Предикативная аналитика позволяет прогнозировать будущее поведение исследуемых объектов, строить предположения о векторах начинающихся атак, сво-евременно обнаруживать события с признаками АРТ или DDos.

Когнитивные технологии

Скорее всего, новым трендом и новым этапом развития ИБ станет когнитивная

Информационная безопасность «как искусство»На примере информационных рисков поговорим о том, как искусственный интеллект может трансформировать бизнес-процессы риск-менеджмента.

АНДРЕЙ ВЛАСОВАспирант Финансового университета

Рис. 1. Картина Марка Ротко в музее современного искусства «Гараж»


25№12 | IV квартал 2015

безопасность (cognitive information security — CIS). Когнитивный подход в сфере ИБ подразумевает примене-ние технологий обработки больших объемов данных и искусственного интеллекта, особенно машинного обу-чения (Machine Learning), как основы принятия решений.

В концепции «когнитивной» безопасности ключевое место занимает математика, являющаяся связующим звеном между ИБ и искусственным интеллектом. Возмож-ности, которые дают технологии машинного обучения, могут стать отдельным уровнем фронтальной защиты предприятия. Они ориентированы на выявление аномалий (действий, нехарактерных для профиля субъекта или выходящих за рамки опре-деленных политик безопасности) и про-гнозирование пока не известных угроз.

Некоторые производители, разраба-тывающие продукты с применением когнитивных технологий, проводят научные исследования и постепенно переходят, как и их заказчики, к при-менению искусственного интеллекта

для преобразования бизнес-процес-сов. И сейчас — самое подходящее время для бизнеса, чтобы рассмотреть области, пригодные для применения искусственного интеллекта, в том числе сферу управления инфор -мационными рисками в рамках бизнес-процессов предприятия.

В качестве примера возьмем про-изведения все той же абстрактной живописи. Можете ли вы опреде-лить, что изображено на картине, показанной на рис. 2, а? В каком жанре она создана? Есть ли у нее что-то общее с картиной на рис. 2, б? А вот американские ученые Бабак Салех и Ахмед Елгаммал научили нейронную сеть классифицировать произведения мирового искусства по жанрам, стилям и авторам. Созданная ими нейронная сеть глу-бокого обучения может определять художника и жанр произведения с точностью до 60 %.

Этот пример показывает, что инфор-мационные системы можно и нужно

применять в области, ранее доступной исключительно для человека, — обла-сти прогнозирования. Подчеркнем, что прогнозирование с использованием искусственного интеллекта — вовсе не «шаманство», а точная наука, основанная на строгих формализо-ванных выводах.

Взгляд в будущее

Основная причина необходимости отказа от классического подхода к оценке информационных рисков заключается в самой природе таких рисков: они существенно отлича-ются от «классических» (например, рисков имущественного страхо-вания) и имеют нематериальный характер. Существуют нелинейные зависимости множества при -чин и вероятности наступления инцидента. А это, в свою очередь, напрямую влияет на организацию работы предприятия, построение операционных процессов и обе-спечение безопасности.

Рис. 2. Картины Михаила Крунова: «Генетический код» (2002 г.) «Железный век» из серии «Цикл кальпы» (2005 г.)



Будущее ИБ — за умными системами, способными на сложную и глубокую поведенческую аналитику, на про-гнозирование нынешних и грядущих рисков и угроз. Внедрение таких систем приведет к необходимости реинжиниринга бизнес-процессов предприятий с учетом специфики

информационных рисков и возмож-ностей использования современных информационно-коммуникационных технологий.

На рис. 3 приведена альтерна-тивная схема бизнес-процесса оценки информационных рисков

с использованием функционала и с к у с с т в е н н о г о и н т е л л е к т а как информационно-коммуника-ционных технологий нового поко-ления. В таком бизнес-процессе на этапе сбора данных использу-ются следующие источники:

• логи (текстовые и бинарные) из раз-ных информационных систем, в том числе агрегаторов логов;• данные о трафике, получаемые с сетевых устройств и серверов;• данные из SIEM-систем.

Данные обрабатываются нейронной сетью глубокого обучения:

• формируются профили анализиру-емых устройств и систем;• осуществляется поиск угроз по задан-ным сигнатурам и аномалиям;• выполняется прогнозирование возможных угроз, не входящих в име-ющееся описание.

Иерархия рисков и архитектура когнитивной ИБ

Рассмотрим нелинейную иерар -хию различных видов «связанных» информационных рисков на основе ее сопоставления с иерархией чело-веческих потребностей по Абрахаму Маслоу (рис. 4). По мере развития как индивида, так и предприятия уро-вень, соответственно, их потребностей и рисков возрастает. Бизнес обращает внимание на специализированные риски, соответствующие текущему уровню его «развития».

Опытный художник, который обла-дает необходимыми инструмен-тами и расходными материалами, владеет навыками и техниками изобразительного искусства, спо-собен работать на уровне «само-реализации». А профессионал по информационной безопасности может находить быстрое объяснение сложных вещей, используя простой

Рис. 3. Схема бизнес-процесса оценки ИБ

Рис. 4. Потребности и риски


27№12 | IV квартал 2015

язык математики больших объемов данных. В этой связи нельзя не упо-мянуть очень красивый арт-проект «Искусство аналитики» (The Art Of Analytics) компании Teradata, который может заинтересовать и обывателя, и специалиста. Он выражает сложнейшие математи-ческие связи языком искусства, наглядно и просто демонстрирует, например, «финансовые фонтаны» (Funding Fountains) перемеще -ния денег или «звездные врата» (Stargate) APT-атак.

Упрощенная архитектура когни-тивной ИБ показана на рис. 5.

Рассматриваемый когнитивный аппарат позволяет формировать нелинейную систему взаимосвя-зей объектов, на основе которых с о з д а е тс я и н ф о р м а ц и о н н ы й профиль устройства (личности) и всей информационной системы предприятия. Для машины инфор-мационная система предстает как целостный «самоорганизо-ванный» организм, имеющий свои процессы и данные. Можно провести прямую аналогию с ней-ронами головного мозга, которые взаимодействуют между собой на высоких скоростях и с необъ-яснимой сингулярностью.

Общий эффект синергии и воз-действия информационных рисков на бизнес предприятия должен привести к пересмотру нынешних бизнес-процессов с учетом пони-мания нелинейных взаимосвязей и применения когнитивного подхода к риск-менеджменту. Экономический эффект практического использования искусственного интеллекта в рисках ИБ будет оценен в ближайшие несколько лет. Но для этого потре-буется провести множество сеансов тренировки машин, тюнинга моделей и процессной системной инженерии на самом верхнем уровне воплощения экспертной практики и научной мысли.

Рис. 5. Архитектура когнитивной ИБ



Что значит «O»?

Участники SOC Forum давали самые разные ответы на вопрос, что такое SOC. Некоторые определения навеки вошли в копилку афоризмов меропри-ятия и достойны упоминания: «SOC и служба ИБ — одно и то же», «SOC — это подзорная труба», «В «обертку» SOC можно завернуть что угодно, даже регуляторов сверху бантиком привязать». Особенно порадовал ответ «в SOC буква «O» — лишняя, а так все понятно».

И если с Security Center действительно все понятно, то что же означает емкая буква «О» в аббревиатуре? В широком смысле слова под Operations понимают операционную деятельность, что, в свою очередь, является «функцией, направ-ленной на непрерывное выполнение действий по производству одного и того же продукта или предоставление повторяющейся услуги». Получается, что в нашем контексте Operations — это непрерывная реализация процесса обеспечения ИБ или непрерывное сохранение состояния защищенности информационных активов. И ключевое слово здесь — «непрерывное».

Создала ли свой SOC служба ИБ, внедрившая десяток классов средств защиты информации? Выполняет ли функции SOC служба ИБ, которая по запросу рассматривает заявки и согласует/отзывает права доступа, выдает ЭЦП, прописывает правила на межсетевых экранах? Правильно ли назвать SOC-ом процесс латания дыр после очередного нанесения ущерба? Понятно, что нет.

Кстати, и для западных коллег не все очевидно с терминологией. «Специ-альная команда, обозначенная здесь как SOC, может в различных орга-низациях именоваться по-разному: CSIRT (Computer Security Incident Response Team — команда реагиро-вания на инциденты компьютерной безопасности), CIRC (Computer Incident Response Center — центр реагирования на компьютерные инциденты), CERT (Computer Emergency Response Team — команда экстренного компьютерного реагирования) или многими другими вариациями с использованием слов «сеть», «компьютерный», «кибер», «инцидент», «операционный», «защита» или «корпоративный» (C. Zimmerman. Ten Strategies of a World-Class

Cybersecurity Operations Center, 2014). Но — почувствуйте разницу: пока рос-сийское профессиональное сообще-ство рассуждает о том, что такое SOC, западные коллеги называют целые поколения SOC.

Например, аналитики Ernst&Young насчитали три поколения. Первые SOC полагались на оповещения о срабатывании известных сигнатур вирусов и вторжений, позволяя орга-низациям выявлять хорошо известные профили атак. SOC второго поколения вышли на осознание необходимости функционирования в режиме 24х7 и внедрения активных средств защиты информации для сокращения времен-ного окна между детектированием известной атаки и ее блокировкой. Третье поколение SOC дополнено про-цессами информационного обмена, аналитики трендов атак и используемого инструментария, наделено функциями поиска аномалий в больших объемах данных — все это для реализации проактивного мониторинга и защиты.

Более детальное разделение, на пять поколений, провели консультанты компании HP Security Intelligence and

О границах между SIEM и SOCВ социальных сетях и блогах не прекращаются обсуждения SOC Forum, состоявшегося в Москве в середине ноября. Модератор пленарной секции Олег Седов попросил спикеров не спорить о терминах и определениях, оставив это для дальнейших обсуждений. Хотелось бы вернуться к отложенной теме, поговорив о терминах, а точнее — о существовании SIEM без SOC и SOC без SIEM.

ЭЛЬМАН БЕЙБУТОВРуководитель аутсорсинга ИБ компании Solar Security


29№12 | IV квартал 2015

Operations Consulting (SIOC). Они про-анализировали развитие темы SOC с 1975 по 2014 гг., начиная с обосо-бления задачи регулярного рутинного просмотра журналов аудита событий ИБ и заканчивая поколением проактивных подходов к поиску еще не реализованных в отношении компании векторов атак.

SIEM есть, а SOC так и не появился

Недавно в одном из блогов была затронута интересная тема: является ли SIEM продуктом или процессом? Пре-жде всего, Security Information and Event Management (SIEM) — продукт с заложенной производителем логи-кой сбора, агрегации и фильтрации, унификации, хранения и поиска, корреляции, оповещения и реаги-рования, визуализации, разбора/расследования событий ИБ. Но вместе с продуктом пользователь обычно полу-чает описание функций и инструкции, а это — уже процессы. Для некоторых служб ИБ покупка такого продукта станет стартовой точкой в реализации SIEM-процессов, а кому-то, наоборот, потребуется гибкий SIEM-продукт, кастомизируемый под сложившиеся SIEM-процессы компании. Да, бывает, что некоторые SIEM-процессы уже есть, а SIEM-продукта еще нет.

Можно подробнее рассмотреть процессы, выстраиваемые вокруг SIEM-продукта. На этот счет есть много зарубежных рекомендаций, например предлагается разделить процессы на три группы (A. Chuvakin. SIEM analytics: Process matters more than products).

1. Базовые (опорные) процессы описывают следующие процедуры:

• сбора и настройки аудита на источ-никах событий ИБ;• оценки качества работы SIEM и его развития;• настройки контента SIEM (правил, отчетов, дэшбордов и т. п.).

2. Процессы, обеспечивающие соот-ветствие нормативным требованиям, описывают такие процедуры:

• регулярного просмотра отчетов о событиях ИБ;• реагирования на выявленные несо-ответствия нормативным требованиям

3. Процессы, которые связаны с непре-рывным мониторингом в режиме реального времени и проведением расследований (они представляют собой наибольший практический интерес), описывают следующие процедуры:

• определения очередности обработки оповещений об инци-дентах;• профилирования поведения поль-зователей и систем для отсечения ложных оповещений;• анализа приходящих извне IoC (indicators of compromise) и оценки их релевантности к инфраструктуре и источникам событий в SIEM;• реагирования на выявленные инциденты ИБ;• снижения вероятности повтор-ного появления обработанных инцидентов.



Каждая процедура содержит ряд регламентов и инструкций. Команда ИБ-консультантов может составить несколько десятков документов разных уровней, опираясь на ряд рекоменда-ций, например NIST SP 800–92 «Guide to Computer Security Log Management» и SP 800–61 R2 «Computer Security Incident Handling Guide». Однако общее направление этих документов, думаю, понятно.

Что же такое SOC?

В последние годы интеграторы и производители SIEM активно внедряли в массы представление о том, что SOC — это «SIEM-платформа

+ SIEM-процессы + персонал». Насколько корректна эта формула, не забыто ли что-то важное?

Чего удалось добиться за рубежом — так это обобщения мнений и напол-нения понятия SOC теми идеями и функциями, с которыми согласны большинство специалистов. «SOC — это централизованная корпоративная команда мониторинга безопасности, созданная в целях снижения рисков организации путем использования технологий и процессов для обнару-жения инцидентов, их локализации, анализа и снижения ущерба» (Creating an SOC, SANS, 2015). Обратите вни-мание на ключевой момент «в целях снижения рисков организации»,

свидетельствующий, во-первых, о понимании рисков, а во-вторых, о целенаправленном продвижении бизнеса в сторону их снижения.

Получается, что SOC начинается не с людей и технологий, а, пре-жде всего, с понимания миссии и верхнеуровневых задач такой деятельности в компании. Затем для строительства SOC требуется определить ключевые метрики успешности и KPI для их достижения. Отсутствие бизнес-цели при покупке SIEM превратит весь SIEM-процесс в безыдейный мониторинг, который, по статистике Solar Security, пере-станет быть интересным для 80 % компаний уже через год.

Для создания SOC могут быть исполь-зованы такие идеи:

• предотвращение киберпресту-плений, нацеленных на быстрый вывод денег из компании;• сохранение защищенности информационных активов компании в периоды слияний и поглощений;• предотвращение мошенничества со счетами клиентов и краж денег;• предотвращение компрометации критически важной клиентской инфор-мации, полученной на обработку;• выявление нарушений режима коммерческой тайны или обращения с другими видами конфиденциальной информации.

Окончательно «прочувствовать» SOC поможет перечень документов, которые, согласно «Ten Strategies of a World-Class Cybersecurity Operations Center», необходимо разработать для организации такой деятельности в компании:

• устав SOC, подписанный руково-дителем организации, — определяет

миссию и ответственность SOC;• полномочия SOC — дополняет устав SOC описанием обязательств SOC и обязывает другие департаменты компании помогать в реализации целей и задач SOC;• план развития SOC — набор понят-ных команде и внешним партнерам SOC краткосрочных и долгосрочных задач;• операционные, функциональные и системные требования к реализа-ции задач SOC;• бюджет SOC;• описание архитектуры подсистемы мониторинга и т. д.

Итак, SIEM-продукт внутри SOC — это одна из технологий автоматизации рутинных задач, связанных с обра-боткой логов. В принципе, SOC без SIEM высокоуровневых целей достигать может — вопрос состоит лишь в эффективности и зрелости применяемых методов. Однако по ста-тистике HP SIOC, которая провела более 110 аудитов 87 SOC, ни один SOC без SIEM не соответствовал даже минимальному уровню зрелости.

Наиболее полное понимание того, как должен быть организован SOC, дает отчет Ernst&Young «SOC against cybercrime». Можно утверждать, что SOC начинается с поддержки высшего руководства, определения миссии, инвестиций и выработки стратегии, продолжается набором персонала, выстраиванием мето-дологии, задействованием необ-ходимых технологий и окружения для минимизации рисков ИБ, анализа трендов и периодической отчетности, а завершается процессами непре-рывного совершенствования.

Большую часть задач SOC (прежде всего, обработку событий ИБ в SIEM, аналитику трендов атак, агрегацию информации об угрозах, расследо-вание инцидентов) можно передать на аутсорсинг MSSP-провайдеру. Но, согласитесь, сложно передать на аутсорсинг идею и миссию запуска SOC в компании, ответственность за инциденты и убытки. А об ответ-ственности MSSP-провайдера стоить поговорить отдельно в ближайшем будущем.

SIEM-мониторинг 24x7 с процессами — это еще не SOC!


31№12 | IV квартал 2015

Рост числа таргетированных атак на корпоративные ресурсы, маскировка оных под массовые, взлом компаний через их партнеров и использование уязвимостей «Интернета вещей» — вот лишь некоторые из примет 2015 г., которые отмечают эксперты. «Ломают практически всех, — уверен Владимир Кропотов, руководитель отдела монито-ринга компании Positive Technologies и автор доклада «Статистика и тренды кибератак за год». — Просто безопасники делятся на тех, кто знают, что их взломали, и тех, кто об этом даже не подозревают».

Взгляд снаружи: жертвы и методы

«Дорогой, сэр! Я — Пол Коффи, адво-кат Mr. Cергеева, который скончался

21 апреля 2003 г. вместе со всей семьей от малярии. Уже несколько месяцев я ищу кого-то из его дальних родственников, чтобы они могли унас-ледовать 10,5 млн долл.». Примерно так начинается стандартное «нигерийское» письмо, которое мошенники рассылают по электронной почте, социальным сетям и мессенджерам. Цель — заставить жертву переслать деньги, необходимые для оформления документов. Варианты наживок и действия злоумышленников могут быть разными. Иногда в придачу к наследству фигурирует прекрасная нигерийская невеста, которой не хватает денег на билет и визу; в других случаях жертву могут выманить в чужую страну, чтобы затем потребовать выкуп с род-ственников.

С развитием технологий и социальной инженерии эта старинная афера начала принимать все более изо-щренные и масштабные формы. Все чаще жертвами «нигерийских» атак становятся не частные лица, а круп-ные компании, имеющие большие объемы международных поставок. И что самое интересное, успех таких атак не зависит от уровня технической оснащенности жертвы. «Наши исследо-вания показали, что даже современное техническое оснащение не может дать стопроцентной защиты от взлома, если атака идет не напрямую, а в обход. Например, если сначала взламывают партнера атакуемой организации», — рассказывает Владимир Кропотов.

Вот — лишь несколько примеров. Некая компания договорилась с азиатскими партнерами о поставке электронных компонентов. Сделка заключена,

получатели просят выставить счет. На электронную почту компании при-ходят реквизиты для перевода денег. Правда, счет открыт в одном из евро-пейских банков, но это не вызывает подозрений. Компания отправляет деньги по указанным реквизитам, а через несколько дней возникает неловкая ситуация: поставщик спра-шивает, когда ему переведут деньги.

Схема мошенничества в данном слу-чае такова. Сначала злоумышленники получают доступ к электронной почте партнера — вероятно, с помощью фишинга. Создается фальшивый сайт, имитирующий почтовый сервис, и ничего не подозревающий пользователь вводит на нем свои логин и пароль. Их получает злоумышленник, который теперь может взять под контроль настоящий почтовый ящик жертвы и вести переписку от ее имени. Затем компании-плательщику присылают «левые» реквизиты, и через цепочку банков деньги попадают в руки мошенников. Ущерб от нескольких подобных атак в 2015 г. составил от 50 тыс. до 5 млн долл.

Известна и иная схема: вместо рек-визитов подменяется адрес поставки товара. Одна из компаний после такой подмены отгрузила сырье в порт африканской страны, после чего следы груза затерялись в глубине континента. По мнению экспертов, сама атака проводилась тоже с африканского континента — на это, в частности, указывала привязка к почте сотовых телефонов африканских операторов.

Теперь перенесемся в другую точку земного шара, в Киргизию. Там взло-

Кибератаки-2015: снаружи, изнутри и сбокуРоссийские эксперты по информационной безопасности назвали главные тенденции хакерских атак уходящего года.

ПАВЕЛ СЕДАКОВОбозреватель Forbes



мали сайт правительственного учреж-дения, причем взлом обнаружился не сразу, поскольку целенаправленная атака была замаскирована под мас-совую. Когда стали разбираться, обнаружилась интересная вещь: при заходе на этот сайт с определен-ных IP-адресов начинались активные разведывательные действия — какая ОС установлена на машине, какие ПО, антивирусы, обновления, программы и компоненты. Интерес проявлялся к IP-адресам нескольких министерств и силовых структур, а на остальные IP-адреса реакции не было.

Если раньше атаки на крупные ком-пании проводились, как правило, путем взлома рабочих станций, то в нынешнем году 30 % проанали-зированных атак были совершены на корпоративные ресурсы — серверы баз данных, почтовые серверы, вну-тренние веб-сервисы. Именно атаки на веб-сайты все чаще становятся первым шагом для проникновения в корпоративные сети.

«Сейчас большинство троянов, пред-назначенных для таргетированных атак, доставляются на компьютеры по почте, что было нехарактерно еще пару лет назад, — отмечает Вла-димир Кропотов. — Происходит обмен опытом между теми, кто занимаются массовыми преступлениями, и теми, кто организуют целевые атаки. В част-ности, используются такие продви-нутые технологии, как Watering Hole, позволяющие маскировать целевые атаки под массовые».

Достаточно уязвимой оставалась в текущем году и техника из сферы «Интернета вещей» — маршрутизаторы, видеокамеры, «умные» телевизоры, системы отопления, электрооборудова-ние. Пользователи зачастую оставляют на таких устройствах стандартные пароли, установленные производителем (например, 1111), и редко обновляют программное обеспечение, то есть продолжают жить с уязвимостями, уже давно известными хакерам. Однако страшилка о том, что хакер шпионит

за пользователем через его фитнес-браслет, пока не так уж актуальна. Более серьезными остаются атаки в ином направлении: злоумышленник получает удаленный доступ к сотням устройств и использует их для прове-дения DDoS-атак или создания сети ботнетов, оставаясь незамеченным.

«Известен пример использования для организации DDoS-атаки сете-вых хранилищ одного из западных университетов, — рассказывает Кропотов. — А недавно мы видели ботнет на сетевых видеорегистрато-рах, который занимался майнингом биткоинов. Особенность подобных атак состоит в том, что если эти устройства перезагрузить или отключить питание, следы атак будут стерты».

Взгляд изнутри: незакрытые бреши

Насколько вероятна кибератака и как именно она может произойти —

Полный контроль над инфраструктурой

Максимальная привелегия в критически важных системах

Доступ к расширенной кон-фигурации информации

Непривилегированный доступ к системам

— Следы осуществленных ранее атак

— Уровень привилегий, полученных «внешним нарушителем»

Результаты пен-тестов


33№12 | IV квартал 2015

на эти вопросы помогает ответить внешнее тестирование на проникно-вение (пен-тест), в процессе которого эксперты по безопасности имитируют возможные действия хакеров и про-веряют на практике, насколько система защищена от подобных действий. Еже-годно специалисты Positive Technologies проводят несколько десятков пен-тестов для своих клиентов — финансовых, промышленных, транспортных, телекоммуникационных и энергети-ческих компаний. В результате этих исследований появляются не только рекомендации о том, как можно закрыть уязвимости, не дожидаясь атаки, но и интересная статистика по самим уязвимостям.

Так, в 2015 г. при исследовании 16 информационных систем крупных ком-паний и государственных организаций (российских и зарубежных) были получены следующие результаты. В 44 % случаев пен-тестерам удалось получить извне полный контроль над всеми системами корпоративной структуры, а в 33 %

случаев — привилегии администратора критически важных ресурсов (баз дан-ных, электронной почта, компьютеров руководителей). В большинстве случаев (56 %) взломщики могли проникнуть в систему через известные уязвимости веб-приложений, а в 26 % случаях им было достаточно подобрать несложный словарный пароль.

Слабые пароли — одна из самых рас-пространенных уязвимостей внутренних корпоративных сетей. При этом ежегодно в каждой системе выявляются простые пароли администраторов, в том числе хре-стоматийная по беззащитности пара — логин admin и пароль password. Далее в списке самых распространенных уязвимостей следуют недостаточный уровень защиты привилегированных учетных записей, хранение важных данных в открытом виде и недостатки антивирусной защиты.

«Многие пренебрежительно относятся к классическим правилам безопас-ности, — отмечает ведущий аналитик Positive Technologies Евгений Гнедин. —

Однако практически все найденные уязвимости задолго до проведения атак могут быть исправлены элементарными способами: не использовать простые пароли, своевременно устанавливать обновления, закрывать доступ к интер-фейсам сетевых служб из внешней сети с помощью межсетевых экранов».

Прежде чем провести пен-тест, специ-алисты обычно интересуются у заказчика, какой объем ресурсов компании досту-пен извне, через Интернет. Выясняется, что немногие в состоянии объективно оценить защищенность своего периметра или хотя бы его состав. «В периметре многих компаний можно найти сер-висы, которые когда-то использовались, а потом были забыты, в том числе целые системы видеоконференц-связи, — рас-сказывает Гнедин. — А получив контроль над видеокамерой, злоумышленники получат возможность не только увидеть все происходящее в помещениях ком-пании, но и загрузить зараженный файл и всего за один шаг установить контроль над сервером».

Тривиальная

Низкая

Средняя (без использования социальной инженерии)

Средняя (с использованием социальной инженерии)

Не удалось преодолеть периметр в заданных границах работ

• 2 шага для преодоления периметра

• 3 шага для получения доступа к критически важным ресурсам

Квалификация нарушителя



Были находки и еще серьезней. Напри-мер, сканирование с помощью специ-ализированного поисковика Shodan позволило пен-тестерам без открытого взлома обнаружить в периметре одного из российских банков порядка 80 банкоматов, доступных через Интернет.

Многие ли злоумышленники могут вос-пользоваться этими возможностями? Более чем в половине случаев (58 %) атакующему было достаточно низкой квалификации для получения доступа к критически важным ресурсам. В 26 % случаев сложность доступа была сред-ней, и только в 16 % злоумышленникам не удалось проникнуть внутрь корпора-тивной сети.

Взгляд со стороны: кто стучит?

Помимо анализа инцидентов и резуль-татов тестов на проникновение было

проведено еще одно исследование: с помощью специальных «ловушек» (honeypots) фиксировалась статистика «незаказанных» сканирований, то есть чужих попыток связаться с устройствами проверяемой сети. Если в прошлом веке хакеры работали «вручную», то сейчас «простукивание» происходит автоматически, с помощью программ, которым не требуется отдых. При этом даже хакер низкой квалификации может пользоваться продвинутыми автоматизированными инструментами, к которым уже вполне применимо понятие «искусственный интеллект».

«Мы смотрели, сколько раз к нам ходят гости. Иногда они просто «стучат», чтобы определить, «кто там», иногда сканируют сеть автоматом в поисках уязвимостей, а порой сразу пытаются использовать наши устройства для DDoS-атак, — поясняет Кропотов. — Вывод получился простым: если вы оставите на Интернет-устройстве пароль по умол-

чанию, в течение дня его несколько раз взломают».

Но есть и хорошие новости. По оцен-кам экспертов, более 50 % кибератак 2015 г. не были технически изо-щренными. А использование ранее не известных уязвимостей (zero day) отмечено менее чем в 20 % атак. Получается, что в 80 % случаев у компаний-жертв была возможность отбить первую волну атаки всего лишь с помощью установки обновлений и применения других классических методов обеспечения безопасности. «Считалось, что целевые атаки — это космос, миллионы долларов вложений и серьезные zero days. Но практика показывает, что злоумышленники чаще всего идут в атаку с мини-мальными техническими и финан-совыми затратами, — резюмирует Кропотов. — Технически изощренные атаки 2015 г. можно пересчитать по пальцам».

Квалификация, подходы, статистика— Расследование атак: более 50% атак

не являлись технически изощренными

— Попытки атак, «(не)заказанные сканирования, Honeypots


35№12 | IV квартал 2015

Напомним, коммерческая тайна — это режим конфиден-циальности информации, позволяющий ее обладателю при имеющихся или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Коммерческая тайна регулируется ст. 139 ГК РФ, а также ч. 1 ст. 3 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Перечень сведений, которые не могут составлять коммерческую тайну, установлен ст. 5 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

Решит ли проблему ужесточение закона, покажет практика. А мы предлагаем читателям прямо сейчас примерить на себя мантию судьи и угадать, кто из мошенников и нелояльных сотрудников понес наказание в виде тюремного заключения, а кто отделался штрафом. Проверьте свои силы, оцените, хорошо ли вы знаете российские законы, связанные с защитой коммерческой и банковской тайны!

Варианты ответов:

Будет сидеть, я сказал! Понять, простить

• Компания решила расширить бизнес и отправила своего представителя в новый регион. Менеджер попытался купить базу данных клиентов у конкурирующей организации, которая давно и успешно работала в регионе. Продавец данных организовал встречу, и заезжий гость получил «пробник» — лист бумаги со спи-ском клиентов. Договорились, что остальное будет подготовлено к следующей встрече. Однако продавец пришел на нее не один: передавая за базу данных 40 тыс. руб., покупатель был задержан сотрудниками полиции. Местная компания, чью базу данных пытался приобрести менеджер, задолго до этих событий издала приказ с перечнем конфиденциальных данных. Суд квалифици-ровал действия покупателя как сбор коммерческой тайны путем подкупа. Подсудимый свою вину не признал.Приговор: штраф 100 тыс., амнистирован

• Механик кондитерского производства решил помочь своему руководству в конкурентной борьбе и договорился с сотрудником конкурирующего предприятия о покупке рецепта восточных сладостей и технологических инструкций. В результате сделки механик получил компакт-диск с документами и обвинение в незаконном получении сведений, составляющих коммерческую

тайну. Суд решил, что рецепты восточных сладостей относятся к коммерческой тайне, поскольку имеют коммерческую цен-ность в силу их неизвестности третьим лицам. Обвиняемый полностью признал свою вину, ходатайствовав об особом порядке рассмотрения дела.Приговор: штраф 130 тыс. руб., амнистирован

• Менеджер категорийного отдела департамента закупок подписала со своей компанией соглашение о неразглашении коммерческой тайны. Это не помешало ей скопировать из базы данных работодателя сведения о закупочных ценах, наценках, товарных остатках и передать их третьему лицу. Замдиректора компании по экономической безопасности удалось выявить утечку данных. Он сообщил об этом виновнице преступления, и последняя предложила оплатить молчание «безопасника». Примечательно, что из-за окончания срока давности действий, связанных со сбором и разглашением коммерческой тайны, суд отказал в возбуждении уголовного дела по ч.3 ст. 183 УК РФ. Однако факт подкупа без внимания не остался, и героиня истории предстала перед судом по обвинению в коммерче-ском подкупе.Приговор: лишение свободы условно, амнистирована

• Суд Петрозаводска рассмотрел дело скиммера, который с помощью специального оборудования собирал реквизиты (данные магнитной полосы) и ПИН-коды пластиковых карт жите-лей города, пользовавшихся банкоматами. Злоумышленнику удалось установить свое оборудование на четырех банкоматах, и в его руки попали данные трех пластиковых карт. Общая сумма остатков по счетам составила 81 600 руб. О хищении денежных средств в документах суда не упоминалось. Под-судимый признал свою вину, извинился перед потерпевшим и возместил ущерб.Постановление: уголовное дело прекратить за примирением сторон

0–1 правильных ответаВы — посредственный садовник. За годы практики вам так и не удалось уловить дух и букву закона. Вы слабо себе представляете, кого и за что сажать. Впрочем, все ошибаются, тренируйтесь.

2—3 правильных ответовВы — хороший садовник. Сажать — ваше призвание. Подтяните матчасть и — в сад!

4 правильных ответаВы — прекрасный садовник. Разобраться в аргумента-ции современного правосудия действительно непросто, но вам это удалось.

Игра «Веселый садовник»



Кошачья вирусология

Первый компьютерный вирус для IBM-совместимых компьютеров, назы-вавшийся Brain, появился в 1986 г. Его написали два пакистанских брата-программиста исключительно для того, чтобы наказать местных компьютерных пиратов, нелегально копировавших их ПО. Сегодня функ-ционал этого вируса кажется более чем примитивным. Он не изменял данные, не удалял и не повреждал

пользовательские и системные файлы, а лишь подменял собой загрузочный сектор дискеты. На дискетах он и путе-шествовал.

Все очень просто, правда? Тем не менее появление этого вируса ознаменовало начало совершенно нового этапа раз-вития информационных технологий. Кое-кто начал использовать такие технологии для создания саморас-пространяющегося ПО, и возникло множество вирусов. По другую сторону линии фронта оказались основатели ныне известных производителей антивирусного ПО.

Сначала с вредоносными программами боролись исключительно с помощью метода, основанного на использо-вании наборов сигнатур известных вирусов. Движок антивирусов искал последовательности в коде программы и при совпадении паттерна с тем, который хранился в антивирусной базе, бил тревогу. Сигнатурный метод используется и по сей день (набор сигнатур является стандартным компонентом любого антивирусного продукта), но очень быстро теряет эффективность.

Тем временем вирусописатели, поняв, что найдена эффективная мера противодействия их решениям, создали очередную технологию — полиморфизм. В 1990 г. появился первый известный полиморфный

вирус, Chameleon. Суть метода заключается в формировании кода вредоносной программы «на лету», уже во время исполнения, причем процедура, формирующая код, также видоизменяется при каждом заражении. Другими словами, вирус постоянно мутирует. Достаточно часто изменение кода достигается за счет добавления операторов, не меняю-щих алгоритм работы программного кода. Применение данной техноло-гии существенно снизило качество детектирования с использованием сигнатурного метода — обнаружение полиморфных вирусов оказалось делом весьма сложным.

Для того чтобы немного вас развлечь, поясним сказанное на котиках. Сим-патичный зверек на рис. 1 на самом деле является злым вирусом, который, как и положено вредоносной про-грамме, замаскирован под нечто безобидное. Однако антивирусные продукты знают об этом фокусе. Встречая что-либо, напоминающее изображение на рис. 2, они распознают его как вредоносное ПО. Именно так действует сигнатурный метод.

Теперь усложним задачу. На рис. 3 мы видим все тех же котиков, но они совсем не похожи на предыдущее изображение. Это — полиморфные вирусы, каждый из которых уникален и не может быть распознан по «коша-чьей» сигнатуре.

В погоне за черным котомЕще не так давно функционал вредоносных программ, позволяющий им «обходить» антивирусные средства, был незамысловатым, поэтому антивирусы на основе сигнатурного метода неплохо с ними справлялись. С усложнением вредоносного ПО, увеличением числа его вариантов, появлением постоянно мутирующих и прочих «умных» вирусов классические антивирусы начали становиться все менее эффективными — крайне сложно искать черного кота в темной комнате, да еще и не зная, как он сейчас выглядит.

АНАТОЛИЙ ВИКЛОВSecurity Engineer компании Check Point Software Technologies


37№12 | IV квартал 2015

Безвредный троян

Пора перейти к более близким по времени событиям. В марте 2015 г. была раскрыта хакерская группировка, предположительно ливанская, под названием Volatile Cedar. Для достижения своих целей она использовала троян Explosive (название найдено при анализе кода; полный отчет об исследовании можно прочитать тут — https://www.checkpoint.com/downloads/volatile-cedar-technical-report.pdf). Рассмотрим этот образец вредоносного ПО немного подробнее.

В функционал трояна входит богатый набор шпионских функций, среди которых — перехват данных, введен-ных пользователем с клавиатуры, тайный сбор и последующая отправка злоумышленникам файлов и паро-лей. Имеется и другой «интересный» функционал — автоматическое инфи-цирование съемных USB-носителей, наличие динамически обновляемого алгоритма поиска и подключения к командным серверам ботнета, в котором предусмотрена многократ-ная отказоустойчивость. Вредонос проводит мониторинг использования своими процессами CPU и оперативной памяти, чтобы избежать собственного раскрытия. Любая копия трояна уни-кальна. Реализовано это довольно просто: к каждому бинарному файлу

прикреплен уникальный конфигураци-онный файл, и на выходе получается уникальный бинарный файл с уникаль-ным хешем, что делает невозможным детектирование по сигнатуре.

Понятно, что авторы Explosive (кото-рыми, разумеется, были не скрипт-киддис, скачивающие готовые кон-структоры из Интернета) потратили значительные ресурсы на его создание. После глубокого анализа трояна и его кода становится очевидным, что мы имеем дело с качественно написан-ным образцом вредоносного ПО, хотя это — всего лишь рядовая угроза, ничего особенного…

А теперь — о весьма показательном «эксперименте». Ресурс virustotal.com, которым владеет компания Google, дает возможность бесплатно прове-рить файл на наличие вредоносной активности. На портале работают

57 антивирусных движков произво-дителей антивирусного ПО, которые и проверяют файлы. Результаты вы получаете в виде таблицы, все ясно и понятно. Что ценно, можно получить ретроспективный анализ по детекту каждого файла. Мы проанализиро-вали детектирование файла Explosive по состоянию на ноябрь 2013 г., и выяснилось, что все 57 вендоров расценили его как безвредный. Ситуа-ция не менялась до 30 марта 2015 г., когда, по случайному совпадению, компания Check Point опубликовала отчет об обнаружении Volatile Cedar. В последующие дни часть вендоров, и их постепенно становилось все больше, стала детектировать файл Explosive как вредоносный. После этого злоумышленники выпустили измененные версии вредоноса. И знаете что произошло? История повторилась (только временные про-межутки оказались более короткими): опять ни один из вендоров не счел новые файлы вредоносными.

И это — лишь один из примеров, свидетельствующих о том, что стан-дартные, привычные антивирусные средства становятся все менее и менее эффективными, особенно если речь идет о таргетированных атаках.

Классическая антивирусная защита всегда была реактивной, и с усложне-нием вредоносного кода (будь то обфу-скация, полиморфизм, метаморфизм или таргетированное шифрование информации в инфицированной системе) она неизменно оказывалась в роли преследователя. Но мы живем в «эпоху неизвестного», и нам давно пора признать, что в эту самую минуту на многих системах, расположенных в разных странах, запущены десятки неизвестных образцов вредоносного ПО, которые используют техники, нам тоже пока не известные. Это — вызов, и это — причина, побуждающая вендо-ров к инновациям и исследованиям.

Одной из инноваций в свое время стало использование песочниц,

Рис. 1. Вирусный котик

Рис. 2. Сигнатура вирусного котика



или эмуляторов. Имеется множество реализаций песочниц, они могут быть частью антивирусного ПО (сегодняшний стандартный функционал), приложе-ния (Google Chrome), операционной системы (ядро OS X). Мы поговорим о первом варианте.

Суть песочницы — в мониторинге актив-ности исследуемого ПО. Мониторингу подлежат его операции в файловой системе, изменения, вносимые в реестр, активность, связанная с системными службами, и сетевая активность. При мониторинге запуска документов (.docx,.xls,.ppt,.pdf и т. д.), как правило, проводится статический анализ. Поведение открытого документа сравнивается с «белым» списком раз-решенной активности, затем список действий, выполненных документом, фильтруется и на выходе получается либо пустой список (свидетельствует о чистоте исследуемого образца), либо список нетипичной активности (дает основание для подозрения о наличии в документе скрытого функционала). Пример — документ Word, который при запуске извлекает из себя исполняемый файл. Разумеется, по результатам эмуляции такой файл будет определен как вредоносный.

Эмуляция исполняемых файлов схожа с эмуляцией документов. В ходе мони-торинга запуска исполняемых файлов также фиксируется набор событий, каждое из которых может быть отнесено к «белому» списку допустимой активности ПО или расценено как потенциально опасное. При достижении определен-ного «веса» событий, не относящихся к легитимным, исполняемый файл получает вердикт о вредоносности.

Однако и песочницы недолго остава-лись неуязвимыми для вредоносного ПО. Как только это решение стало получать широкое распространение, злоумышленники разработали новые средства, позволяющие обнаруживать и обходить песочницы. К ним относятся детектирование виртуальной среды, задержка запуска вредоносного кода, мониторинг действий пользо-вателя (например, отсутствие ввода с клавиатуры может быть признаком виртуальной среды) и многое другое. Большинство таргетированнных атак подготавливаются и проводятся людьми, обладающими знаниями экспертного уровня, и нынешнее поколение тра-диционных песочниц не защищено от обхода. Проблема осложняется тем, что практически в открытом доступе

находятся конструкторы вредоносных программ, с чьей помощью даже неподготовленный человек может создать новый образец полиморф-ного вредоносного ПО, способный противодействовать попыткам его исследования в сандбоксе.

В поисках выхода

В июне 2015 г. одна из крупных российских компаний стала жерт-вой таргетированной атаки. Скорее всего, с помощью фишингового письма и использования уязвимости «нулевого дня» был получен доступ к одному из компьютеров домена. Используя эту машину как плацдарм, злоумышленники сумели получить доступ и к другим системам.

В атаке использовался массивный (размером 19 Мбайт) программный продукт, в который входили плагины для сбора и скрытой передачи данных злоумышленникам и другой шпионской деятельности. Уникальной особенно-стью этого продукта было то, что он полностью размещался в оперативной памяти зараженного компьютера. В результате на жестком диске системы не было ничего, что можно было бы проверить на наличие вредоносного кода, а тем более проэмулировать. Сложно найти черного кота в темной комнате, особенно если его там нет.

Атакующие позаботились и еще об одной возможности. Когда зараженный компьютер перезагружается пользо-вателем, содержимое оперативной памяти удаляется, и компьютер выходит из-под контроля злоумышленников. Для того чтобы избежать этой «потери», злоумышленники разместили на другом компьютере драйвер, который поклю-чался к контроллеру домена, получал от него обновленную информацию о компьютере-жертве и инфицировал его вновь.

Итак, в наличии — вредоносный код, не обращающийся к файловой

Рис. 3. Полиморфные вирусные котики


39№12 | IV квартал 2015

системе, реестру и системным службам. Как провести его детектирование? Сделать это с помощью классических методов не получится — нужны другие способы.

Давайте рассмотрим цепочку этапов, характерных для любого заражения: это наличие уязвимости — исполь-зование эксплойта — запуск шелл-кода — запуск вредоносного ПО. Наличие уязвимости клиентского ПО, Java или операционной системы дает возможность написать эксплойт, экс-плуатирующий данную уязвимость. В свою очередь, эксплойт, обходя защитные механизмы операционной системы, позволяет запустить шелл-код. По сути, он является небольшим приложением, предназначенным для загрузки вредоносного ПО по сети

или путем извлечения из самого шелл-кода. И только на этом этапе начинается вредоносная деятель-ность, ради которой и создавалась вся цепочка, — заражение системы, хищение и передача конфиденциаль-ных данных, загрузка дополнительных вредоносных модулей.

Итак, в начале нашей цепочки — мно-гие тысячи уязвимостей, некоторые из которых не закрываются годами, а другие пока неизвестны и для них нет исправлений. В конце цепочки — миллионы видов вредоносного ПО с разнообразнейшим функцио-налом. А вот на стадии эксплойтов дела обстоят по-другому: их количе-ство весьма ограниченно. При этом детектирование и противодействие виртуальным средам, которыми поль-зуется вредоносное ПО, выполняются на заключительном этапе — запуска вредоносного ПО.

А что если удастся проводить мони-

торинг и анализ не на этапе запуска вредоносного ПО, как делают все производители песочниц, а на этапе эксплойта? В этом случае качество и скорость обнаружения вредонос-ного ПО возрастут в разы, а методы противодействия виртуальным средам окажутся неэффективными (поскольку детектирование будет осуществляться на более ранней стадии). Да и факт создания злоумышленником нового варианта вредоносной программы перестанет играть значимую роль, ведь множество вариантов вредо-носного ПО используют один и тот же эксплойт. Даже если вредоносное ПО будет располагаться лишь в оперативной памяти, как в при-веденном нами примере, его все равно удастся обнаружить. Нако-нец, появление нового эксплойта

(при учете их очень ограниченного числа) для широко используемого клиентского ПО или ОС не останется незамеченным для вендоров анти-вирусного ПО.

Итак, решение найдено! Современные процессоры Intel, начиная с линейки Haswell, оснащены специализиро-ванными средствами сбора инфор-мации о работе процессора. В ходе мониторинга собирается отладочная информация, сведения о произво-дительности, остановке процессов. Эти данные помогают разработчи-кам искать «бутылочные горлышки» в работе процессора и информацию об ошибках выполнения кода. Новая технология детектирования на уровне процессора CPU-Level detection обеспечивает анализ этих данных и, на основе знаний о том, как осу-ществляется ROP-атака, позволяет ее опознать и остановить ПРЕЖДЕ, чем будут применены любые средства противодействия детектированию.

В результате качество и скорость детек-тирования многократно возрастают, а уровень ошибочных срабатываний существенно снижается.

Имеется и еще одна проблема, связан-ная с песочницами. Анализ документов и файлов, присланных пользователю, занимает какое-то время (при суще-ственной нагрузке на песочницу задержка может достигать 30 мин.). В результате многие организации используют песочницу в режиме detect only — в такой архитектуре песочница работает с копией тра-фика. Как следствие, возникает риск того, что пользователь откроет вредоносное вложение, находяще-еся в очереди на эмуляцию. Такая защита — реактивная, и при получении информации о том, что файл вложения

является вредоносным, начинается гонка на опережение. Иногда в ней выигрывает вредоносное ПО.

Один из способов решения данной проблемы — применение техно-логии Threat Extraction. Документ, находящийся в аттаче к письму, реконструируется, из него удаляется потенциально опасное содержимое (скрипты, внедренные OLE-объекты, макросы и т. п.), динамический контент преобразуется в статический, после чего гарантированно безопасное содержимое конвертируется в формат .pdf и передается получателю. Если по результатам эмуляции исходный документ окажется чистым, пользо-ватель сможет получить к нему доступ по ссылке в письме. В противном слу-чае файл будет удален. Использование этой технологии позволяет избежать временных задержек, связанных с очередью на эмуляцию, и обеспечить доставку конечным пользователям гарантированно безопасных файлов.

Факт создания злоумышленником нового варианта вредоносной программы пере-станет играть значимую роль, ведь множество вариантов вредоносного ПО исполь-зуют один и тот же эксплойт. Даже если вредоносное ПО будет располагаться лишь в оперативной памяти, его все равно удастся обнаружить.


Киберкриминалистика

Никакой аномалии!

Речь пойдет об одном из европейских банков, подразделение которого спе-циализируется на торговле валютой в больших объемах. Для принятия решений о том, что делать сейчас, покупать или продавать, в банке использовалась некая автоматизиро-ванная система. И именно из-за нее начались все неприятности.

В принципе, ее и системой-то назвать было нельзя. Сторонний разработчик когда-то написал средствами Excel

набор макросов по заказу валют-ных трейдеров банка. Каждое утро аналитики запускали эту программу, она закачивала данные из внешних источников, делала расчеты и выда-вала результат: «Если продавать, то не менее чем с таким процентом». До поры до времени все было хорошо, но контора, написавшая приложение, ушла с рынка, и Excel-файл вместе с обфусцированными макроасми остался закрыт паролем. При этом нехитрая программка была совме-стима только с Office 2003, который к тому времени сняли с технической поддержки. Безопасникам банка ситуация не нравилась, но на нее закрывали глаза, поскольку переде-лывать приложение никто не брался, а отдел валютных торгов приносил ощутимую прибыль.

Когда в один прекрасный день аналитик банка получил от партнерской компа-нии сообщение с просьбой проверить расчеты, он, не задумываясь, открыл прикрепленный к письму Excel-файл. А тем самым запустил к исполнению макросы, внутри которых находился сетевой сканер, написанный на Visual Basic. Эти же макросы запустили еще один сеанс Excel и начали рабо-тать в невидимом окне.

Если бы в банке использовалось обновленное ПО, то в новом Office макросы не запустились бы. Начиная с Office 2008, файлы Excel, Word и Power Point, полученные из внешнего источника, по умолчанию загружаются в режиме только для чтения в отдельной

песочнице с отключенными макро-сами. На экране появляется вопрос «Редактировать или нет?», и только при положительном ответе приложе-ние перезапускает файл в режиме редактирования и дает ему право на исполнение макросов.

Кроме того, если бы рабочее место аналитика не имело полномочий локального администратора, масштаб-ное «инфицирование» тоже не состо-ялось бы. При запуске инструментов атаки могла сработать антивирусная защита, и служба ИБ это заметила бы. А тут — банальный Excel, который всегда запускался на этой машине как главный бизнес-инструмент, — никакой аномалии!

ИБ как имитация реагирования

Никому и в голову не приходило, что на Excel можно написать функци-онал сетевого сканирования. Excel — вообще очень мощная платформа разработки, позволяющая реали-зовать сложные сценарии. Через несколько дней служба ИБ банка все же поняла, что с помощью Excel кто-то пытался установить систему удаленного управления, но не отнес-лась к инциденту серьезно. Затем на глазах у той же службы вредонос развернул Windows PowerShell (рас-ширяемое средство автоматизации Microsoft), но и это не вызвало вопросов у безопасников, поскольку они решили, что кто-то с рабочего

180 дней без обновленийПо понятным причинам мы не можем назвать не только банк, о котором идет речь, но даже страну его локализации. Но эта история — хороший пример того, как пренебрежение простыми процедурами гигиены ИБ может дать точку входа для угрозы, опутавшей всю инфраструктуру банка и проникшей глубоко внутрь его ключевых процессов.

АНДРЕЙ БЕШКОВРуководитель программы безопасности Microsoft в Центральной и Восточной Европе


41№12 | IV квартал 2015

места с правами администратора собирает логи.

Прошло несколько месяцев. На инфи-цированном рабочем месте начали появляться хакерские утилиты, но они не устанавливались, а просто запускались удаленно в онлайновом режиме. Одна из этих утилит позво-ляла получать доступ к паролям, обрабатываемым Windows. Позже выяснилось, что пароль локального администратора, созданный «по умол-чанию» при установке Windows, — во всей организации одинаковый, ибо его никто не потрудился переуста-новить. Постепенно подключаясь к соседним машинам, атакующие захватили практически весь отдел.

Поняв, что служба ИБ не реагирует на их действия, они с помощью типовых инструментов нашли сер-вер HelpDesk, на котором было установлено открытое программное обеспечение для отслеживания задач и багов. Злоумышленники выяснили, что данное ПО устарело минимум на шесть месяцев, — все это время его не обновляли и уязвимости

не закрывали. Дальше было делом нехитрой техники воспользоваться хорошо известными уязвимостями для захвата сервера HelpDesk, сбора и компрометации паролей.

Таким образом, у злоумышленников существенно расширились возмож-ности. По банковской инфраструктуре начали расползаться хакерские утилиты, не являющиеся вирусами или троя-нами. Часть из них была модифици-рованными служебными утилитами Microsoft, доступными в Интернете, и это не привлекло к себе внима-ние безопасников. Как ни забавно, атакующие даже немного навели

порядок в инфраструктуре. Когда им понадобился сервер для сбора и хранения информации, которая потом пакетами высылалась наружу, они нашли в инфраструктуре банка заброшенный сервер с закончившимся дисковым пространством, провели архивацию, почистили жесткий диск и основали там свое «гнездо». В конце концов, им удалось получить пароль доменного администратора, а это уже означало возможность контроля над всем банком.

«Прокол» злоумышленников

Постепенно атакующие добрались до сети, которая управляла банко-матами, и начали добавлять туда свое ПО. Им удалось так модифи-цировать банковские настройки, что при поступлении запросов на 50 евро банкомат мог выдавать сотенные купюры — переключалась кассета выдачи наличных. Судя по тому, что злоумышленники не спе-шили опустошать банкоматы, они собирались выгодно продать свои

достижения другим преступным группам — зачем светиться самим!

Все так и было бы, но злоумышлен-ники засыпались на сущей ерунде. Банк использовал несколько видов банкоматов, и когда с помощью центра управления конфигурацией на банкоматах было централизованно установлено вредоносное ПО, некоторые из них зависли, а затем вошли в цикл вечной перезагрузки. Потребовались диагностика и наладка, в ходе которых и удалось обнаружить инородное ПО.

Началось расследование. Выяснилось, что скомпрометирована система

доставки ПО, а далее атаку раскрутили по всей цепочке. Вот только теперь служба ИБ не знает, что делать с мас-штабно зараженной инфраструктурой. Вычистить ее без приостановки работы банка очень сложно, а он не может прекратить обслуживание клиентов. Кроме того, необходимо переустано-вить и зачистить всю инфраструктуру, но не факт, что и резервные копии не скомпрометированы.

Кардинального решения пока нет, однако службы банка начали работать над ошибками. Excel-приложение, из-за которого все началось, изо-лировали в виртуальной машине (своего рода песочнице), загородили межсетевым экраном, оставили этой системе доступ только к доверенным источникам данных. Это позволило обновить ОС на рабочих станциях аналитиков, ведь устаревшее ПО было перенесено в виртуальную машину, и миграции уже ничего не мешало. У аналитиков отобрали права локальных администраторов. Стали применять белые списки при-ложений, чтобы не позволить атаку-ющим «проносить» в систему свое

ПО. Впереди у этого банка — долгая борьба со злоумышленниками, глу-боко окопавшимися в его системах. Для начала придется чистить Active Directory, а затем очищать другие системы. Или строить параллельную инфраструктуру AD и переносить в нее очищенные системы. В любом случае предстоит небыстрый и довольно дорогостоящий процесс излечения.

Не устанавливать обновления даже для внутренней системы 180 дней — это, наверное, одно из самых баналь-ных и худших проявлений халатности. Описанный пример — яркое тому доказательство.

Если бы рабочее место аналитика не имело полномочий локального администра-тора, масштабное «инфицирование» тоже не состоялось бы. При запуске инструмен-тов атаки могла сработать антивирусная защита, и служба ИБ это заметила бы.



Как опустошают банкоматы

В текущем году СМИ активно освещали инциденты, связанные с ИБ и иной безопасностью, уделяя особое внима-ние финансовому сектору. Например, с начала года чуть ли не каждую неделю злодеи или просто отчаявшиеся люди

предпринимали незаконные манипу-ляции с банкоматами, и информация об этом не сходила с лент новостей — просто не успевала сойти. Банкоматы вывозили, взрывали, взламывали, раскурочивали… А кое-кто при атаках на банкоматы использовал методы и инструменты, связанные с высокими технологиями.

Вот — пример таких историй. В один прекрасный или, скорее, не очень хороший день сотрудники банка выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладывае-мой в банкомат денежной наличности, то есть оказался довольно значитель-ным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом проис-шествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.

То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, — всего около 10 случаев. При этом во время инкасса-

ций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.

Реагирование

Службы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. В спектр версий вошли как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях:

— задача № 1 — минимизация вероят-ности продолжения серии атак для предот-вращения дальнейших убытков;— задача № 2 — внутреннее расследо-вание и сбор информации для подачи заявлений о возникновении страховых случаев в страховую компанию;— задача № 3 — подача заявлений в правоохранительные органы и вза-имодействие с ними.

Действовать требовалось одновременно по всем фронтам и максимально опе-ративно. Кроме того, было решено без-отлагательно провести инкассацию всех банкоматов банка (в первую очередь, тех, которые, по данным мониторинга, попали в «зону риска») на предмет под-тверждения или опровержения факта

История НЕ одного инцидентаВ кризисные годы количество инцидентов растет. Способствует этому ряд факторов, в целом достаточно примитивных и предсказуемых. В рамках всевозможных оптимизаций и сокращений сотрудникам снижают зарплаты, лишают их премий и бонусов, да и просто увольняют. Их лояльность к компании значительно снижается, и люди решаются на то, чего раньше никогда делать не стали бы, — идут на риск, не всегда законный, ставя на кон «все или ничего». И совершают кражи, мошенничества, сливают гигабайты данных…

МАРИЯ ВОРОНОВАВедущий эксперт по информационной безопасности компании InfoWatch, эксперт BISA


43№12 | IV квартал 2015

мошеннических действий. В ряде реги-онов по согласованию с руководством было намечено снизить лимиты загрузки, в других — полностью разинкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в сроч-ном порядке менялись на банкоматах пароли локальных администраторов и удаленных подключений.

Правда, несколько региональных управ-ляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения — страшнее. В неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и «черного» пиара. А риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, — выше, чем риск потери денежных средств как таковых.

Расследование

Во время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически «добровольно» и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до PIN-пада. Он просто под-ходил, и банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел… как лицо неопределенной национальности среднего возраста и роста — что называется, без особых примет.

Примерно такая же картина была получена сотрудниками служб безопас-ности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени реализации инциден-тов (где-то они произошли в районе

полуночи, где-то — ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 мин сменявших друг друга). Каждая процедура изъятия денежной наличности занимала от 1 до 3 ч.

Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их иссле-дованиями занялась служба инфор-мационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометиро-ванным банкоматам — марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.

Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но — не пол-ностью. Обнаруженные остатки утилиты,



предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором» показали, что отработала эта утилита почему-то не до конца — данные удалось частично восстановить.

Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций — тестирование работоспособности механизма выдачи денежных средств. Условие запуска — банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты. В результате анализа выясни-лось, что подобная утилита, несколько модифицированная, не только находилась на жестком диске банкомата, но и запу-скалась в работу. Предположительно, модификация этой утилиты заключалась в снятии того самого ограничения, связанного с обязательным нахожде-нием банкомата в тестовом режиме для осуществления ее запуска.

Возник справедливый вопрос: как данная утилита попала на банкомат? Выяснить это оказалось невозможно — лог-файлы заходов на банкомат и других действий были затерты без возможности восста-новления. Пошли другим путем: решено было выяснить, на каких рабочих стан-циях банка находились данная утилита, ее модифицированная версия и ряд других файлов, следы запуска которых на банкоматах удалось восстановить. Стандартные версии утилиты KDiag

обнаружились на ряде ПК, работающие на которых сотрудники были связаны с обслуживанием банкоматов. А полный набор разыскиваемых файлов (точнее, следов их нахождения на съемном носителе, который подключался к этому компьютеру) нашелся лишь на одном ПК. По номеру ПК был установлен его владелец — сотрудник, занимающийся обслуживанием банкоматов и имею-щий доступ ко всему их парку, в том числе удаленный доступ посредством использования программы RAdmin.

Снова перед рабочей группой по рас-следованию инцидента встал вопрос — с чем столкнулись, с инсайдерством либо красивой атакой извне? Больше всего сомнений было связано с тем, что, по собранной из логов информации, необходимые утилиты перекачивались именно с подключенного съемного носителя. Другими словами, человек должен был подойти к компьютеру, находящемуся в пределах контролиру-емого периметра со СКУДами и систе-мой видеонаблюдения, и подключить к нему съемный носитель. При таком раскладе концепция внешней атаки казалась маловероятной. А с учетом методов и средств, используемых при таргетированых атаках, реализация физического доступа к ПК выглядела уж совсем невероятной, прямо-таки архаичной, ведь разместить нужные злоумышленнику средства на ПК можно было, например, при помощи удаленного управления. Может быть, ошибка в логах? Вопрос — скорее, риторический, но на него все-таки хотелось получить ответ.

На совещании рабочей группы, занимаю-щейся расследованием инцидентов, был поднят животрепещущий вопрос «брать и колоть подозреваемого или подождать и понаблюдать?». Было принято решение все-таки не торопиться, с помощью специ-альных автоматизированных средств мони-торинга понаблюдать за рабочей станцией, попытаться собрать иные свидетельства и доказательства, а при возникновении малейшей на то необходимости или под-тверждения подозрений перейти к более

решительным действиям. Группа провела технологические работы для организации дополнительного мониторинга: были установлены программные средства мониторинга, снят образ с рабочей станции подозреваемого в инсайдер-стве сотрудника, а рядом с его рабочим местом установили дополнительные средства видеонаблюдения. Все работы проводились в выходной день в режиме строгой секретности.

Результаты мониторинга показали, что подозреваемый сотрудник является весьма продвинутым пользователем: он создавал на своем ПК виртуальные машины, интересовался составом и характеристиками ряда вредонос-ных программ, за время наблюдения (а это — чуть больше недели) несколько раз отключал и «сносил» систему монито-ринга, процессы которой в операционной системе были замаскированы, и пр. И эти сведения совершенно не совпадали с отзывом о данном сотруднике, полу-ченным от его руководителя, который охарактеризовал его примерно так: «Да он — бывший кондуктор и в компью-терах разбирается не очень хорошо. Мы его взяли только для того, чтобы он чековые ленты в банкоматах менял».

Через пару недель собранная во время внутреннего расследования информация, в том числе данные мониторинга, все необходимые акты, лог-файлы из систем сбора событий, результаты технического анализа образов банкоматов и ПК, была передана с соответствующими комментариями правоохранительным органам, ведущим расследование группы инцидентов. Они обещали взять подозреваемого сотрудника в оборот. Еще дней через десять банк уволил его «по соглашению сторон» в рамках плановой оптимизации, направленной на сокращение расходов.

А расследование, вроде бы, начатое правоохранительными органами, затихло. Банк подавал заявления в разных реги-онах страны. В некоторых из них право-охранительные органы сразу приступали к активным действиям, в других служба


45№12 | IV квартал 2015

безопасности сталкивалась с их категори-ческим нежеланием открывать уголовное дело (это аргументировалось тем, что отсут-ствует состав преступления). В первое время от следователей еще поступали какие-то звонки, уточнения и запросы к членам рабочей группы, но постепенно все сошло на нет. И каких-либо результатов не получено до сих пор.

А ведь внутреннее расследование было проведено при участии высококлассных профессионалов, специализирующихся на инцидентах такого рода, материалы этого расследования четко указывали на виновность конкретного человека, были собраны и предъявлены все доказательства. Если сотрудники банка ошиблись, то в чем? А если не ошиблись, почему дальнейшее расследование «ушло в тину»? Хочется верить, что ответы на эти вопросы все-таки будут получены.

Разбор полетов

Уже постфактум банк сделал неко-торые выводы и предпринял меры, позволяющие впредь не допускать подобных инцидентов — безразлично, инициированных извне или изнутри. Немаловажным было то, что эти меры не потребовали каких-либо дополни-тельных затрат.

Обязательное наличие в банке всех инструкций, регламентов и четкость их выполнения. Нехватка суммы, составляющей больше 1 млн руб., при проведении инкассации — это событие, о котором в любом случае необходимо уведомлять службы без-опасности и руководство. В описанном случае это сделано не было, поскольку рядовые сотрудники не получили таких инструкций, не знали, что предпринять, и понадеялись на «русский авось».

Способы подключения к банкоматам. Схемы подключения были пересмотрены. Запрещен прямой доступ к банкома-там, убраны все средства удаленного администрирования и оставлены

только штатные средства удаленного рабочего стола.

Аудит и настройка систем безопасности на банкоматах. До возникновения на рынке похожих инцидентов банко-маты, как правило, защищали только физически — усиливали сейфовые замки, прикручивали сами устройства анкерными болтами к полу и стенам, устанавливали системы видеонаблю-дения, внедряли процедуры проверки на наличие скиммингового оборудования и т. п. Теперь появилась необходимость в усилении программно-аппаратной части. Были проведены дополнитель-ные настройки штатных брандмауэров на банкоматах, подключены средства

контроля над целостностью, изменена схема сетевого взаимодействия банко-матов, усилены средства мониторинга.

Итак, подытожим. Если в какой-либо области прежде никогда не было инци-дентов, приводящих к значительному ущербу, то это не означает, что так будет и дальше. В мире меняется все, при-чем довольно быстро. Дабы поспевать за изменениями и постоянно быть в тренде по уровню защищенности, надо считать риски и не забывать, что для снижения вероятности возник-новения инцидентов далеко не всегда обязательны дорогостоящие, в том числе многолетние проекты — порой достаточно точечных мер.

Думаю, эта исто-рия не ограни-чивается только финансовым аспектом. Я бы ее назвал ярким примером раз-о б щ е н н о с т и корпоратив -н ы х с л у ж б . И н к а с с а ц и я не сообщила о проблеме, т. к. не был уста -новлен порядок реагирования на инциденты,

работающий не только «на бумаге». Налицо — пробой в работе топ-менеджмента, в обязанности которого входит упреждающая координация действий разных служб, особенно в случаях при-чинения ущерба бизнесу.

Центральный офис приказал про-вести мероприятия с банкома-тами, но несколько региональных офисов отказались это сделать, что свидетельствует о недостатке воли центральной власти. Топы из центрального офиса пошли на уступки, видимо, не желая

обострять отношения с главами филиалов.

Кроме того, обязательное нали-чие в банке всех регламентов остается благим намерением, пока не проводятся «полевые» учения, т. е. инструкции нужда-ются в регулярном практическом тестировании. Права пользова-телей рабочих станций должны предоставляться по принципу минимальной достаточности. Необ-ходимы перечень установленного ПО, разработанный ИТ-отделом под контролем СБ, а на рабочих станциях, непосредственно связан-ных с управлением финансовыми активами, — повышенный уровень контроля над операционной средой. Наконец, о кадровом отборе. При проверке СБ соискателей на ряд должностей недостаточно удостовериться в отсутствии ком-прометирующей информации. Чем умнее злоумышленник, тем меньше следов он оставляет. Только ква-лифицированный психологичес кий контроль — собеседование с пси-хопрофилированием — позволяет выявлять личности, склонные к асоциальным и криминальным поступкам.

Сергей Воронецкий, руководитель отдела ИБ Управления службы безопасности RU-CENTER Group


Компетенции ИБ

Безопасность на базе коррупции

В начале 1990-х гг. обязанности безопасника были, в принципе, незамысловатыми, как и действия основных источников опасности — братвы, т. е. бандитов. Требовалось пресечь попытки «крышевания», обеспечить надежную физическую охрану объектов, первых лиц, членов их семей и имущества, установить

контакты с бывшими коллегами, еще остающимися на службе. Кон-такты устанавливались легко, ибо руководители оперативных подраз-делений были людьми в возрасте, которые прекрасно понимали, что скоро — на пенсию, а на соответ-ствующие выплаты жить трудно. Вот они и подрабатывали, предупреждая о готовящихся проверках, закрывая уголовные дела, проверяя контр-агентов и предоставляя силовую поддержку. Многие из них потом пересаживались из государственного служебного кресла в более ком-фортабельное и безопасное кресло зама по безопасности руководителя какого-нибудь АО.

В эту схему бывший полковник пре-красно вписывался, и не имело зна-чения, чем он занимался на прежней работе. Он мог быть оперативником или чиновником, сохранившим деловые контакты с действующими коллегами и, главное, возможность «порешать вопросы». Руководители предприятий на такую «работу» денег не жалели, понимая, что если не под-кармливать личные связи бывшего полковника, они проживут недолго. Другими словами, большинство руко-водителей тех лет решало вопросы безопасности, создавая коррупци-онные механизмы и финансируя коррупцию.

Механизмы эти окончательно сформи-ровались в «нулевые» годы, проникнув в суды, прокуратуру и следственные органы. Их «носители» начали жить самостоятельной жизнью, и у них поя-вились собственные имущественные интересы. А некоторые бизнесмены на собственной шкуре — потеряв биз-нес или свободу — испытали полную непробиваемость ими же созданных структур и механизмов.

Потом ситуация стала быстро меняться. В 2008 г. уже расформировали УБОПы. Борьба с бандитами, вроде бы, закончилась — полных отморозков посадили, а остальных поставили под контроль. При этом некоторые подконтрольные занялись отмыванием и легализацией денежных средств, другие — организацией рейдерских захватов. Отметим, коррупционная поддержка таких процессов осталась, а коррупция — тоже деятельность организованной преступности.

По новым правилам

Сейчас, как и прежде, активно про-должается передел собственности (дру-гими словами, остается неизменной цель завладения чужим имуществом), но радикально изменились условия и правила «работы». Бандитские разборки лихих 1990-х сменились

Полковника никто не ждет?Недавно мне позвонил старый знакомый, озабоченный поисками нового заместителя по безопасности, — не сработались с прежним. Он попросил порекомендовать кого-нибудь и добавил: «Только, знаешь, полковников не надо…». То, что человек с погонами теперь зачастую оказывается ненужным в качестве безопасника, уже стало тенденцией. И дело, конечно, — не в том, что у всех генеральных директоров внезапно началась аллергия на бывших полковников. Просто изменилась жизнь, а с нею — и требования к таким сотрудникам.

РАШИД НУГАЕВПреподаватель УЦ «Информзащита»


47№12 | IV квартал 2015

разборками в арбитражных судах, где стороны именуются не бандитами, а «хозяйствующими субъектами». Но теперь вместо автомата АК-74 «хозяйствующий субъект» размахи-вает решением суда, вступившим

в законную силу. А наши законы дают предостаточно возможностей для злоупотребления правом.

Да, бывает и иначе. Например, если в регламентах организации предус-мотрены обязательные процедуры, без выполнения которых не может быть заключен какой-либо договор, то предоставленный на суде фальши-вый документ, не прошедший этих процедур, будет воспринят добросо-

вестным судьей как сомнительный. Подчеркнем: регламенты являются нормативно-правовыми докумен-тами, обладающими юридической силой. И это делает соблюдение дей-ствующего законодательства одной

из важнейших задач обеспечения безопасности компании.

Кроме того, изменились технические принципы и способы обмена информа-цией. Электронные технологии быстро встроились в повседневную жизнь. Деньги, общение и даже искусство стали «цифрой», социальные сети — обыден-ностью. И теперь даже ИТ-специалисты не совсем представляют себе истинного масштаба новых угроз.

Во время 30-й международной выставки CeBIT, состоявшейся в марте 2015 г. в Ганновере, был организован видеомост с разо-блачителем тайн информационной разведки Сноуденом. Он предупре-

дил ИТ-специалистов, что именно они (а не журналисты, политики и чиновники) являются главной целью спецслужб. Цитирую: «Спецслужбы ищут людей, у которых есть доступ к инфраструктуре, администраторов, инженеров, сотрудников сервис-про-вайдеров. Они ищут вас не потому, что вы — террористы или подозре-ваемые, а потому, что у вас есть доступ к конфиденциальным записям, к частной жизни. ИТ-специалисты

Изменились технические принципы и способы обмена информацией. Электрон-ные технологии быстро встроились в повседневную жизнь. Деньги, общение и даже искусство стали «цифрой», социальные сети — обыденностью. И теперь даже ИТ-специалисты не совсем представляют себе истинного масштаба новых угроз.



часто недооценивают важность информации, которой владеют, и не применяют какие-либо средства ее защиты. Например, они хранят важную информацию на своем мобильном устройстве или в личной почте, не используя шифрование и двухфакторную аутентификацию».

Чаще всего атакам подвергаются мелкие и средние компании, ущерб которых не может вызвать широкого общественного резонанса. По данным Symantec, более трети атак приходится на предприятия, имеющие менее 250 сотрудников. При этом специалисты констатируют: «Тезисы Сноудена косвенно подтверждаются опросом ИТ-специалистов, проведенным нами в конце 2014 г. По мнению 46 % респондентов, потеря их мобильного устройства и кража корпоративной информации из его памяти подвер-гнут риску их компании» (Газета.Ru, руководитель отдела технического и маркетингового сопровождения ESET Russia Алексей Оськин).

Итак, сегодня условиями выживания предприятия в целом и безопасника в частности являются строгое соблю-дение законодательства и учет угроз, исходящих от ИТ-технологий. А обя-занностью генерального директора, который уже не хочет, чтобы его заместителем по безопасности был полковник, является управление биз-несом, персоналом и безопасностью.

Что значит «управлять безопас-ностью»? Прежде всего, ставить корректные задачи безопаснику. И вот тут-то начинаются проблемы. Сегодня практически все, что подлежит защите, — это информация. Физиче-ская охрана объекта подразумевает информацию о типах и расположении систем охраны, наблюдения и кон-троля. Телохранители должны знать маршруты и время передвижения охраняемого лица. Документооборот — электронный, средства связи — тоже. И угроза несанкционированного съема информации весьма актуальна.

В 2011 г. МВД России заявило, что за предыдущие три года число зафиксированных преступлений, соответствующих ст. 138 УК РФ «Нару-шение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений», выросло в 75 раз. Естественно, руководитель компании хочет знать, все ли в ней в порядке с защитой информации. Он обращается к безопаснику и с удивлением выясняет, что тот не в курсе. Да, он способен «закошмарить» сотрудников, «чтобы муха не пролетела», и защитить бумаж-ный документооборот, но речь-то идет о безопасности «цифры»… Руководитель ощущает угрозу для бизнеса, а любую угрозу, понятно, надо оценить.

Задача анализа рисков сразу упира-ется в риски защиты информации. В 1990-е гг. на соблюдение требова-ний законодательства руководители смотрели сквозь пальцы — всегда была возможность договориться. Теперь появились новые законы, которые необходимо безусловно исполнять. Знаковым является ФЗ-152 «О персональных данных», и выполнение его императивных требований — это отдельная линия работы, которую надо организовать и финансировать. Оставим в стороне расплывчатость формулировки термина «персональные данные», делающую объект защиты неопределенным. Имеются тщательно проработанные руководящие документы ФСТЭК (При-казы № 17 и № 21) и ФСБ (Приказ № 378), есть методическая база. Вопрос — в другом: сможет ли бывший полковник, заместитель по безопас-ности, выполнить эти требования?

Что может полковник

В первую очередь, все зависит от того, какие перед ним стоят задачи. А они, в свою очередь, зависят от типа предприятия.

Вариант 1 — самый распространен-ный. Если предприятие выпускает

серийную продукцию (стройматериалы, колбасу, книги) по открытым техноло-гиям, у него нет проблем с защитой технологических или управленческих секретов, а ИТ преимущественно обеспечивают производственный процесс, то задачи безопасника сводятся к контролю над периме-тром, защите коммерческих секре-тов и предотвращению хищений. Со всем этим бывший полковник прекрасно справится, ведь основой его деятельности будут известные организационные меры и работа с информаторами.

С персональными данными — тоже просто. Руководитель компании, рас-смотрев требования законов к защите, прикинув размеры расходов и оценив неопределенность формулировок, озвучивает предельно бюджетную постановку задачи: «Проверка должна пройти без замечаний!». Бывший пол-ковник реализует набор организаци-онных мер и контроль, а технической работой занимаются ИТ-специалисты. Требования выполнены формально, контроль — формальный, но претензий от регуляторов нет.

Вариант 2: ИТ-ресурсы предприятия сами являются производственными ресурсами. Таких предприятий (банки, телекоммуникационные компании, провайдеры, ЦОДы) — много и ста-новится все больше. Одних только провайдеров, судя по количеству выданных лицензий, в России насчи-тывается около 11 тыс.

Понятно, что в этом случае формальный подход к обеспечению безопасности может привести к крушению бизнеса. Значит, безопасник должен знать ИТ-технологии — пусть ограниченно, на уровне требований регуляторов (ФСТЭК, ФСБ, РКН). Только при этом условии он сможет выполнять свои функции — анализировать риски, измерять угрозы и искать уязвимости.

Однако большинство заместителей по безопасности — бывшие офицеры


49№12 | IV квартал 2015

МВД и спецслужб, имеющие, как пра-вило, юридическое образование (лишь изредка — техническое). А значит, безопасник вынужден действовать формально: он подписывает регламен-тирующие документы, разработанные ИТ-специалистами, не имея возможности вникнуть в их суть и не представляя себе механизма их реализации. В резуль-тате, понятно, возникает нешуточная угроза для безопасности.

Решение проблемы, казалось бы, — про-стое: обучить его ИТ. На это уйдет года четыре (второе высшее образование и опыт практической работы). Однако, как ни печально, ИТ-образование поверх гуманитарного ложится с трудом (обратное — намного легче).

Теперь поговорим о задачах главного безопасника. Это — управление без-опасностью, собственным персоналом и минимизация негативного влияния на бизнес деятельности по обеспе-чению безопасности.

Большинство полковников прекрасно справляются с первой задачей, но со второй возникают проблемы. Руководство подразделением спец-службы сильно отличается от руководства отделом безопасности юридического лица или ИП. Прежде всего, возни-

кает иная мотивация: я несу полную ответственность за своих сотрудников, а мотивировать их, как в спецслужбе, угрозами санкций (сниму звезду, уволю без пенсии) не получится. На службе полковник может быть менеджером по персоналу, а на гражданской работе должен стать управленцем.

Отсутствие навыков управления при-водит к тому, что главный безопасник акцентируется на карательных мерах.

Однако они эффективны лишь на этапе наведения элементарного порядка. Затем нужно организовать контроль над соблюдением этого порядка, его «углубление», и тогда карательные меры становятся антиэффективными. Постоянное напряжение мешает людям работать, растет текучка кадров, осложняется работа с внутренними информаторами.

Основной акцент должен делаться на профилактике и воспитании, а это — кропотливая небыстрая работа. В первую очередь, нужно «грузить» сотрудников ответствен-ностью. В России формулировка «нести ответственность» зачастую воспринимается негативно (мол, ответишь!), поскольку мы забываем о мерах поощрения. Задача без-опасника — обеспечить «неотвра-тимость» поощрения. Сотрудники должны знать, что руководство видит не только плохую работу, но и хоро-шую, в том числе промежуточные результаты.

Наконец, третья задача безопасника. Любой регламент, связанный с защитой какого-либо технологического про-цесса, замедляет его выполнение. Нужно обеспечить корректность вмешательства в технологии, чтобы

безопасность не стала тормозом. А для этого, опять-таки, требуется профессиональное образование безопасника или наличие экспертов, подсказывающих, что и как делать. Но если платить экспертам, зачем нужен полковник?

Получается, что на ИТ-ориентированных предприятиях целесообразно назна-чать на должность заместителя гене-рального директора по безопасности

именно ИТ-специалиста. Опасения, что он слабо владеет организаци-онными мерами и не имеет опыта оперативной работы, несостоятельны.

Означает ли это, что бывшие полков-ники больше не нужны? Разумеется, нет. В некоторых областях люди с опытом оперативной или след-ственной работы — вне конкуренции. Это, прежде всего, противодействие мошенничеству, служебные проверки и расследования. Именно в данных случаях оказывается востребованной и базовая юридическая подготовка. Какой заместитель по безопасности добровольно откажется от власти и перейдет в подчинение к новому заму? Многое зависит от меры ответ-ственности безопасника, которую он должен осознавать, и от позиции руководителя предприятия.

Кроме того, если предприятие работает в стрессовом режиме (неустойчивое положение на рынке, угроза рейдерской атаки, давление криминала или правоохранительных органов), то от главного по безопас-ности требуются как раз навыки бывшего полковника. Это — умение работать в столь некомфортных условиях без риска потери управле-ния и возможности анализировать

действия противника, способность принимать неординарные, зачастую жесткие меры.

И — последнее. История, которая стала поводом для наших рассуждений, закончилась так: бывший полковник прошел курс обучения ИТ-технологиям, а руководитель организации — осно-вам управленческой безопасности. И пока они друг на друга больше не жалуются.

Руководство подразделением спецслужбы сильно отличается от руководства отде-лом безопасности юридического лица или ИП. Прежде всего, возникает иная моти-вация: я несу полную ответственность за своих сотрудников, а мотивировать их, как в спецслужбе, угрозами санкций не получится.



Матрица компетенций

Вопросом о том, какими компетен-циями должен обладать специалист по ИБ, задаются многие руководители соответствующих служб. Несколько лет назад, когда я организовывал круп-ное консалтинговое подразделение известного на российском рынке ИБ-интегратора, этот же вопрос встал передо мной. Дело в том, что одной из задач было развитие компетенций моей команды как части конкурентных преимуществ интегратора.

Пришлось составить специальную матрицу компетенций и связать их с должностями, занимаемыми

специалистами подразделения. Нали-чие таких требований, на мой взгляд, положительно сказалось на молодых кадрах. И хотя мы занимались консал-тингом, значительную долю списка компетенций составили исключительно технические знания и навыки.

Постараюсь раскрыть свое видение четырех ключевых направлений совершенствования компетенций специалиста по ИБ в контексте раз-вития его карьеры — от рядового сотрудника до руководителя службы информационной безопасности. Осно-вой рассматриваемой модели стала концепция, описанная экспертами компании Deloitte в рамках недавнего исследования (http://www2.deloitte.com/us/en/pages/about-deloitte/articles/press-releases/deloitte-reveals-top-challenges-facing-new-cisos.html). Эксперты Deloitte выделили следующие уровни (роли) и направления деятель-ности руководителей служб ИБ:

• Технарь — оценка и внедрение новых технологий и стандартов для поддер-жания необходимого уровня безопас-ности предприятия;

• Защитник — защита бизнес-активов на основе понимания текущего профиля угроз и управления эффективностью программы безопасности;

• Советник — взаимодействие с бизнес-руководителями с целями их обучения, консультирования и оказания влия-ния на реализацию бизнес-проектов в контексте имеющихся рисков;

• Стратег — адаптация стратегии инфор-мационной защиты к потребностям бизнеса, обеспечение инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.

Проведенные Deloitte опросы позво-лили выяснить, что большую часть рабочего времени ИБ-руководители занимаются задачами Технаря и Защитника, а вот задачами Советника и Стратега — очень мало (хотя, к слову, бизнес ожидает обрат-ного). Отчасти это обусловлено тем, что из-за ограниченности людских ресурсов в ИБ-подразделениях даже их руководителям зачастую приходится решать операционные и технические задачи. Кроме того, нехватка определенных навыков мешает тому или иному специалисту выйти на новый уровень.

Навыки как этапы карьеры

Давайте теперь рассмотрим необ-ходимые навыки, соответствующие указанным уровням, с точки зрения карьеры безопасника. На началь-ном этапе специалист по ИБ обычно становится типичным Технарем — администратором информационной безопасности или средств защиты. В этом нет ничего плохого, ведь для реализации его задач необходимо знать и понимать технологии, причем не только ИБ, но и ИТ, которые, соб-ственно, ему и предстоит защищать.

И швец, и жнец, и на дуде игрецКаковы ключевые направления профессионального развития специалистов по информационной безопасности? Какими компетенциями должны обладать ИБ-руководители, и можно ли полностью «увязать» между собой эти компетенции?

АЛЕКСАНДР БОНДАРЕНКОГенеральный директор R-Vision


51№12 | IV квартал 2015

Не обладая хотя бы базовыми знаниями по администрированию ИТ-инфраструктуры, по Active Directory и проч., безопасник сможет лишь писать инструкции (которые, отметим, никто не будет исполнять, поскольку они окажутся оторванными от реаль-ности). В таком случае ИТ-специалисты быстро поймут, что имеют дело с чело-веком, не знающим современные технологии и суть их работы, и его авторитет неизбежно снизится. Итак, технарские навыки — надежный

фундамент деятельности хорошего ИТ/ИБ-специалиста, даже если он занимается преимущественно кон-салтингом или бумажной работой.

Не менее важно умение примене-ния таких навыков для реализации конкретных задач ИБ, интеграции решений между особой, подбора наиболее эффективных методов защиты конкретной компании — в предложенной модели это соответ-ствует уровню Защитника. Данное направление близко к техническому, но скорее относится к компетенции «архитектора» по безопасности. Дру-гими словами, продвинутый технарь с дополнительными аналитическими навыками, более широким кругозором и знанием общего спектра существу-ющих технологий и решений по ИБ может не просто внедрять технологии, но и делать это в контексте актуальных потребностей бизнеса и ландшафта актуальных угроз.

Чаще всего такие безопасники — выходцы из сферы ИТ. Они прекрасно знают все тонкости защиты на техноло-гическом уровне, но у них возникают некоторые сложности в представлении своей деятельности на бизнес-уровне, а также в решении высокоуровневых задач, обеспечивающих соблюдение

требований законодательства, вне-дрение международных стандартов или управление рисками ИБ. Другими словами, возникают проблемы в тех областях, где в меньшей степени нужны знания конкретных технологий, а в большей — оперирование бизнес-понятиями.

Деятельность Советника — безусловно, управленческая деятельность. Она требует взаимодействия с многими подразделениями, выявления их потреб-

ностей и встраивания ИБ-задач в общий контекст деятельности компании. Теперь на первый план выходят навыки коммуникаций, проведения переговоров, управленческой работы, процессного моделирования, написа-ния соответствующих регламентов, внедрения лучших практик в обла-сти управления ИБ, моделирования рисков и планирования (стратегиче-ского и тактического). Специалисту по ИБ необходимо развивать у себя так называемые soft skills (то есть навыки эффективного коммуници-рования), чтобы популяризовать в компании и вывести на заметный уровень деятельность по информа-ционной защите. Без таких навыков ИБ-подразделение вряд ли сможет расчитывать на что-то иное, кроме решения чисто технических задач, а его деятельность будет восприни-маться бизнесом как «неизбежное зло», с которым приходится мириться, а порой и бороться.

Наконец, уровень Стратега предпо-лагает наличие серьезных бизнес-компетенций. На данном уровне специалист должен, в первую очередь, иметь детальное представление о том, как работает бизнес, что является ключевым для достижения требуемых бизнес-показателей, какова бизнес-стра-

тегия компании и как информационная безопасность может быть встроена в эту стратегию с целью получения максимальной отдачи для бизнеса. Следует уметь оперировать такими понятиями, как возврат инвестиций (ROI), ключевые показатели эффек-тивности (KPI) и пр., оценивать риски в контексте общих бизнес-рисков организации, «переводить» использо-вание тех или иных технологий защиты в бизнес-преимущества, способы расширения бизнеса и увеличения

клиентской базы. Выход на этот уровень без бизнес-образования и длительной работы в соответствующей отрасли практически невозможен, чем, отчасти, и объясняется то, что не так уж часто можно встретить ИБ-руководителей, в навыки которых входит «прокачан-ная» стратегическая составляющая.

Отмечу, что одновременное разви-тие ИБ-специалиста по всем четы-рем направлениям, скорее всего, невозможно. В противном случае ему потребовался бы охват очень большого объема знаний и навыков, которые, к тому же, должны были бы оказаться востребованными в текущей деятельности конкретной компании. Обычно по мере карьерного роста вопросы техники уходят на второй план и более важными становятся управленческие навыки.

Однако проведенный анализ, на мой взгляд, четко показывает необходимость всестороннего развития специалиста по информационной безопасности. А карьерный рост или даже про-сто потребность в нем неизбежно должны приводить к акцентировке ИБ-руководителя на очередном направ-лении, нуждающемся в «прокачке». Так что успехов вам в профессиональном развитии!

Проведенные Deloitte опросы позволили выяснить, что большую часть рабочего времени ИБ-руководители занимаются задачами Технаря и Защитника, а вот зада-чами Советника и Стратега — очень мало.


Авторы

Наталья Касперская, генеральный директор ГК InfoWatch, соучредитель компании «Лаборатория Касперского»

Рустэм Хайретдинов, заместитель генерального директора ГК InfoWatch, президент ассоциации BISAАндрей Голов, генеральный директор компании «Код безопасности»

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»

Сергей Хайрук, аналитик InfoWatchАлексей Волков, начальник отдела эксплуатации средств защиты информации

Управления по защите информации гендирекции ОАО «Северсталь», эксперт BISAАлексей Сергеев, руководитель службы ИБ компании «НЕВАДА»

Андрей Власов, аспирант Финансового университетаЭльман Бейбутов, руководитель аутсорсинга ИБ компании Solar Security

Павел Седаков, обозреватель ForbesВладимир Кропотов, руководитель отдела мониторинга компании Positive Technologies

Евгений Гнедин, ведущий аналитик Positive TechnologiesАнатолий Виклов, Security Engineer компании Check Point Software Technologies

Андрей Бешков, руководитель программы безопасности Microsoft в Центральной и Восточной ЕвропеМария Воронова, ведущий эксперт по ИБ компании InfoWatch, эксперт BISA

Рашид Нугаев, преподаватель УЦ «Информзащита»Александр Бондаренко, генеральный директор R-Vision

Информация

Номер журнала: № 12, IV квартал 2015 г.Тираж: 1000 экз.

Распространяется бесплатноНомер свидетельства: ПИ № ФС 77–54908

Свидетельство о регистрации СМИ: ПИ № ФС 77–54908Зарегистрировавший орган: Федеральная служба по надзору в сфере связи,

информационных технологий и массовых коммуникацийГлавный редактор: Олег Седов

Литературный редактор: Наталья СоболеваВерстка: Илья Залыгин

Дизайнер: Дарья КиршеРуководитель по развитию сообщества BISA: Алёна Подкорытова

Адрес редакции: 123022, Москва, 2-я Звенигородская ул., д. 13, стр. 41Дизайн и печать — типография «ЮСМА»: 109316, Москва, Волгоградский пр-т, д. 42, корп. 5

Интернет-версия издания: http://bis-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов

Е-mail: [email protected]

Рукописи не возвращаются и не рецензируются.Редакция не несет ответственности за достоверность рекламных материалов. Любое воспроизведение

материалов и их фрагментов возможно только с письменного согласия редакции.

Журнал«!Безопасность Деловой Информации»

Наши выпускиЖурнал о трендах, знаниях и личномопыта

в области защиты информационных активов

III êâàðòàë 2015

№ 11

ÈÍÍÎÂÀÖÈÈ Â ÈÁÎ ïðîäàâöàõ ïðîøëîãî ñ ïðèöåëîì íà áóäóùååÐóñòýì Õàéðåòäèíîâ

Ðåöåïòû ïðîåêòèðîâàíèÿ IDM

Ñåðãåé Ñîëäàòîâ

Êóçíèöà ïðîðûâíûõ òåõíîëîãèéÐåíàò Áàòûðîâ

ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ...IV квартал 2015 12ЗАЩИТА...

Documents

Transcript of ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ...IV квартал 2015 12ЗАЩИТА...