Опасности информационной безопасности (лонгрид)

(все приведенные в статье примеры из реальной практики, названия компаний - вымышленные)

В предыдущей статье «Сделай мне безопасно или почему безопасники в бизнесе не всегда оправдывают ожидания» я уже описывал проблематику формирования и контроля работы службы безопасности (далее – СБ) в бизнесе, а также затронул вопрос, связанный с функционирование системы информационной безопасности в современной российской компании.

«Кто владеет информацией – тот владеет миром» - это избитая фраза, известная, наверно, даже детям. Ее глубинный смысл при этом часто ускользает от внимания руководителей. Можно иметь серьезную СБ компании, которая способна как защитить от рейдерского захвата, так и «договориться» с органами, но если есть брешь в защите информационной инфраструктуры фирмы, то «злоумышленник с мозгами» бить будет именно туда.

У ООО «Волга» была как раз подобная ситуация: безопасник – бывший сотрудник спецподразделения, директор фирмы – человек, с которым в городе считались. Никто даже и помыслить не мог наехать на них. По крайней мере, так считало руководство «Волги». Защитой информационной инфраструктуры занимались два IT-специалиста, которые выполняли весь функционал от администрирования сети до замены картриджей в принтерах. Всех все устраивало, ровно до тех пор, пока бухгалтерия компании не стала жертвой банальных кибермошенников, укравших порядка 17 млн. рублей со счетов организаций (заражение 1С-бухгалтерии вредоносным программным обеспечением, подмена реквизитов платежных поручений, маскировка своего функционирования в системе. Для доступа к системе дистанционного банковского обслуживания использовались USB-токены), а также, возможно, иную чувствительную информацию. Был ли это «заказ» или случайное совпадение установить не удалось, но скандал в компании был грандиозный. Как так получилось? Кто осмелился?... Директор рвал и метал, а безопасник вообще попал в больницу с давлением из-за стресса.

Злодеи в приведенном примере действовали «по науке». Зачем пытаться ломиться в тяжелые металлические двери защиты, если высота забора в некоторых местах небольшая. Можно даже вывести правило: «В общем случае, злоумышленник для атаки будет выбирать наиболее ослабленное звено». А наиболее ослабленным, как правило, является IT-сегмент. В случае с «Волгой», вопросы IT-безопасности в общей концепции безопасности стояли на последних местах, так как угрозы из информационной сферы руководство просто не видело, привыкло жить «старыми» категориями угроз, как то силовой захват предприятия, давление административного ресурса, и т.д.

В тех организациях, в которых уделяется внимание вопросам информационной безопасности, как правило, их решение возложено либо на IT-подразделение фирмы в целом, либо на отдельного специалиста. Действительно, кто же еще должен заниматься подобными вещами? Действия руководства вполне понятны, ведь айтишники обслуживают всю информационную инфраструктуру и знают ее достаточно неплохо. Логичным выводом является то, что они должны и защищать ее. Опять же все вроде правильно и логично, но есть целый ряд НО:

• Перегрузка обязанностей. Часто обеспечение информационной безопасности – дополнительные задачи, на которые не всегда выделяется необходимый персонал или финансирование, таким образом, сотрудники вынуждено игнорируют большую часть задач данного направления. Так и в примере с «Волгой», IT-персонал долго бился с непониманием проблемы защиты информационной инфраструктуры со стороны руководства, просил выделить финансирование и еще одну штатную единицу, на что постоянно получал отказ, не смотря на то, что финансовые возможности у компании были (сравните сумму разовых потерь фирмы и расходы на содержание дополнительного специалиста – порядка 1,8 млн. рублей в год, с учетом налогов).

• Противоречащие задачи. Часто встречающаяся проблема, схожая с предыдущей, которая заключается в том, вопросы IT-безопасности ставятся как дополнительные к общим вопросам обслуживания информационной инфраструктуры компании. При этом, от специалиста требуют иногда решения противоположных задач: защита и комфортная работа бухгалтерии, безопасная связь и удобство работы топ-менеджеров по «удаленке»,… В такой ситуации, бухгалтеры «весь мозг» выедят, если им что-нибудь не понравится, топ-менеджеры своим влиянием будут давить на IT-специалистов, чтобы последние сделали так, как надо руководителям, «пусть внесут исключения, чтобы можно работать из дома не по VPN, а то неудобно, долго подключается»,…И если эти требования на виду, попробуй не исполни и без премии останешься, то вопросы безопасности, которые им могут противоречить – на втором плане, неявные. Результат неисполнения требований руководства и обслуживаемых подразделений полностью виден и сразу будет доложен директору, а неполного решения задач безопасности – неявен и будет виден только в случае инцидента безопасности, авось пронесет. В результате часто IT-специалист может поступиться вопросами безопасности в пользу сиюминутных требований.

  У ООО «Сириус» была подобная ситуация. Один IT-специалист обслуживал парк из 152 компьютеров, 7 серверов на производственном предприятии. От него требовали и решения всех задач по обслуживанию и нормальному функционированию локальной сети компании и ее защиты. При этом, если падал сайт компании, сбоила телефония,… то работника выдергивали прямо из отпуска или с больничного, а задачи по безопасности ставились, но никак не контролировались. Да и как их проконтролировать, если в этом никто ничего не понимал. Стоит отметить, что доступ к расчетным счетам фирмы имели двое: главный бухгалтер для проведения платежей и секретарь в приемной (вдруг главбуха не будет на месте, а надо будет срочно заплатить по счету). При этом из USB-концентратора на обоих рабочих местах торчали токены для доступа к счетам, примотанные скотчем на случай, если уборщица их заденет. Аргументация руководства была очевидна: это удобно и комфортно, а то что это не очень безопасно, «дак на то у нас есть серверщик, пусть решает» (слова главного бухгалтера, записанные лично мной после инцидента). Не удивительно, что в один прекрасный день компания не досчиталась 8 млн. рублей на своих счетах. Деньги через 2 фирмы-прокладки и нескольких подставных физлиц были обналичены на Северном Кавказе. Злоумышленников так и не нашли.

• Профильные компетенции. Те же грабли, что и при выборе безопасников. Специальностей в сфере IT – великое множество, как и в медицине. С одним из руководителей состоялась следующая беседа:

  - Вот если Вы, не дай Бог, руку сломаете, то куда пойдете? К терапевту или профильному врачу хирургу-травматологу?

  - Конечно к травматологу.

  - А если в глаз осколок стекла попадет, то куда направитесь? К терапевту участковому или к окулисту сразу?

  - Что за странные вопросы? Конечно к окулисту, это и ребенку понятно.

  - Ну терапевт ведь тоже вам помочь сможет. Он ведь тоже разбирается в этих сферах, может не так хорошо, как профильный специалист.

  - Вот именно, что не так хорошо. Конечно, я пойду сразу к профессионалу. Знаний терапевта может быть недостаточно и я не собираюсь рисковать своим здоровьем.

  - В Вашей компании то же самое. Ваш IT-специалист, как терапевт. Он знает понемногу из разных областей, и достаточно из тех, которые от него требуются в компании для ее нормального функционирования. А Вы от него хотите серьезных компетенций в узкопрофильных сферах, как например в безопасности. Он сделает то, что Вы требуете настолько, насколько хватит его познаний. Возможно, этого будет достаточно, а может и нет. В общем случае и терапевт перелом сможет вылечить. А если там непростой случай? Вы готовы ему довериться? Ведь задача терапевта, как и в Вашем случае корпоративного специалиста, изучить проблему и, если хватит его квалификации, то решить ее самому, а если нет, то направить к соответствующему специалисту.

  После этого диалога директор предприятия согласился с сутью проблемы и решил (с учетом прочих аргументов: перегруженность сотрудника, ряд инцидентов безопасности, имевших место в компании) расширить штатное расписание IT-подразделения и нанять еще 2 специалистов, в том числе одного профильного по информационной безопасности.

• «Замыленный глаз». Давайте рассмотрим ситуацию: сотрудникам IT-подразделения, которые в свое время строили информационную инфраструктуру ООО «ЧиТар» и модернизировали ее в процессе роста компании (фирма за года выросла из небольшой со штатом в 30 человек до серьезной, с количеством пользователей – более 500), руководство, решившее обратить пристальной внимание на защиту конфиденциальной информации, так как были основания полагать, что ее планируют похитить, поручили повысить информационную защищенность организации. IT-персонал поступил грамотно: исследовал инфраструктуру на уязвимости, составил план устранения и реализовал его.

  Вроде все сделали правильно, но было допущено несколько распространенных критичных допущений:

  Во-первых, специалисты считали, что хорошо знают свою инфраструктуру и слабые места в ее защите, ведь они ее обслуживают каждый день. При этом они решили не тратить время на ее детальное исследование «с нуля». В результате, что логично, были упущены из вида уязвимости, ранее неизвестные. Кроме того, как показало независимое исследование защищенности информационной инфраструктуры, проведенное в последствии, не выявленными оказались и артефакты сети, то есть не полностью удаленные из системы службы. Так через одну из них (старый web-сервер Apache, который давно считался удаленным, но частично функционировал на одном из серверов) через несколько месяцев была проведена успешная атака на сеть с использованием критических уязвимостей устаревшей версии ПО, проникновение в систему и кража клиентской базы организации.

  Во-вторых, сотрудники IT-подразделения ранее никогда не занимались исследованием на уязвимости информационных систем, поэтому во многом «изобретали велосипед», причем не всегда качественный, что занимало лишнее время.

  В-третьих, в подразделении боялись, что если смогут найти критичные уязвимости, то получат не благодарность от руководства, а наказание, так как допустили их появление в свое время. В результате, к решению задачи относились достаточно халатно.

  По итогам указанного исследования и улучшения системы информационной безопасности компании действительно был выявлен и устранен ряд уязвимостей, но не все, чем и воспользовались злоумышленники в последствии.

• «Безопасность – это не состояние, а процесс». Новые уязвимости оборудования и программного обеспечения, как впрочем и иные угрозы безопасности бизнеса, появляются достаточно часто и те компании, которые считают, что выстроили периметр защиты раз и навсегда, рискуют так же, как и те организации, которые не занимаются защитой своей инфраструктуры. Безусловно, выстроенная система защиты сможет сдержать случайного злодея, но против подготовленной атаки окажется бессильна.

  ИП «Иванов», работающий на рынке бухгалтерского обслуживания организаций, несколько лет назад заказал проведение исследования защищенности информационной инфраструктуры своей компании. По итогам аудита было проведено обновление IT-сегмента и внедрено несколько решений по безопасности. Позиция руководителя была проста: «Дыры в защите нашли, залатали, потратили деньги на это и теперь можно забыть про эту проблему». Через 4 года маршрутизатор был успешно атакован злоумышленником через новую критическую уязвимость и взят под контроль. Были зашифрованы почти все компьютеры локальной сети, похищена клиентская база и бухгалтерская информация, произведена попытка хищения денежных средств со счетов компании (попытка неудачная благодаря бдительности сотрудников банка, в которой у фирмы был открыт счет). Предположительно, атака была целенаправленная, так как пришлась на последний день сдачи квартальной отчетности в налоговую, и компания сильно подвела ряд своих клиентов, затянув со сдачей.

  В результате «Иванов» понес финансовые и репутационные потери в связи с уходом ряда клиентов, приносивших почти 500 тыс. руб. ежемесячного дохода, не говоря уже о том, что «заботливые конкуренты» постарались максимально разрекламировать этот случай.

• «Иллюзия успеха». Очень простая мысль, заключающаяся в том, что любой специалист по информационной безопасности или группа специалистов, проводящая исследования защищенности сложной системы, по итогам работы отражают не 100% объективную картину, а лишь картину, соответствующую уровню их компетенций. Результат может быть очень близок к идеалу, но нет абсолютно никакой гарантии, что «злой гений», обративший внимание на данную компанию, или злодей средней руки, получивший доступ к средствам взлома, эксплойтам, разработанным продвинутыми хакерскими группами или спецслужбами (как то средства АНБ США, ставшие общедоступными), не найдет уязвимости, недоступные проверяющим.

  Таким образом, для серьезной системы информационной безопасности компании необходимо реализовывать не только стратегию комплексной защиты, но и учитывать риски успешного преодоления защиты злодеями, готовя экстренные сценарии реагирования и минимизации ущерба.

Опять же, все приведенные выше примеры и особенности, могут и не быть характерны для каждой конкретной компании полностью.

Какие выводы можно сделать?

Для повышения эффективности защиты информационной инфраструктуры компании необходимо учесть ряд моментов:

• Значимость IT-персонала. Специалисты, обслуживающие IT-инфраструктуру компании – это люди, которые имеют доступ не только ко всей циркулирующей в фирме информации, но и часто к личным данным и гаджетам руководства (ну кому еще поручить их настраивать). Таким образом, указанные сотрудники являются одними из наиболее важных (поддерживают работоспособность компании) и наиболее опасными (их компрометация способна нанести непоправимый ущерб фирме) для организации. Это необходимо учитывать при разработке и внедрении систем безопасности, прорабатывать и страховать возможные риски, связанные с IT-персоналом, разрабатывать меры повышения их лояльности компании и руководству.

• Необходимость проверки. Проводить периодические проверки защищенности IT-инфраструктуры от внутренних и внешних нарушителей. Оптимально это делать с привлечением сторонних специалистов.

• «Иллюзия защищенности». Даже самая сильная и дорогостоящая система информационной безопасности компании абсолютной защиты дать не сможет. Хорошие решения могут существенно повысить эффективность системы, но не дадут 100% гарантии от проникновения злоумышленника. Целесообразно разрабатывать сценарии реагирования на инциденты безопасности для снижения ущерба от преодоления защиты компании (что делать, если злодей преодолел все преграды и успешно атаковал, нанес ущерб; как его минимизировать и сократить простои компании; кто из сотрудников и что должен делать).

• «Повышение компетенций». Проводить периодические тренировки (учения) с персоналом компании, для того, чтобы они были осведомлены о том, как действуют злоумышленники в современном мире, что делать, если возникли подозрения в компрометации своего рабочего места, на что обращать внимание при работе на персональном компьютере.

Помните: любая система уязвима, и чем больше уверенность в ее непоколебимости, тем больше желающих проверить ее на прочность.