Угрозы и риски информационной безопасности
Все помнят операцию "Буря в пустыне". В свое время иракскими военными была закуплена французская система ПВО, имеющая "информационные дыры" в системе управления, чем и воспользовались американцы, вопрос только в том, а как они об этом узнали?
«Кто предупрежден, тот вооружен»
Все помнят операцию «Буря в пустыне», которая оказалась столь удачной не только потому, что американские рейнджеры быстро бегали и метко стреляли. В свое время иракскими военными была закуплена французская система ПВО, имеющая «информационные дыры» в системе управления, чем и воспользовались американцы, отключив ее спутниковым сигналом. А для верности использовали и радиоэлектронное подавление. Техника победы проста, вопрос только в том, а как об этом узнали американцы?
Цель данной статьи – еще раз напомнить об информационных угрозах сегодняшнего дня и о рисках, связанных с обработкой «персональных данных».
Существует два основных типа опасностей:
- Злоумышленные угрозы информационной безопасности. Они, как правило, вызваны преднамеренным желанием субъекта осуществить несанкционированные изменения, приводящие к достижению поставленной им цели. Непредумышленные угрозы информационной безопасности. Это чаще всего случайные ошибки обслуживающего персонала, в результате которых возникают дестабилизирующие факторы, влияющие на технологическую безопасность функционирования информационных систем.
Как появляется ПО с «информационными дырами»
Действия алгоритмических и программных закладок условно можно разделить на три класса: изменение функционирования вычислительной системы (сети), несанкционированное считывание информации и несанкционированная модификация информации, вплоть до ее уничтожения (Табл.1). В последнем случае под информацией понимаются как данные, так и коды программ. Среди программных закладок именно этот способ приводит к наиболее опасным последствиям. Следует отметить, что указанные классы воздействий могут пересекаться.
Классы |
Воздействие |
1. Изменение функционирования вычислительной системы (сети) |
|
2. Несанкционированное считывание информации |
|
3. Неразрешенная модификация информации и ее уничтожение |
|
Таблица 1.
Из вышеизложенного следует, что алгоритмические и программные закладки имеют широкий спектр воздействий на данные, обрабатываемые информационной системой. Следовательно, при контроле за технологической безопасностью ПО необходимо учитывать его назначение и состав программно-аппаратной среды информационной системы.
В таблице 2 мы расположили некоторые сценарии, которые могут приводить к реализации злоумышленных угроз и, соответственно, к нарушениям технологической безопасности информации на различных этапах жизненного цикла ПО.
Этапы |
Сценарии |
ЭТАП ПРОЕКТИРОВАНИЯ |
|
ЭТАП КОДИРОВАНИЯ |
|
ЭТАП ОТЛАДКИ И ИСПЫТАНИЯ |
|
КОНТРОЛЬ |
|
ЭКСПЛУАТАЦИЯ |
|
Таблица 2.
Типичным для всех этапов сценарием является поставка и внедрение информационных технологий или их элементов (продуктов ПО и ВТ), содержащих программные, аппаратные или программно-аппаратные закладки.
Кто-то может сказать, что это все из области фантастики и теории, однако опыт показывает, что это из области суровой статистики.
О вредоносном ПО
В 2007-2008 гг. разработчики антивирусов столкнулись с резким увеличением числа вредоносного ПО, нацеленного на банки (financial malware). Несмотря на то, что финансовые организации не предоставляют точной информации, очевидно, что число атак на банки также возросло.
Авторы вредоносного ПО постоянно модифицируют свои программы, чтобы сделать их невидимыми для антивирусов, и количество таких модификаций растет. Впрочем, если изменения незначительны, антивирус сможет обнаружить новую вредоносную программу, используя сигнатуры предыдущих ее модификаций. Однако атаки на банки — это, как правило, многоступенчатый процесс: социальная инженерия, фишинг, использование троянских программ-загрузчиков, устанавливаемых на компьютер-жертву вредоносного финансового ПО. С одной стороны, злоумышленникам проще модифицировать троянца (который, как правило, меньше по размеру и не столь сложный), чем сами вредоносные финансовые программы. А с другой стороны — все зависит от банка и от размера цели.
С 2007 г. произошло также резкое увеличение числа троянских программ, предназначенных для кражи данных, которые пользователь вводит в веб-форму браузеров Internet Explorer, Opera и Firefox. Таких «троянцев» легко приспособить для кражи реквизитов кредитных карт, причем их использования может оказаться вполне достаточно для взлома системы защиты банка: все зависит от степени надежности принятых мер ИБ.
Человеческий фактор
Согласно существующей статистике, в рабочих коллективах, как правило, только около 85% сотрудников являются вполне лояльными (честными), а из остальных 15%:
• 5% могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала;
• 5% готовы рискнуть на противоправные действия, даже если шансы быть уличенным и наказанным складываются 50 на 50;
• 5% готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны.
Такая статистика в той или иной мере может быть применима и к коллективам, участвующим в разработке и эксплуатации информационных систем и их компонентов.
Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программных комплексов, способны осуществить действия криминального характера из корыстных побуждений либо под влиянием каких-нибудь иных обстоятельств.
По другим данным, в частности, считается, что на каждого «подлого хакера приходится один обозленный и восемь небрежных работников, и все они могут производить разрушения изнутри».
Преднамеренные и непреднамеренные нарушения безопасности ПО и компьютерных систем большинство отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои аппаратных средств ИС, ошибки ПО и т.п. часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности.
С некоторой степенью условности злоумышленников в данном случае можно разделить на два основных класса:
• злоумышленники-любители (будем называть их хакерами);
• злоумышленники-профессионалы.
Хакеры — это, как правило, люди, увлеченные компьютерной и телекоммуникационной техникой, имеющие хорошие навыки в программировании и довольно любознательные. Их деятельность в большинстве случаев не приносит особого вреда компьютерным системам.
А вот «злоумышленники–профессионалы» — это отечественные, зарубежные и международные криминальные сообщества и группы, а также правительственные организации и службы, которые осуществляют свою деятельность в рамках концепции «информационной войны». К этому же классу можно отнести и сотрудников самих предприятий и фирм, ведущих разработку или эксплуатацию ПО.
Подводя итог, вспомним Правило Парето 80/20. И в нашем случае оно работает, а именно: 20% инцидентов в области ИБ приходится на злоумышленные воздействия извне, в том числе чрезвычайные ситуации, влияющие на непрерывность бизнеса. А 80 % – это непреднамеренные нарушения информационной безопасности. То есть, основная угроза и основные риски все же находятся внутри компании и реализуются ее сотрудниками.
Реальные факты
В апреле 2007 г. произошло сразу две утечки с приставкой "мега". Во-первых, это очередной инцидент в компании ACS (Affiliated Computer Services), а во-вторых — утечка программного кода новой игры Lineage III от разработчика NCsoft.
Что касается NCsoft, то начиная с 2006 г. софтверная компания постоянно испытывала проблемы с внутренним менеджментом. Чтобы улучшить ситуацию, владельцы уволили руководителя проекта, но это лишь обострило проблемы. Вслед за начальником команды компанию покинуло большое число разработчиков. Программисты перед увольнением скопировали код новой игры и продали конкурентам. По оценкам NCsoft, убыток составил свыше миллиарда долларов.
Утечки с ущербом в десятки миллионов долларов уже не шокируют. Однако «астрономические» величины потерь в сотни миллионов и даже миллиарды не могут не задевать. Ведь от действий инсайдеров не застрахована ни одна организация. И если информация не защищена от утечек с помощью современных комплексных систем, убытки могут привести даже к банкротству компании.
Ущерб от утечек рассчитывается по-своему для каждого конкретного случая. В основе схемы лежит общее число пострадавших людей и характер утечки. Далее оценивается предварительный ущерб. Это можно сделать, базируясь на актуальном для США законе, который требует уведомлять граждан, чьи персональные данные оказались скомпрометированы. Уведомления об инциденте рассылает организация, которая допустила утечку. В некоторых случаях одни почтовые расходы тяжким бременем ложатся на бюджет компаний. Далее определяется число граждан, которые станут жертвой мошенников из-за конкретной утечки. Когда посчитан и этот ущерб, учитываются дополнительные обстоятельства каждого случая. Например, для коммерческой компании убытки вследствие потери имиджа будут значительно выше, чем для государственного университета.
Согласно отчету InfoWatch, на первом месте среди утечек конфиденциальной информации стоят персональные данные, на втором — коммерческая тайна и ноу-хау.
Актуальность темы об утечках конфиденциальной информации по-прежнему высока. Даже в тех странах, где «кража личности» затруднена (как, например, в России). В связи с этим внедряются DLP-системы, вводится обязательное информирование пострадавших об утечках, предпринимаются иные меры.
Важной брешью в защите от утечек является отсутствие шифрования мобильных носителей информации и мобильных компьютеров. Хотя эту брешь заделать дешевле, чем другие: достаточно ввести принудительное шифрование мобильных носителей.
Государственное регулирование в данной области идет по пути борьбы с последствиями утечек. Основной способ — информирование потенциальных потерпевших и введение для них финансового мониторинга.
Стандарты безопасности
Стандарт ISO/IEC IS 27001:2005 определяет информационную безопасность как сохранение конфиденциальности, целостности и доступности информации. Кроме того, в понятие ИБ могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность. Данная формулировка ИБ полемична, но это не предмет данной статьи.
Основной задачей ИБ, согласно указанному стандарту, является защита информационных ресурсов компании от внутренних и внешних умышленных и неумышленных угроз.
Целью ИБ является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов и уменьшения размеров потенциального ущерба.
Одними из наиболее характерных особенностей с точки зрения понятий и положений систем менеджмента информационной безопасности в рамках конкретных требований, определенных стандартом ISO/IEC IS 27001:2005, являются понятия ключевых компонент ИБ. При этом стандарт определяет такие компоненты, как конфиденциальность, целостность и доступность.
В указанном стандарте дано определение информации: это ресурс, который имеет ценность для компании, и, следовательно, нуждается в соответствующей защите (сведения о фактах, событиях, процессах и явлениях, состоянии объектов (их свойствах и характеристиках) в некоторой предметной области, необходимые для принятия решений в процессе управления этими объектами).
Что будет, если ничего не делать
Федеральный закон № 152 вступил в силу 26 января 2007 г. Названа критическая дата 01.01.10, приняты законодательные акты, ряд требований и других нормативных документов, назначен уполномоченный орган и регуляторы, ведется регистрация и проверка операторов ПД, определена административная и уголовная ответственность. Постоянно проводятся тематические конференций и семинары, где рассматриваются практические аспекты построения системы защиты ПД, правоприменительная практика и проблемные вопросы, возникающие при создании ИСПДн. При уполномоченном органе по защите прав субъектов персональных данных создан Консультативный совет, в состав которого входят, в том числе, представители общественности. Разработчики информационных систем совместно с интеграторами создают Центры компетенции по защите персональных данных.
Не буду говорить об актуальности вопроса об исполнении требований этого закона, который сегодня находятся в фокусе внимания не только специалистов по информационной безопасности, но и руководителей тех компаний, которые уже направили уведомление согласно требованиям. Напомню о том, что в журнале этого года (№ 6) есть статья, где подробно рассказано, что нужно делать. Поговорим о том, что будет, если ничего не делать.
В России существует, особенно в финансовых кругах, такое понятие, как «риск регуляторов». Реализация контрольных мероприятий при обнаружении замечаний в части обработки персональных данных может завершиться актом об административном правонарушении с наложением на руководителя компании штрафных санкций. И дело не в той денежной сумме, которая уйдет в пользу государства, а в самом факте произошедшего. Это прецедент, из которого возникает репутационный риск, связанный с регулированием обработки персональных данных. И конкуренты, тем более, если компания является публичной, непременно воспользуются этим фактом. И полагаю, нет смысла подробно перечислять все случаи громких рейдерских захватов и поглощений этого года. Стоит лишь сказать, что любому рейдерскому мероприятию предшествует большая работа по сбору информации не только из открытых источников и тем более законным путем. Также следует помнить, что те финансовые потери, которые может понести компания в будущем, в том числе будут связаны с кражей персональных данных. Методика просчета финансовых потерь упоминалась выше.
Полагаю, что создание в России института защиты прав субьектов персональных данных не только обяжет формировать системы защиты персональных данных, но и приведет рачительных и бережливых хозяев бизнеса к пониманию необходимости комплексного подхода к защите конфиденциальной информации компании в целом, послужит экономии средств и защите бизнеса.
Подводя итоги
Безусловно, кризисные явления повлияли на развитие российского IТ-рынка в целом, и рынка информационной безопасности в частности. Большинство пользователей IТ-технологий понимают, что в сложной экономической ситуации стоимость информации возрастает, и именно информационные системы компаний подвергаются риску реализации внешних и внутренних угроз. Это является основным фактором для бизнеса делать инвестиции в информационную безопасность и соответствовать требованиям регуляторов и международным стандартам с целью обеспечения непрерывности бизнеса и устойчивого развития компании.
Литература
1. Казарин О. В. Безопасность программного обеспечения компьютерных систем. www.cryptography.ru
2. Роул Шоуэнберг. Атаки на банки. «Лаборатория Касперского». www.itsec.ru
3. Международный стандарт ISO/IEC IS 17799-2:2005. Информационные технологии. Практические правила менеджмента информационной безопасности. www.GlobalTrust.ru
4. Международный стандарт ISO/IEC IS 27001:2005. Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. www.GlobalTrust.ru
5. Утечки в 2008 году. Исследование аналитического центра компании InfoWatch. http://www.itsec.ru/
Виктор Минин, член правления Союза ИТ-директоров России, Сопредседатель комитета по ИБ
Опубликовано 05.11.2009