Приложение (Украина) №87(908) от 28.05.09 |
|
Скрытые и явные угрозы
 | | | СПЕЦИАЛИСТЫ ПРЕДУПРЕЖДАЮТ, ЧТО ЗЛОУМЫШЛЕННИКИ ДАВНО ПОДОБРАЛИ КЛЮЧИ К ТРАДИЦИОННЫМ МЕТОДАМ ЗАЩИТЫ КОРПОРАТИВНОЙ ИНФОРМАЦИИ | | | |
Количество угроз информационной безопасности бизнеса постоянно растет. Но, как правило, о методах защиты вспоминают после того, как важная корпоративная информация уже стала достоянием третьих лиц. Учитывая, что общий уровень экономической безопасности предприятия напрямую зависит от степени информационной защиты, вынужденное сокращение в условиях кризиса данной статьи расходов в корпоративном бюджете может привести к потерям, сумма которых значительно превысит размер сэкономленных средств.
Владимир Безмалый, обладатель статуса MVP Consumer Security от корпорации Microsoft, специально для "Телеком/IT"
Информационная безопасность – это не только антивирусы, "файерволы", IDS, IPS, DLP-системы и т. д., а обеспечение безопасности – задача не одних лишь сотрудников IT-отдела и службы информационной безопасности. Наибольшую угрозу сохранности корпоративной информации представляет человеческий фактор, то есть низкий уровень IT-грамотности персонала (на данную категория угроз приходится около 4/5 общего ущерба, в том числе вследствие недостаточного уровня подготовки IT-специалистов). Этому благоприятствует отсутствие на предприятиях политики безопасности, в частности градации информации по степени конфиденциальности и доступности. Очевидно, назрела необходимость введения тестов в сфере информационных технологий для определения знаний и навыков персонала. Говоря о проблеме в целом, нельзя не отметить еще одну важную причину, заключающуюся в неосведомленности руководителей компаний в области IT и информационной безопасности. Сегодня эти технологии часто воспринимаются ими как затратные и не влияющие на бизнес, что, в принципе, неверно.
Впрочем, обученные IT-специалисты и грамотные пользователи – еще не гарантия защиты, так как взлом корпоративных баз данных уже стал подпольной индустрией. Это видно по резко изменившемуся характеру вредоносных программ. Еще недавно атаки вредоносного программного обеспечения (ПО) наносились по методу коврового бомбометания – в кого-то да попадет. Но этот метод позволял антивирусным лабораториям сравнительно быстро получать образцы вредоносного ПО. Сегодня выгоднее наносить точечные удары, используя методы социальной инженерии. Все чаще вредоносное ПО пишется под крупную фирму, точнее под конкретных сотрудников, с учетом их интересов. Это гораздо сложнее, требует больших усилий и средств, но и результат близок к 100%, поскольку такое ПО почти невозможно обнаружить с помощью антивирусных программ. Подобным угрозам можно противопоставить только обучение персонала методам противодействия, а также максимальное ограничение прав пользователей и внедрение мер проактивной защиты. То есть, следует создавать условия, при которых злоумышленникам становится экономически невыгодно атаковать предприятие.
Отдельно стоит остановиться на угрозах корпоративной информационной безопасности, исходящих от сотрудников, которым объявлено об увольнении. Во время экономического кризиса эта проблема является очень актуальной и усугубляется тем, что на предприятиях принципы и положения о коммерческой тайне часто выполняются лишь формально. Немногие из руководителей отдают себе отчет, что если сотрудник при приеме на работу не подписывал соглашение о неразглашении информации, то, унося с собой после увольнения базу клиентов, он, по сути, ничего не нарушает. А отсутствие подписанного сотрудником положения о коммерческой тайне фактически не позволяет взыскать с него материальный ущерб в судебном порядке.
К отдельной категории угроз специалисты в области информационной защиты относят так называемую "инициативную вербовку", когда сотрудник по собственной инициативе собирает те или иные сведения для продажи конкурентам. По статистике в европейских компаниях около 60% уволенных сотрудников уносят корпоративную информацию. В украинских же реалиях менеджеры при переходе на другое место работы считают чуть ли не своим долгом скопировать базу клиентов, которых они поддерживали.
Еще одна категория угроз – отсутствие политики регламентации использования сотрудниками технических устройств (ноутбуки, мобильные телефоны, флеш-носители), на которых может содержаться корпоративная информация. А ведь по статистике только в США командированные сотрудники еженедельно теряют в аэропортах более 10 000 ноутбуков, на жестких дисках которых содержится важная, как правило, незашифрованная информация.
Следовательно, учитывая современные вызовы и угрозы сохранности корпоративной информации, на каждом крупном предприятии должно быть если не подразделение, то хотя бы определенный специалист в сфере IT-безопасности. Этот человек (отдел) должен напрямую подчиняться первому лицу в компании и иметь рычаги для внедрения решений в области комплексной информационной защиты. Как вариант, за аудит и обеспечение IT-безопасности может взяться специализирующаяся в этой области сторонняя компания, что, впрочем, не всегда избавляет от необходимости создавать собственную службу по информационной безопасности. Сегодня же не редкость, когда всю работу по обеспечению IT-безопасности осуществляет системный администратор IT-подразделения, а внедрение технологий безопасности проводится методом латания дыр.
От кого исходит угроза?
Виталий Береза, руководитель отдела информационной безопасности компании "БМС Консалтинг"
– Наибольшая проблема безопасности – в людях. Руководители предприятий начнут уделять внимание проблеме информационной безопасности только после нескольких громких скандалов, связанных с хищением данных. Сейчас никто не выносит сор из избы, поскольку доказать что-либо в суде нереально, а разглашение факта утечки информации повредит имиджу. Чтобы разорвать этот замкнутый круг, нужны изменения в законодательство, в частности, обязывающие информировать заинтересованные лица о хищении относящейся к ним информации (например, банки обязаны информировать своих клиентов). Следует также внести поправки в законы и кодексы, регламентирующие доказательную базу по делам, связанным с преступлениями в сфере высоких технологий.
Виктор Жора, начальник отдела защиты информации компании "Атлас"
– Несмотря на значительное развитие индустрии средств и услуг по обеспечению безопасности информации, злоумышленники все равно идут на шаг впереди. И проблема не в отсутствии эффективных средств защиты либо квалифицированных консультантов. Основная проблема – отсутствие понимания необходимости защищать информационные ресурсы. Ведь информация уже давно стала товаром, и чем быстрее собственник бизнеса поймет, что успешное ведение дел напрямую зависит от безопасности информации, тем меньшие потери он понесет в результате различных инцидентов и тем проще ему будет построить надежную и адекватную систему защиты. Современные технически изощренные угрозы – это лишь новые проявления старых, фундаментальных, но до сих пор массово неосознанных угроз.
Владимир Тихонов, руководитель службы консалтинга украинского представительства "Лаборатории Касперского"
– Если говорить об основных угрозах сегодняшнего дня, то ими, безусловно, являются внутренние угрозы. На второе место по объему наносимого ущерба, на мой взгляд, выходят угрозы вредоносного ПО, для борьбы с которым выпускается соответствующее антивирусное ПО. Но стоит подчеркнуть, что одними техническими средствами нельзя победить ни угрозу вредоносного ПО, ни тем более внутренние угрозы. Компаниям следует понимать, что внедрение безопасности IT – это непрерывный процесс, а саму защиту необходимо непрерывно модифицировать.
Константин Здыбель, главный специалист в области защиты информации компании "Бакотек"
– Ключевым фактором является квалификация персонала и четкая формулировка политики безопасности компании. Отношение к IT-безопасности у украинских компаний абсолютно халатное. Из всего арсенала средств для защиты сетей они чаще всего останавливаются на антивирусном ПО и брандмауэре. Более продвинутые могут еще задуматься о каком-нибудь антиспам-решении и IPS. Об утечках конфиденциальной информации почти никто не думает, а ведь такие угрозы приводят к самым значительным потерям. Вот и приходится объяснять, что если у вас сотрудники ездят в командировки с ноутбуками, то непременно нужно использовать средства шифрования, чтобы обезопасить себя в случае их потери. Благо, качественных продуктов в этом секторе хватает: взять хотя бы McAfee Endpoint Encryption. А чтобы информация не ушла в чужие руки благодаря действиям инсайдеров, необходимо использовать решения типа McAfee Data Loss Prevention, которое способно контролировать утечку конфиденциальных данных и с помощью внешних носителей информации, и по сети. Для контроля подключаемых внешних устройств можно также использовать довольно популярный DeviceLock.
Еще один немаловажный аспект защиты сети – знание ее уязвимых мест. Такие решения как GFI LanGuard Network Security Scanner позволяют обнаружить уязвимость ПО, некорректности в конфигурировании политики безопасности, отсутствие обновлений ОС, антивирусов и т. п. Но главное – они могут эти пробелы устранить.
|
|
|
|
|
|
|
