Новосибирский бизнес защищает информацию

Рынок информационной безопасности развивается за счет крупного бизнеса. Средние и малые предприятия пока недооценивают финансовые и репутационные риски, которые могут понести из-за потери данных. Задуматься о защите информации придется, уверены эксперты, случаи инсайда учащаются.

эксперты
Алексей Горяйнов
директор компании «Максимедиа»
Дмитрий Карпенко
IT-директор ГК «Обувь России»
Игорь Раскинд
заместитель директора ФГУП научно-технический центр «Атлас»
Евгений Серебряков
директор по безопасности компании «Мегафон-Сибирь»
Александр Суворов
менеджер по развитию бизнеса по Сибири и Дальнему Востоку компании Sun Microsystems
Александр Шведов
менеджер по продажам ИТ-решений компании Softline
Илья Яблонко
ведущий инженер отдела систем и методов обеспечения информационной безопасности компании «Микротест»

 

Рынок информационной безопасности (ИБ) развивается с конца 1990-х гг. — именно тогда предприятия достигли таких масштабов, что защита информации вышла на первый план, а из-за сложности бизнес-процессов внедрение комплексной системы ИБ собственными ИТ-службами предприятий оказалось невозможным. Сейчас, по данным компании Leta IT-Company, емкость рынка ИБ в России по итогам 2007 г. составила $700 млн.

О создании систем безопасности в Новосибирске задумывается только крупный бизнес — предприятия финансового, телекоммуникационного сектора, которые оперируют обширными базами данных клиентов, а также инновационные предприятия, основным капиталом которых является ноу-хау. Такой спрос покрывают московские компании или их филиалы в Новосибирске.

Менеджер по продажам ИТ-решений компании Softline Александр Шведов констатирует, что большинство организаций задумываются об информационной безопасности только после того, как столкнутся со случаями инсайда. «В моей практике был случай, когда после того, как специалист технической службы одного из банков решил уволиться, банк обратился к кадровому агентству для того, чтобы подобрать специалиста на замену. После двух недель работы новый сотрудник также уволился, прихватив с собой все базы данных клиентов банка, — рассказывает Александр Шведов. — Вместе с ним исчезло и кадровое агентство, которое предоставило сотрудника. Делу не дали огласки, поскольку в этом случае, кроме финансовых потерь, банк понес бы и репутационные убытки».

Заказы усложняются

Новосибирский рынок ИБ формируют не только коммерческие организации. Так, ФГУП научно-технический центр «Атлас» (до ноября 2006 г. подчинялось ФСБ, теперь — Федеральному агентству по промышленности) сейчас две трети заказов выполняет для госструктур, но постепенно расширяет сотрудничество с коммерческими организациями.

Имеют свои представительства в Новосибирске производители систем ИБ, такие как Sun Microsystems, EMC, Cisco и т.д. Их направление деятельности — проектирование систем ИБ на базе собственных решений, консультирование при проведении тендеров. Дистрибуцией самого оборудования занимаются партнеры-интеграторы.

Заказы построения систем ИБ выполняют и новосибирские компании-интеграторы, но лишь эпизодично, в то время как московские компании, такие как «Микротест», «АйТи», InfoWatch, активно продвигают услуги и программно-аппаратные средства. Ведущий инженер отдела систем и методов обеспечения информационной безопасности компании «Микротест» (Москва) Илья Яблонко отмечает, что если раньше основным спросом пользовались классические решения по межсетевому экранированию и построению защищенных каналов связи (VPN), а также антивирусные системы, то сегодня обороты набирают контентная фильтрация, комплексная периметровая защита, в том числе WEB, электронная почта и проч., защита от утечки конфиденциальной информации, защита от атак и несанк- ционированной активности. «Одно из самых популярных направлений систем ИБ — мониторинг и анализ событий и инцидентов информационной безопасности в сети», — говорит Яблонко.

Компании ограничивают доступ к информации

Директор компании «Максимедиа» (занимается веб-разработкой и хостингом) Алексей Горяйнов рассказывает, что компания защищает не только собственную корпоративную базу, но и информацию о клиентах, а также отвечает за безопасность сервисов и сайтов своих клиентов в интернете. «Мы постоянно сталкиваемся с попытками взлома серверов, проникновения внутрь сети и т.д. Как правило, основные мотивы таких взломов — хулиганство и использование серверов в личных целях: размещение страниц для фишинга*, рассылки спама и прочее», — говорит Горяйнов. Мы, как разработчики, должны обеспечивать неприступность не только своих серверов, но и серверов компаний-клиентов. Если будет похищен доступ к сети клиента и в результате произойдет утечка данных, вся ответственность ляжет на нас». По его словам, компания ограждается программно-аппаратными средствами, к тому же «только определенные люди владеют данными, круг их доступа ограничен — каждый знает только то, что ему необходимо для работы».

Директор по безопасности компании «Мегафон-Сибирь» Евгений Серебряков рассказывает, что основным информационным активом компании является база данных с информацией о клиентах. «Информация, содержащаяся в ней, подлежит защите в наивысшей степени. Для этого используется комплекс организационных и технических мер, позволяющий значительно затруднить или предотвратить несанкционированный доступ к информации. Во-первых, это набор нормативных и регламентирующих документов, устанавливающих режим обращения с информацией, во-вторых, обучение и переобучение работников, в третьих, наличие портала, посвященного ИБ, где каждый работник может задать вопрос, а также сообщить о возможных нарушениях», — рассказывает Серебряков. В компании никто не может получить доступ к той информации, которая не является действительно ему необходимой: «В исключительных разовых случаях доступ, конечно, может быть предоставлен, но он будет минимально необходимым и контролируемым. Действия людей, имеющих доступ к информации об абонентах, находятся под постоянным контролем: ни одна операция с нашей базой данных абонентов не остается незамеченной», — говорит Серебряков.

70-80% случаев утечки информации связаны с сотрудниками

Некоторые компании стремятся к тотальному контролю действий сотрудников, но не все работники готовы мириться с постоянным наблюдением. «При трудоустройстве работодатель выдавал сотрудникам мобильные телефоны со встроенными «жучками», которые позволяли прослушивать телефонные разговоры, а также следить, где территориально находится работник, — рассказывает бывший сотрудник новосибирского офиса крупной компании, специализирующейся на продаже офисной техники. — Телефоны запрещалось выключать даже ночью. Такие же «жучки» стояли и в корпоративных ноутбуках. В помещении около 30 кв. м, где работали менеджеры активных продаж, а также в комнате для курения были установлены скрытые камеры наблюдения».

По оценкам экспертов, 70-80% случаев утечки информации в компаниях связаны с сотрудниками. Если большинство компаний уже обзавелись системами, обеспечивающими внешнюю безопасность — антивирусы, антиспамы и т.д., то интерес к защите информации от злоумышленных или халатных действий сотрудников растет. «Компании хотят защититься от неавторизованных доступов на серверы, базы данных, поиска, просмотра или изменения конфиденциальных данных», — говорит Шведов.

Менеджер по развитию бизнеса в Сибири и на Дальнем Востоке компании Sun Microsystems Александр Суворов рассказывает, что, по сути, система ИБ защищает компанию от взлома конфиденциальной информации снаружи — хакерские, вирусные атаки, интернет-мошенничество (фишинг*) и т.д. и изнутри — халатные или злоумышленные действия сотрудников компании. «Любое учреждение, которое оперирует базой данных клиентов, должно иметь как интернет-связь с внешним миром, так и интранет, корпоративную сеть, которая дает возможность доступа сотрудников к информационным ресурсам компании, а также позволяет контролировать доступ к корпоративной информации», — утверждает Александр Суворов. Заместитель директора ФГУП научно-технический центр «Атлас» Игорь Раскинд предлагает для защиты от внеш- них угроз построить firewall — сетевой экран, который позволяет осуществлять контроль и фильтрацию проходящих через него данных. У сотрудников сохраняется возможность использования электронной почты, интернет-пейджеров типа ICQ или QIP, принтеров, съемных устройств хранения, мобильных телефонов для того, чтобы унести конфиденциальную информацию. Для борьбы с инсайдом существуют не только программно-аппаратные, но и организационные решения. Необходимо установить различные права пользователей для доступа к информации на сервере и к устройствам передачи данных. «Многие компании ограничивают доступ в интернет службам, которые в этом не нуждаются. Например, зачем бухгалтерии или службе охраны интернет? Им достаточно и внутренней почты», — говорит Александр Шведов.

Компания Sun Micrоsystems продвигает тонкие клиенты (компьютер-клиент, который переносит все задачи по обработке информации на сервер) как замену офисному компьютеру. Тонкий клиент оснащен smart-картой, которая ограничивает доступ пользователя к информации с сервера в соответствии с его правами и при этом блокирует возможность копирования или изменения конфиденциальных данных.

«Атлас» предлагает ставить специальные незаметные программы, которые фиксируют все манипуляции на компьютере — от перемещения файлов до передвижения мыши. Softline рекомендует устанавливать перехватчики по всем направлениям утечки информации. Все файлы, которые открываются, посылаются на принтер, по электронной почте и т.д., перехватчики подвергают нескольким видам анализа — семантическому, лексическому, контекстному и, если не находят опасности, то информация покидает пределы организации. Остается копия письма для того, чтобы в случае прецедента создать журнал расследований.

Консалтинг в области ИБ набирает популярность

Александр Шведов рассказывает, что построение любой системы ИБ необходимо начинать с аудита компании, который позволяет оценить уже существующую систему безопасности, найти «дыры», через которые может уходить информация, а также составить перечень конфиденциальных документов, которые нужно защищать. После этого определяется стратегия предприятия в области информации, которая доводится до сведения сотрудников. На второй стадии — проектирование системы защиты — подбирается несколько вариантов программно-аппаратных решений и заказчику предоставляется выбор в зависимости от стоимости системы ИБ, требований масштабируемости, интегрируемости с другими программами предприятия. Третий этап — это внедрение системы защиты информации. По словам Александра Шведова, средняя стоимость проекта по внедрению системы ИБ составляет $300 тыс. При этом Игорь Раскинд отмечает, что стоимость продажи СБ составляет около четверти от суммы контракта. После внедрения начинается долгосрочная работа по сопровождению системы ИБ (реагирование на внештатные ситуации, периодическое обновление ПО, рекомендации по улучшению защиты). При необходимости компания, установившая СБ, может обучить сотрудников предприятия — руководителей служб безопасности, пользователей средств защиты.

«Одной из наиболее важных тенденций является рост доли услуг в области ИБ по отношению к поставкам оборудования и ПО. Например, все большее число клиентов заказывают независимые аудиты ИБ: анализ соответствия состояния корпоративной информационной системы международным и российским стандартам, тестирование на проникновение, оценка рисков и информационных активов. Кроме того, подготовка к сертификации ISO 27001 и другие виды консалтинговых услуг», — говорит Илья Яблонко. IT-директор ГК «Обувь России» Дмитрий Карпенко рассказывает, что у компании не было случаев взлома системы ИБ, но коммерческие тайны защищаются. «Поскольку «Обувь России» имеет внешний сайт и выход в интернет, есть потенциальная опасность взлома информационной системы. Для минимизации рисков разработан стандарт по обеспечению информационной безопасности, который определяет всю политику в области обеспечения ИБ. Непосредственно защита определяется аппаратными, программными и людскими ресурсами», — говорит Дмитрий Карпенко.

«Мы подбираем сотрудников, лояльных компании, поэтому уверены, что они не будут выносить данные, представляющие коммерческую тайну, вовне. Кроме того, вся информация имеет разграничение по уровню доступа. Каждый сотрудник, в зависимости от его полномочий и компетенций, имеет доступ к нужной для его работы информации», — говорит Карпенко.

Сейчас в России существует несколько законодательных документов, регламентирующих действия с базами данных.Они носят рекомендательный характер. Закон «О персональных данных» становится обязательным с 1 июня 2008 г. Закон описывает условия обработки персональных данных, права субъекта персональных данных — в частности, право на конфиденциальность, доступ к персональным данным и т.д. Шведов убежден, что обязательное исполнение закона подстегнет компании активнее обзаводиться системами ИБ.

 

детали
фишинг — вид интернет-мошенничества, цель которого получить идентификационные данные пользователей. Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов. В эти письма вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счетом из интернета (имя пользователя и пароль для доступа), или номер своей кредитной карты.
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «анти-фишинг».
Источник: Википедия.