На современных предприятиях электронная почта необходима для общения сотрудников внутри компании или с внешними контрагентами, а также для передачи деловой корреспонденции.
На современных предприятиях электронная почта необходима для общения сотрудников внутри компании или с внешними контрагентами, а также для передачи деловой корреспонденции. Иногда ее применяют как среду для организации документооборота или делопроизводства.
Однако в последнее время электронная почта преподносит множество неприятных сюрпризов. Нечистые на руку люди стали использовать ее для рассылки спама, вымогательства денег с помощью обмана, распространения вирусов и троянских программ. Почтовые ящики забиты ненужной, а часто и опасной корреспонденцией, в которой теряются необходимые сообщения и документы. В результате сложилась ситуация, когда не пользоваться электронной почтой невозможно, но полностью доверять ее содержанию уже нельзя. Что можно сделать, чтобы восстановить пошатнувшийся статус электронной почты?
Угрозы и риски
Прежде чем говорить о возможных мерах защиты, стоит разобраться, чем же именно может угрожать компании использование электронной почты.
Среди очевидных рисков — потеря рабочего времени, утечка критически важной для бизнеса информации, упущенная выгода вследствие отказа в обслуживании и ухудшения репутации компании.
Время — деньги
Потери рабочего времени могут возникнуть как из-за спама, так и из-за вирусов. На то чтобы отделить спам от полезной для бизнеса почты, приходится потратить время. Вирусы, как известно, приводят не только к непродуктивному расходованию компьютерного времени, но и к прямым задержкам в случаях, когда вычислительная техника становится непригодной для выполнения своих прямых обязанностей.
Обычно соответствующие потери оцениваются задержками времени, вызванными вирусами и спамом, помноженными на ставку сотрудника. При этом потери (например, от спама) могут сильно зависеть от того, кому именно приходит нежелательная почта. Если атаке подвергается компьютер ключевого специалиста или менеджера, заражение вирусом или удаление вместе со спамом важного делового письма может обернуться серьезными издержками. Следовательно, прежде всего нужно обеспечить максимально высокую защиту именно компьютеров высокооплачиваемых сотрудников. Возможно, для них следует использовать не автоматические средства защиты, а автоматизированные — с активным привлечением человеческого интеллекта.
Знания — сила
Утечки конфиденциальной информации могут быть как случайные, так и целенаправленные. Первые не всегда приводят к прямым потерям, поскольку утраченная информация только по воле случая попадает в руки тех, кто может использовать ее во вред. Целенаправленное воровство более опасно, но и более заметно, поскольку должно быть связано с преднамеренным нарушением политики безопасности. При хорошем контроле такие нарушения должны быстро всплыть на поверхность.
Оценить потери в случае утечки информации достаточно сложно, поскольку стоимость данных зависит от того, в чьих руках они окажутся. Обычно ценность утерянной или разглашенной информации соответствует тому, сколько компании нужно заплатить для повторного получения потерянных данных. Из такого метода оценки следует, что наибольшую стоимость представляют консолидированные и обработанные данные, а также информация, предоставляемая руководству компаний. Поэтому на некоторых предприятиях тотальный контроль всех сотрудников, возможно, не окупится. Гораздо дешевле обойдется работа по организации доступа правильным образом к небольшому количеству документов, которыми пользуется или которые подготавливает руководство и высший руководящий состав. Их список логично поместить в политику безопасности и настроить информационные фильтры на поиск в электронной почте фрагментов этих документов.
Был и сплыл
Потерянная выгода возникает в том случае, когда клиент отказался от услуг или продуктов компании из-за технических проблем внутри компании. Например, пользуясь электронной почтой, можно потерять контракт, если письмо оказалось отсеянным спам-фильтром или если почтовый сервер был парализован в результате успешной DoS-атаки.
Подобные проблемы могут возникнуть как из-за неправильно настроенного спам-фильтра, так и из-за заражения вирусом внутренних компьютеров и блокирования ими работы почтового сервера. Если вовремя не вылечить компьютеры от вирусов или троянских программ, рассылающих спам, то компания может попасть в черные списки, которыми пользуются партнеры по бизнесу для фильтрации входящей корреспонденции, и вообще потерять с ними контакт посредством электронной почты.
Оценить ущерб от простоя почтовой системы можно, например опираясь на данные ежемесячного оборота компании, отнесенного ко времени простоя. Ценность утерянного письма рассчитывается исходя из количества деловой корреспонденции, обрабатываемой компанией за месяц. (Рассуждать при этом можно, например, так: руководитель отдела обрабатывает в месяц несколько сотен писем, а его отдел зарабатывает несколько десятков тысяч долларов. Можно оценить, что при потере одного письма потерянная выгода составит несколько сотен долларов.) Следует помнить, что нередко стоимость потерянного письма, пришедшего на адрес руководителя, будет выше, чем ценность письма рядового сотрудника. Поэтому важно, чтобы почта, адресованная руководителям, доставлялась в целости и сохранности, но без спама и вирусов. Рядовой сотрудник при этом может довольствоваться автоматическим спам-фильтром.
Встречают по одежке
Вирусы и спам сейчас представляют серьезную угрозу для имиджа компании, поскольку отсутствие защиты электронной почты воспринимается клиентами как потенциальная угроза им самим. Сейчас многие понимают, что с помощью спама рекламируются товары, находящиеся на грани легальности (в том числе пиратские диски, сомнительные лекарства, порнография). Любая рассылка коммерческих предложений по электронной почте, которая воспринимается как спам, может нанести серьезный удар по бизнесу компании, от имени которой эта рассылка производится. В некоторых случаях с помощью спамерской рассылки можно даже очернить конкурента. Отсутствие же защиты от вирусов, скорее всего, будет рассматриваться как технологическое отставание компании.
Ущерб для имиджа компании от воздействия спама и вирусов можно оценить по маркетинговым затратам, которые нужны для восстановления отношений с клиентами. Поскольку потери не зависят от того, кто именно допустил утечку дискредитирующей информации, то необходимо контролировать все направления взаимодействия с контрагентами и активно реагировать на любые обвинения. В частности, сейчас многие вирусы подделывают обратный адрес отправителя, поэтому клиент может получить письмо с вирусом якобы от имени кого-нибудь из топ-менеджеров или ключевых специалистов компании. Если такая ситуация возникла и стала известна, то на нее нужно немедленно отреагировать. Для этого следует наладить тесное взаимодействие между отделом информационной безопасности и маркетингом.
Для того чтобы оценить риск потерь, которые возникают от тех или иных угроз, необходимо выразить в денежном эквиваленте убытки от каждой из них и помножить на вероятность реализаций угрозы. Защищаться, а точнее, уменьшать ущерб нужно прежде всего от тех рисков, которые наиболее вероятны и могут принести максимум потерь.
Правила, люди, технологии
Следует отметить, что злоупотребления электронной почтой основаны на ее открытости. Следовательно, проблема носит системный характер: современные протоколы передачи электронной почты разрабатывались тогда, когда о ее коммерческом использовании не задумывались. Понятно, что системную проблему нельзя решить каким-то одним локальным действием — установкой суперфильтра или введением на предприятии тотальной цензуры. Это становится возможно только при использовании комплекса мер, который должен содержать три компонента: организационные правила, систематическую работу с персоналом и внедрение специальных защитных технологий.
Организационная защита
В компании должен быть сформулирован набор правил по работе с электронной почтой, как приходящей извне, так и обрабатываемой внутри компании. При этом введение организационных ограничений, таких, например, как отсутствие допуска к использованию электронной почты в случае, если сотрудник не прошел курс обучения основам безопасной работы с почтой, позволяет, с одной стороны, уменьшить вероятность неправильных действий со стороны персонала, а с другой — ввести дополнительные механизмы для наказания нерадивых сотрудников.
Кроме того, в правилах предприятия должно найти отражение отрицательного отношения к спаму. Например, в одной из компаний запрещено как бы то ни было реагировать на спамерские рассылки. Это позволяет исключить большинство проблем, связанных с обманом и вымогательством. При отсутствии реакции на подозрительные письма сильно ограничиваются возможности для проникновения вирусов и троянских программ, которые рассчитаны на определенные действия пользователей. Таким образом, лишь организационными мерами можно решить значительную часть проблем, возникающих при использовании электронной почты.
Человеческий фактор
Поскольку спам и вирусы часто срабатывают в результате выполнения определенных «естественных» действий получателями электронной почты, то можно добиться хороших результатов, просто обучив персонал правилам безопасной работы с почтой. Стоит наладить службу оповещения персонала о новых вирусах и других угрозах, связанных с использованием Internet, а также о правилах поведения в случае получения вируса или троянской программы.
Сотрудники обычно не заинтересованы в потере времени и денег на обработку мусорной корреспонденции и лечение от вирусов, рекламных программ или другого несанкционированного ПО, поэтому стоит привлекать их к организации защиты корпоративной сети. В частности, можно создать службу, куда сотрудники могут обратиться с жалобой на спам в почте, и эти данные использовать для более точной настройки спам-фильтров.
Важной задачей является решение проблемы защиты компьютеров руководства. Как правило, руководители имеют в своем распоряжении мобильные компьютеры, которые могут подключаться к Internet из самых разных, в том числе неблагонадежных мест, в результате чего именно через эти компьютеры вирусы могут проникнуть в корпоративную сеть, обойдя всю защиту ее периметра. При этом следует учесть, что руководители не всегда допускают к своему компьютеру компетентных сотрудников, справедливо подозревая их в возможных злоупотреблениях. Кроме того, известно, что руководители болезненно реагируют на любые ограничения доступа. Возможно, решению данной проблемы стоит уделить особое внимание и выделить специального доверенного человека, который обеспечивал бы безопасность этого не очень большого парка машин.
Технологическая защита
Начинать развертывание технологий защиты следует после того, как будет сформулирована политика работы с электронной почтой. Затем, внедрение технологических средств защиты можно будет вести параллельно с обучением пользователей. Если в компании уже внедрены какие-нибудь технологические инструменты, но строгие правила их использования отсутствуют, а сотрудники не понимают, зачем их ограничивают в правах, то эффективность работы таких средств может оказаться даже отрицательной, ибо защита обеспечивается лишь номинально.
Естественно, без специализированных продуктов, которые обеспечивали защиту от различных угроз, связанных с использованием электронной почты, обойтись не удастся. Встроить в общекорпоративную систему защиты их нужно хотя бы для того, чтобы контролировать соблюдение правил политики безопасности.
Однако не всегда нужно устанавливать полный набор средств защиты, нередко вполне можно обойтись интегрированными пакетами, сконцентрировавшись на контроле соблюдения мер информационной безопасности и обеспечив предотвращение только самых опасных действий. В частности, необходимо максимально оперативно исправлять все ошибки, найденные в программном обеспечении, для этого можно использовать системы обновления ПО.
Кроме того, полезно фиксировать и анализировать применение различных приложений внутри компании и их связи с внешним миром. Для решения этой задачи подойдут самые разнообразные инструменты: межсетевые экраны, детекторы вторжений, информационные фильтры, средства выявления активности «шпионских» и «рекламных» приложений (spyware и adware) и др. Важно, чтобы они позволяли контролировать исполнение сформулированной политики безопасности.
Следует помнить, что только комплексная защита способна отразить современные многофакторные угрозы. И конечно, нужно исходить из краеугольного принципа защиты: система защищена настолько, насколько защищено ее самое слабое звено.
Нападающие часто наносят удар в стык между различными технологиями защиты, поэтому важно обеспечить их взаимодействие между собой. В частности, иногда и само средство защиты можно превратить в орудие для организации отказа в обслуживании клиентов, если каким-то образом ввести этот инструмент в заблуждение. Поэтому важно стыковать между собой различные компоненты защиты таким образом, чтобы информация одного из них помогала решать проблемы всем остальным. Такие корреляционные технологии уже начинают появляться. Стоит присмотреться к ним повнимательнее.
Учет, контроль, методология
Поскольку, как уже было сказано, электронная почта является элементом корпоративной системы информационной безопасности, то внедрение мер и средств защиты почты должно выполняться в рамках общей программы совершенствования корпоративной безопасности. Это необходимо еще и потому, что с помощью электронной почты нападающие часто пытаются обойти межсетевые экраны или другие средства защиты.
Инвентаризация и правила
Первое, что нужно сделать для развертывания почтовой защиты, — определить ресурсы, которые задействованы в обработке почты, проанализировать используемые почтовые технологии и выявить всех, кто имеет доступ к ролевым почтовым ящикам, таким как postmaster, abuse или info. (Сведения о том, какие почтовые ящики являются ролевыми, можно почерпнуть из рекомендаций IETF RFC2142). Корректная работа с ролевыми почтовыми ящиками обеспечивает взаимодействие корпоративной почтовой системы с внешним миром.
Кроме того, нужно определить, какие именно документы не должны передаваться наружу, в том числе и по каналам электронной почты. Среди них наверняка окажутся те, что содержат сведения о клиентах и продажах, планах развития, продуктах, которые готовятся к выводу на рынок, стратегически важных разработках, ноу-хау и другую информацию, составляющую интеллектуальный капитал компании, а также финансовые и внутренние организационные документы. В компании нужно предусмотреть систему организации доступа к этим документам и контролировать возможность передачи сведений, включенных в них, вовне по каналам электронной почты, в том числе и с помощью троянских программ.
После того как определены ресурсы, которые нужно защищать, можно структурировать доступ к почтовой системе. При этом правила работы с внутренней системой электронной почты и взаимодействия с внешним миром могут различаться. Основное внимание необходимо уделять защите внешних связей, тем не менее внутреннее перемещение почты также следует контролировать. (В частности, это важно потому, что вирус может проникнуть внутрь через мобильный компьютер.) Даже во внутренних подключениях следует обеспечить аутентификацию как пользователей, так и компьютеров. В частности, из внешних, непроверенных компьютеров стоит создать отдельный сегмент сети, чтобы обеспечить контроль в соответствии с более жесткими правилами.
Технологии
Только после определения правил доступа к корпоративной почте можно выбирать инструменты для защиты. Сейчас, к сожалению, нужно защищать практически все компьютеры, участвующие в обработке почты: клиентские устройства, почтовые серверы, машины, с которых производится выход на Web-почту, и шлюзы. Для каждого из этих компонентов стоит предусмотреть антивирусную защиту, а также возможность управления спам-фильтром. Кроме того, следует развернуть централизованную систему управления и мониторинга корпоративных антивирусных средств, а также схему рассылки и установки обновлений антивирусных баз и программного обеспечения на все серверы и клиентские устройства, используемые на предприятии.
Фильтрация спама может быть как централизованной, с применением персональных настроек, так и распределенной (когда каждый управляет фильтрацией самостоятельно). Выбирая схему фильтрации, нужно учитывать не только качество распознавания спама, но и процент ложных срабатываний. В больших автоматизированных системах фильтрации этот процент может оказаться неприемлемым для некоторых групп пользователей. В частности, не стоит обрабатывать с помощью универсальных правил фильтрации почту руководства, поскольку ошибка такого фильтра может дорого обойтись компании. Более эффективной схемой обработки в данном случае является ручная фильтрация, которую можно возложить на ассистента или секретаря руководителя (для этого рабочее место должно обладать соответствующими средствами настройки и автоматизации).
Взаимодействие с внешними почтовыми системами также нужно настраивать аккуратно. В частности, рекомендуется всю почту отправлять через почтовые ретрансляторы провайдеров, чтобы минимизировать риск блокировки исходящей почты по черным спискам. Кроме того, рекомендуется определить и опубликовать структуру политики рассылки почты (Sender Policy Framework, SPF). Для этого в DNS-запись почтового домена следует добавить специальный перечень всех почтовых серверов, с которых может исходить почта соответствующего домена. Сейчас эта технология не очень распространена, но к ней уже начали обращаться при фильтрации почты.
Люди и процессы
Когда определены механизмы защиты и началось их внедрение, можно приступать к обучению сотрудников. Для этого необходимо подготовить соответствующие инструкции и организовать техническую поддержку, составить ответы на часто задаваемые вопросы. В процессе внедрения защитных инструментов нужно обучить сотрудников пользоваться информационными системами, не нарушая при этом правил политики безопасности. Также следует составить описания возможностей настройки спам-фильтров и донести эту информацию до сотрудников, чтобы они могли настроить их в соответствии со своими потребностями.
Как известно, мусорная почта может быть двух типов — универсальная и индивидуальная. Универсальный спам (различные «письма счастья», сообщения от мошенников, письма, рассылаемые вирусами, и пр.) одинаково опасен для всех. Его можно достаточно эффективно отсекать с помощью лингвистического фильтра и антивируса. Однако есть почтовые рассылки, которые могут пригодиться сотрудникам по работе, тем более что сотрудники нередко сами на них подписываются. С тем чтобы не потерять важные письма, нужно предусмотреть механизмы управления фильтрацией. В частности, очень полезны в этом отношении белые списки, которые содержат адреса отправителей, письма от которых не нужно фильтровать.
С тем чтобы не допустить утечки конфиденциальной информации, фильтровать следует не только входящую, но и исходящую почту. Для этого можно пользоваться одним механизмом защиты — лингвистическим фильтром, который анализирует содержание письма и проверяет, насколько передача его за пределы корпоративной сети соответствует политике безопасности компании. Однако поскольку извне может отправляться и частное письмо, то сотрудники могут обвинить компанию в нарушении тайны переписки. Для того чтобы исключить такую возможность, перед внедрением подобной системы нужно подписать с сотрудниками договор о том, что обработка на корпоративных компьютерах личной информации не разрешается.
Важным элементом защиты электронной почты является передача с ее помощью конфиденциальной информации. Конечно, желательно ограничить передачу критически важной информации через общедоступные серверы электронной почты, но в некоторых случаях без этого обойтись не удается. В этих случаях можно воспользоваться защищенной электронной почтой, которая обеспечивает надежную аутентификацию обоих сторон и в то же время защищает корреспонденцию от перехвата. Для этого следует внедрить коммерческую защищенную почту или использовать компоненты свободно распространяемых библиотек, таких, например, как PGP, которая, в частности, интегрирована в последние версии Mozilla Mail. Тогда защищенную почту можно будет использовать и для общения с внешними контрагентами, например с партнерами. Однако, чтобы воспользоваться защищенной электронной почтой, нужно организовать распространение сертификатов для шифрования и обучить пользователей (прежде всего руководителей и менеджеров) более сложной процедуре работы с почтой.
Бдительность без иллюзий
Внедрение средств защиты не гарантирует уменьшение до нуля риска заражения вирусом или получения спама. Какой бы ни был хороший фильтр или антивирус, со временем спамеры и вирусописатели находят способ его обхода. Поэтому надеяться на то, что с внедрением средств защиты угрозы пропадут совсем, не стоит — они только уменьшатся. Нельзя останавливаться на достигнутом, следует постоянно совершенствовать правила безопасности, компетенцию пользователей и технологическую базу. Чем точнее будут реализованы защитные механизмы и чем современнее будет сама защита, тем меньше риск.
Внедрение защиты электронной почты может оказаться неудачным в случае, если не будут внедрены некоторые общекорпоративные защитные механизмы (такие, как межсетевые экраны и детекторы вторжений), поскольку проникновение по электронной почте — лишь один из возможных способов атаки. В свою очередь, и сама корпоративная система электронной почты может подвергнуться атаке с помощью других средств нападения, стремящихся, например, получить список почтовых адресов электронной почты, принадлежащих служащим компании или для перехватить важную корреспонденцию. Еще и поэтому организация защиты почты должна идти в русле защиты всей информационной системы предприятия.
Валерий Коржов — обозреватель еженедельника Computerworld Россия, oskar@osp.ru