Беспроводной, мобильный, удаленный, адаптивный - ключевые слова сегодняшнего бизнеса. Подкрепленные технологическими решениями, эти дополнительные средства доступа в корпоративную сеть могут открыть новые уязвимости некогда защищенных границ компании. В с
Корпоративные информационные системы все более зависят от компонентов за пределами традиционного межсетевого экрана, и определение корпоративного периметра безопасности информационной системы становится все более размытым. Какую модель защиты информации целесообразно использовать, когда периметр, по сути, исчезает?
Один из способов решения проблемы получил название «безопасность, ориентированная на данные» (Data Centric Security, DCS). Его главная особенность заключается в обязательном шифровании данных на всем пути их следования. Другими словами, защищаются собственно данные, а не аппаратные и программные средства как носители этих данных.
Для реализации технологии защиты данных DCS предлагается осуществить несколько организационных и технических преобразований. Во-первых, средства по обеспечению безопасности нужно сделать доступными для обычных сотрудников (например, оснастить мобильные устройства системой шифрования дисков). Во-вторых, всю ответственность и все текущие процедуры по обеспечению безопасности передать сотрудникам бизнес-подразделений. Специалисты по ИТ и безопасности ограничивают свою деятельность развертыванием технологий и консультированием пользователей. В-третьих, представления о безопасности должны стать органичными — приемам безопасности следует не обучать, а внедрять их на уровне подсознания, чтобы они выполнялись в обязательном порядке и без лишнего обдумывания.
На практике DCS-стратегия предполагает создание открытых интегрированных платформ, данные для которых снабжены собственным описанием и средствами самообороны; внедрение строго контролируемой системы мониторинга доступа к данным, которая становится органической составной частью всего содержания бизнеса; разработку концепции криптографической защиты, обеспечивающей защиту информации на всех этапах ее преобразования и при любых изменениях; объединение со всеми уже существующими средствами и технологиями защиты данных.
С технологической точки зрения DCS складывается из трех функциональных модулей: управление правами контента предприятия, управление личными данными и системы динамического шифрования данных.
Очевидно, что в случае перехода на DCS число сотрудников, вовлеченных в процесс обеспечения безопасности, заметно возрастает и они не могут быть ограничены только этим видом деятельности, так как концепция DCS предполагает, что ответственность за защищенность данных переходит от специалистов по защите к пользователям, непосредственно работающим с данными.
Кроме того, никто не освобождает директоров по информационной безопасности от своих прямых обязанностей по защите компании от возрастающего потока угроз. Необходимо выработать стратегию, в которой такие понятия, как гибкость, быстрота и многообразие, будут включены в конкретную модель защиты информации.
Особенности криптозащиты
Идея DCS предполагает, что данные могут передаваться по незащищенным сетям, быть записаны на различного рода мобильные устройства и сменные USB-накопители. При этом необходимо, чтобы криптозащита распространялась на проводные и беспроводные сети, жесткие и сменные диски, CD, DVD, устройства резервного копирования, электронную почту, системы мгновенного обмена сообщениями и пр.
Стоит признать, что только некоторые из существующих криптографических систем рассчитаны на защиту от перехвата в процессе передачи данных. Традиционно готовые к передаче данные кодируются, передаются и декодируются. Но такой статичный способ криптозащиты не подходит в случаях, когда данные находятся в постоянной работе на протяжении всего их жизненного цикла.
Узнать о факте перехвата данных бывает крайне затруднительно. Реально с этой задачей может справиться квантовая криптография, поскольку перехват неизбежно приведет к изменению «физики» процесса. Но можно защититься от несанкционированного прочтения в результате перехвата путем того же шифрования. Правда, чтобы два пользователя могли обмениваться данными, а другим это было не доступно, решение надо разворачивать на всех компьютерах, с которыми приходится общаться.
Кроме того, на рынке имеется не так уж много сертифицированных криптографических решений, а сертифицированных решений, опирающихся на технологию DCS, нет вообще. Были попытки ведущих производителей интегрировать в свои продукты сертифицированные решения криптографических провайдеров, но они не устранили проблему, так как на общее решение сертификата нет. Его отсутствие может вызывать нежелательные вопросы со стороны регуляторов.
Не стоит упускать из виду, что тотальная криптография всех исходящих и входящих данных влечет за собой увеличение нагрузки на вычислительные системы и сетевую инфраструктуру, поэтому для перехода на идеологию DCS в первую очередь нужна оценка и классификация корпоративных данных, их инвентаризация. Необходимо создать классификацию, определяющую уровень чувствительности данных и необходимые методы их защиты.
Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco Systems, видит основную проблему в том, что служба информационной безопасности, занимающаяся классификацией данных, не знает, что именно нужно шифровать, а что – нет. Без участия представителей бизнеса здесь не обойтись, но бизнес этим заниматься не будет.
К тому же переход в новое DCS-состояние займет несколько лет. Кроме того, как отмечает Илья Шабанов, руководитель аналитического центра InfoWatch, идеология DCS неизбежно приводит к изменению и усложнению существующих бизнес-процессов предприятий: «Получается информационная среда, которую данные уже не могут покидать в незащищенном виде. Из-за этого работа предприятия нарушается. Немного компаний и организаций к этому сейчас готовы в принципе. С другой стороны, бизнес зачастую не осознает важность защиты от возможных утечек данных, в том числе от утечек по неосторожности. Тем более маловероятно выглядит старт DCS-проектов в кризис, когда бюджеты на ИТ сокращаются».
С этим мнением согласен и Андрей Голова, заместитель генерального директора по продажам компании Energy Consulting/Integration. Он считает, что переход на DCS — это крупный инвестиционный проект, который может идти вразрез с положениями нормативных документов по информационной безопасности и требованиями законодательства (например, в плане использования отечественных алгоритмов). «Шифрование данных на всем жизненном цикле уже реализовано в большинстве компаний — оно включает шифрование каналов связи, данных на уровне приложений и баз данных, шифрование носителей данных. Сейчас нет острой необходимости внедрять новые решения. Более логичным выглядит интеграция внедренных решений для защиты информации. При хорошо построенной системе управления информационной безопасностью рост данных и их классов существенно не влияет на процесс управления доступом, на классификацию данных».
Как быть?
Хотя концепцию «защиты по периметру» никто не отменял, нет сомнений, что для более эффективного противодействия угрозам должна измениться основополагающая концепция защиты. Одного шифрования данных будет явно недостаточно.
Главной проблемой любой тотальной защиты остается человеческий фактор, и он тоже является частью системы. Как только отдельно от документа, который передан по защищенным каналам связи и зашифрован средствами криптозащиты, передается пароль, достоверность защиты будет определяться не тем, кто получил документ, а тем, кто сможет получить зашифрованный документ и пароль.
По мнению Михаила Калиниченко, генерального директора компании S.N. Safe & Software, система без контроля к доступу становится уязвима. Необходимо комбинировать методы защиты и методы контроля, которые, строго говоря, защитой не являются, то есть добавлять технологии мониторинга. Невозможно построить эффективную систему защиты данных, не предусмотрев наказания за ее нарушение. Стремление же к универсальному, «глобальному» решению, на все случаи жизни, не срабатывает, так как бывают очень разные ситуации, которые требуют разных комплексных подходов.
Голова убежден, что с развитием средств коммуникации понятие периметра как такового исчезает. «Появляется новый термин — «виртуальное пространство данных уровня компании», — поясняет он.