Где и как разумно использовать криптосредства для защиты корпоративной информации

Среди руководителей компаний наверняка много любителей шпионских детективов, в которых дело редко обходится без различного рода «шифровок». Соблазн шифровать все и вся бывает порой так велик, что топ-менеджеры сами становятся инициаторами широкого использования криптозащиты в организации, которую они возглавляют. Но нужно ли шифровать все подряд, стоит ли эта овчинка выделки и не таится ли в таком подходе опасность, снизив одни риски компании, заметно увеличить другие?

Предлагаю подойти к защите шифрованием прагматично — чтобы не переплачивать, не жертвовать сильно производительностью прикладных систем, ну и, конечно, не плодить новые риски. Прежде всего следует понять, ради чего, ради достижения каких целей стоит шифровать данные. Затем классифицировать (лучше вместе с бизнесом) данные с точки зрения потребностей в их шифровании, а также риски с точки зрения выгод и затрат применения криптографии в средствах защиты от этих рисков. После этого можно приступать к выбору методов и средств криптозащиты данных. Нельзя, разумеется, забывать и о выстраивании необходимого организационного окружения — чтобы из-за влияния человеческого фактора в одночасье не разрушилась кажущаяся незыблемой архитектура криптозащиты.

Цель и средство

Как правило, цель шифрования корпоративной информации — защита от несанкционированного доступа. Хакеры (в том числе нанятые конкурентами), инсайдеры, недобросовестные представители госорганов — вот основные потенциальные фигуры, против возможных действий которых применяется шифрование. Акционеры, топ-менеджеры, клиенты — вот те, ради кого в первую очередь используется криптозащита.

«Шифрование предназначено для защиты информации от несанкционированного доступа при передаче по открытым каналам связи и хранении, — отмечает Алексей Овчинников, руководитель группы отдела информационной безопасности банка «ВТБ24». — В решении остальных задач ИБ шифрование не применяется. Скажем, оно бесполезно при восстановлении случайно утраченных данных, установлении авторства сообщения и в других областях».

Кирилл Карманов, руководитель департамента ИТ страховой компании Societe Generale Insurance, уверен, что шифрование не панацея, поэтому для оптимального результата оно должно поддерживаться другими методами обеспечения информационной безопасности. Кроме того, не стоит недооценивать мастерство наиболее изощренных хакеров — иногда им все же удается взломать криптозащиту и расшифровать данные. По мнению Павла Головлева, начальника управления безопасности ИТ «СМП Банка», главной проблемой использования криптографии сегодня является насаждение ее к месту и не к месту.

«Шифрование не решит проблемы человеческого фактора. Вместе с тем сейчас практически любая концепция управления доступом к информации включает технологии шифрования данных, — говорит Саид Аль-Уляфи, директор по информационной безопасности Национального банка «Траст». — Слабость систем криптозащиты — во множестве нюансов, связанных с взаимодействием между системой и пользователями. Вторая серьезная проблема — технологические ресурсы, необходимые для полноценного шифрования, поскольку эта процедура подразумевает сложные математические преобразования данных. С учетом объемов, с которыми приходится работать в современном цифровом мире, таких ресурсов требуется значительное количество».

ШИФРОВАНИЕ МОБИЛЬНЫХ

Много вопросов сейчас возникает в отношении новых информационных сред, в первую очередь мобильных. В частности, требуется ли криптозащита мобильным устройствам? Не только требуется, но и, как отмечает Алексей Овчинников, широко применяется: «Шифруются как каналы передачи информации, так и данные приложений. В частности, применение криптографии в банковских мобильных приложениях идентично использованию в приложениях на обычных компьютерах».

«Учитывая тенденцию консьюмеризации, считаю использование криптографии в мобильных устройствах необходимой мерой, хотя и недостаточной для обеспечения комплексной защиты, — говорит Кирилл Карманов. — К основным рискам, связанным с мобильными устройствами, можно отнести потерю и кражу самого устройства, воздействие вредоносного ПО и сниффинг данных при их беспроводной передаче. Во избежание утечек данных желательно использовать шифрование на уровне носителей информации. Также имеет смысл использовать комплексную защиту мобильных устройств и, помимо шифрования, обратить внимание на антивирусные средства для них и активно развивающиеся системы управления корпоративными мобильными гаджетами».

«Само по себе шифрование в принципе не решает многих проблем ИБ — обнаружение вторжения, спам, мошеннические действия персонала и пр., — добавляет Сергей Кирюшин, заместитель генерального директора ФГУП «Почта России». — Также оно не позволит, например, подтвердить авторство создателя или отправителя электронного документа — по крайней мере в плане легитимности».

Овчинников считает, что основной недостаток шифрования — невозможность сокрытия самого факта передачи тайны, что сразу привлекает внимание заинтересованных сторон. «Кроме того, и адресат, и адресант должны знать некий секретный алгоритм преобразования сообщения, — замечает он. — Получается, для того чтобы можно было обмениваться секретами, нужно предварительно обменяться самым большим секретом». По его мнению, в области шифрования сейчас наблюдается избыточность защиты, что влечет замедление процессов, связанных с обменом информацией. В большинстве случаев вполне достаточно использовать упрощенные, облегченные алгоритмы.

Любое внесение дополнительных функций в систему приводит к снижению ее надежности, не сомневается Головлев, поэтому в первую очередь необходимо оценивать не только требования к степени конфиденциальности, но еще и те, что касаются целостности и доступности данных. И если они выше, то использовать крипто­графические методы защиты информации не стоит.

«Алгоритмы, применяемые в крип­тосистемах, мы выбираем так, чтобы они в первую очередь соответствовали требованиям регуляторов отрасли, будь то защита персональных данных или требования международных стандартов, — делится опытом Аль-Уляфи. — Там, где такие требования отсутствуют, стараемся искать золотую середину, учитывая производительность системы, в которой применяется шифрование, ее влияние на другие системы и общую криптостойкость».

Организационное окружение

Как и в любой сфере деятельности, криптографические подразделения долж­ны располагать квалифицированными специалистами, а работа должна быть правильно организована, отмечает Овчинников. Не случайно именно на обеспечение этих факторов и направлены требования в области лицензирования деятельности по разработке, производству и распространению криптографических средств — они закладывают основы профессиональной деятельности в этой области. «Если предприятие использует криптографию, то должно быть подразделение, поддерживающее функционирование криптосредств и контролирующее правильность их использования сотрудниками. Структура этого подразделения, его разветвленность и состав зависят от многих факторов и определяются спецификой задач организации и потребностями в защите информации», — добавляет Овчинников.

Важные вопросы организации криптозащиты — где и как хранить ключи, кто и как может получать доступ к ним и что делать в случае утраты или разглашения ключей. «Хранить их нужно в помещении или сейфе с ограниченным и контролируемым доступом, — уверен Аль-Уляфи. — За выданные ключи пользователь несет личную ответственность, при этом где он будет их хранить и как, решает он сам, служба ИБ может только дать рекомендации по хранению. При компрометации ключей или подозрении на компрометацию необходимо срочно их блокировать, оповестить всех внутренних сотрудников, отвечающих за данные и системы, которые защищались этими ключами, а также уведомить всех участников процессов обмена информацией с этими пользователями. Кроме того, нужно по горячим следам провести тщательное расследование инцидента».

Еще один важный вопрос: что должны знать о криптозащите бизнес-пользователи? «Сотрудники должны четко понимать процесс менеджмента ключей, их хранения и — самое главное — свои действия в нестандартных ситуациях, таких как потеря ключа или попытки использовать социальный инжиниринг для получения доступа к критически важной для бизнеса информации», — отмечает Карманов.

По наблюдениям Овчинникова, сотрудники бизнес-подразделений, как правило, мало разбираются в методах защиты информации, а тем более в криптографии, и не стремятся расширить свои познания в этой области, поэтому такие работники должны иметь конкретные подробные инструкции о своих действиях в различных ситуациях и быть ознакомлены с возможными последствиями в случае отступления от регламентов.

«Главное, чтобы пользователь мог знать ответы на вопросы, для чего необходима криптозащита, что такое сертификат и зачем он нужен, а также владеть основами безопасного использования и хранения ключей», — считает Аль-Уляфи. «Бизнес-пользователям нужно только знать, что та или иная информация требует защиты, а потому защищается, а также знать, какие действия им нужно предпринимать по обеспечению такой защиты», — добавляет Кирюшин.

Обученние бизнес-пользователей азам криптозащиты способно заметно повысить уровень информационной безопасности организации. И напротив, если этой работой пренебречь, то от криптозащиты, какой бы хитрой она ни была, окажется мало проку — негативное влияние человеческого фактора сведет на нет многие усилия и инвестиции.