Неуязвимых систем, как известно, не бывает. Рано или поздно инцидент может произойти в любой, даже очень хорошо защищенной системе. И вот тогда быстрая реакция может спасти не только информационные ресурсы, но и бизнес компании в целом. Именно поэтому организации любого масштаба важно иметь свод правил реагирования на случаи нарушения информационной безопасности.

Когда компания обнаруживает, что произошел некий инцидент в области ИБ, реакция должна быть максимально оперативной — только в этом случае есть вероятность быстро найти виновных и свести ущерб к минимуму. Наибольшей разрушительной силой обычно обладают злонамеренные инциденты, а не те, что случились по причине чьего-то разгильдяйства или неосведомленности в вопросах ИБ. Чаще всего злоумышленники нацелены на кражу денежных средств. Бывают также случаи, когда хакеры стремятся нанести ущерб репутации компании или похитить важную корпоративную информацию. Кроме того, в последнее время участились атаки на информационные системы со стороны конкурентов или по их заказу. Успешной реализации таких атак способствуют доступность специального «хакерского» инструментария, действия инсайдеров, а также продающиеся официально и «из-под полы» сведения об уязвимостях в различных системах, включая бизнес-приложения.

Перечень инцидентов ИБ сегодня достаточно широк. Из наиболее распространенных можно выделить следующие: DDoS-атаки (распределенные атаки типа «отказ обслуживания»), мошенничество в системах дистанционного банковского обслуживания (ДБО), взлом серверов и кража конфиденциальной информации, утечка важных корпоративных данных, атака на репутацию путем размещения клеветнической информации в Интернете.

Без паники

Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского», уверен, что наличие четких рекомендаций и правил для сотрудников информационной безопасности способно решить сразу несколько задач: во-первых, это даст возможность избежать суматохи при возникновении компьютерного инцидента, а также при утере данных, характеризующих инцидент, во-вторых, позволит корректно зафиксировать всю первичную информацию об инциденте, необходимую для дальнейшего расследования, и, в-третьих, в максимально короткие сроки поможет восстановить работоспособность системы.

Стоянов рекомендует в рамках внутреннего расследования решить несколько ключевых задач. Прежде всего, конечно, нужно выяснить саму суть инцидента и связанных с ним обстоятельств, а также зафиксировать хронологию событий. Затем служба безо­пасности или отдельные сотрудники с соответствующими полномочиями должны определить причастных к инциденту людей для их дальнейшего опроса (например, при мошенническом списании денежных средств с использованием систем ДБО такими сотрудниками будут те, кто имеет доступ к инструменту и право электронной подписи финансовых документов). Далее необходимо зафиксировать все электронные свидетельства инцидента: сформировать корректную копию жестких дисков ПК, вовлеченных в инцидент, сохранить системные журналы внутренних серверов, выходов к сети Интернет и др., прямо характеризующие инцидент. По результатам должно быть сформировано заключение с детальным описанием произошедшего события.

На этой стадии выполнить все перечисленные действия качественно и в полном объеме могут только сотрудники пострадавшей организации, так как они обладают полной информацией об особенностях работы внутренних регламентов, особенностях построения информационных систем, протоколирования тех или иных процессов, прав доступа сотрудников к различным ресурсам.

Расследование инцидентов ИБ и реагирование на них — сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: персонала отдела кадров, юристов, технических экспертов ИТ-подразделения, внешних консультантов по информационной безопасности и т. д. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team, CSIRT), в состав которой должны входить эксперты и консультанты в юридической и технической сферах.

Риски утечек можно минимизировать

Игорь Кособуров —  начальник отдела технического и экспертного конт­роля акционерного  банка «Девон-Кредит»
Игорь Кособуров — начальник отдела технического и экспертного конт­роля акционерного банка «Девон-Кредит»; cia@devoncredit.ru.

Утечки данных неизменно вызывают тревогу не только у специалистов ИБ, но и у владельцев бизнеса и топ-менеджеров. Они заинтересованы в том, чтобы предотвращать утечки, и вместе с тем предпочитают обходиться достаточно простыми и не очень затратными способами защиты. В частности, снизить риски утечек помогает взвешенный подход к выбору основных инструментов сотрудников, посредством которых они получают доступ к корпоративной информации.

Опасности, связанные с утечкой корпоративных данных, делятся на внешние и внутренние. В первом случае мы имеем дело с несанкционированным доступом или кражей данных, которые осуществил человек, не являющийся сотрудником организации. Во втором случае вольной или невольной причиной утраты, подделки или утечки данных явился сотрудник организации — инсайдер.

Большинство авторитетных источников — например, компании Compuware и Ponemon Institue, а также Computer Security Institute (CSI) — в своих исследованиях утверждают, что основная причина утечек — действия инсайдеров. Причем речь не всегда идет именно о злом умысле. Гораздо чаще причиной становится обычная халатность, небрежность при использовании конфиденциальной информации, к примеру передача данных по незащищенным каналам. Встречается также вариант, когда злоумышленники добывают информацию у работников компании средствами социальной инженерии — сейчас многие достаточно открыто ведут себя в социальных сетях, порой слишком много рассказывая интернет-знакомым о себе и своей работе.В целом обеспечение ИБ требует комплексного подхода, включающего не только защиту от несанкционированного доступа. Чтобы корпоративная информация не стала известной неопределенному кругу лиц, нужен целый комплекс мероприятий. Необходимо обеспечить конфиденциальность информации (то есть высокий уровень идентификации пользователей), ее целостность (защиту от случайного или намеренного искажения либо уничтожения) и доступность для пользователей, имеющих на это право. Если основные бизнес-системы, через которые сотрудники получают доступ к информации компании, не обеспечивают этих возможностей, причем на достаточно высоком уровне, придется потратить немало сил и средств, чтобы закрыть все «дыры» и минимизировать риски ИБ при использовании этих систем.

Значительная часть информации, нежелательной для разглашения, циркулирует в системах электронного документооборота — следовательно, от их защищенности напрямую зависит риск утечек. Образно говоря, СЭД — это кровеносная система каждой управленческой структуры. Обеспечение здоровья этой системы критически важно для предприятия в целом. Именно поэтому в нашем банке «Девон-Кредит» мы так тщательно подошли к выбору СЭД, оценивая системы-кандидаты с позиции трех упомянутых критериев: конфиденциальность, целостность, доступность.

Наш выбор в итоге пал на систему CompanyMedia компании «Интер­Траст». Банк начал работать в ней с июля 2012 года в ходе реализации стратегической программы по развитию филиальной сети. Система позволила повысить прозрачность бизнес-процессов, обеспечила стандартизацию внутренней документации и выполнение перечисленных требований ИБ.

Разумеется, обеспечить ИБ только лишь техническими средствами невозможно, поэтому банк активно занимается организационными, в первую очередь профилактическими, мерами. Мы проводим инструктажи по работе в СЭД, и все сотрудники знают, что электронный документо­оборот — аналог бумажного и требует той же степени ответственности. Оповещены они и о том, что нам, специалистам ИБ, несложно отследить нарушения безопасности, возникающие именно при использовании СЭД, ведь все действия пользователей протоколируются.

Возможно, поэтому инцидентов с утечками через СЭД у нас, к счастью, не было. Но если они все же произойдут, мы знаем, как расследовать эти инциденты: анализ системных журналов, опрос максимального количества сотрудников, потенциально задействованных в инциденте. Не сомневаюсь, что виновников утечек вполне реально привлечь к ответственности, учитывая современный уровень законодательства в этой сфере и введение в правовое поле электронной подписи.

Иногда собственным расследованием все и ограничивается, особенно если речь идет о финансовых организациях, которые в большинстве случаев предпочитают «не выносить сор из избы». Даже если произошла серьезная потеря денежных средств, службы безопасности банков, как правило, не желают делиться внутренней информацией с посторонними.

Как пояснил представитель службы безопасности одного крупного банка, пожелавший остаться неназванным, при возникновении инцидента в ИБ задачей его подразделения является максимально быстрое пресечение негативного влияния события на различные системы. Ключевая идея такого реагирования в том, что сам по себе инцидент не так важен, как использованный в данном инциденте канал, дающий злоумышленникам возможность получить в один момент тысячу повторений инцидента. Уже после этого проводится внутреннее расследование (или «обработка» инцидента) с выявлением существующих уязвимостей. Важнейшая задача на этом этапе — исключить повторение данного события в дальнейшем.

Кто поможет?

Опрошенные представители финансовых организаций и других компаний, обрабатывающих большое количество критичной информации, предпочитают не обращаться за помощью к компетентным органам — они видят не пользу, а вред в том, что посторонние получат доступ к жизненно важным данным, и предпочитают решать проблемы своими силами. Поэтому в крупной организации расследование инцидента чаще всего начинается, продолжается и заканчивается внутри организации — компетенция ее сотрудников позволяет справиться с задачами практически любого уровня сложности.

Тем, кому собственных наработок для расследования инцидента ИБ не хватает, Сергей Котов, эксперт по информационной безопасности компании «Аладдин Р.Д.», советует использовать рекомендации, разработанные Ассоциацией российских банков и НП «Национальный платежный совет», которые есть в свободном доступе в Интернете.

По мнению Котова, если инцидент настолько серьезен, что справиться своими силами не получается, стоит прибегнуть к помощи экспертов. В правоохранительных органах есть несколько инстанций, куда, как рекомендует Котов, пострадавшим следует обращаться. В МВД оперативно-розыскной деятельностью по киберпреступлениям занимается Бюро специальных технических мероприятий (МВД БСТМ), а именно специализированное управление «К». В регионах для решения данных вопросов также работают сотрудники управления «К» либо управления специальных технических мероприятий (УСТМ) по субъекту федерации. Если киберпреступления связаны с хищением денежных средств (финансовый фрод, например), то к раскрытию такого рода инцидентов подключается Управление по борьбе с экономическими преступлениями (УБЭП), в котором есть подразделения по борьбе с экономическими преступлениями в сфере высоких технологий. Пресечение и раскрытие киберпреступлений, представляющих угрозу государственной безопасности, относится к ведению Центра информационной безопасности ФСБ (ЦИБ ФСБ).

Стоянов отмечает, что в следственных органах, к чьей компетенции относится производство расследования, таких специальных подразделений нет. Это негативно влияет на общую картину противодействия и пресечения киберпреступности и повышает требования к качеству материалов, передаваемых следователю для решения вопроса о возбуждении уголовного дела, в том числе в части их изложения понятным следователю языком, поскольку специальными знаниями он не обладает. Кроме того, в органах, специализирующихся на компьютерной безопасности, работает всего несколько сотен человек на всю страну, нагрузка на них очень высока.

Вероятно, именно поэтому на рынке растущей популярностью начинают пользоваться услуги по расследованию инцидентов в области ИБ. Предложений таких сейчас крайне немного, известно о нескольких компаниях, в порт­феле которых имеется полный спектр. В их числе — «Лаборатория Касперского», TOPs BI и Group-IB.

Илья Сачков, генеральный директор Group-IB, уверен, что при расследовании киберпреступлений сотрудники службы ИБ не могут обойтись без помощи со стороны. По его мнению, каким бы профессионалом ни был сотрудник службы ИБ, он не может постоянно отслеживать правовые решения по компьютерным преступлениям, от которых зависит, как именно необходимо настроить систему журналирования в информационных системах и процедуру реагирования на инцидент ИБ. Для проведения расследования требуется специальный инструментарий, но его зачастую нет даже в крупных компаниях. Кроме того, если инцидент произошел по вине службы ИБ, вряд ли ее сотрудники захотят об этом рассказывать.

В распоряжении сторонней организации, предоставляющей услуги по расследованию инцидентов ИБ, практически всегда имеется штат профессионалов, обладающих компетенциями в разных областях. Они могут работать месяцами до тех пор, пока расследование не будет завершено, после чего эти специалисты дадут общие рекомендации по улучшению качества обеспечения ИБ в компании.

Сачков уверен, что количество инцидентов в дальнейшем будет только расти. Сейчас злоумышленников больше всего интересуют платежные системы, банки и финансовые институты. Все чаще происходят инциденты, связанные с утечкой или незаконным распространением объектов интеллектуальной собственности и коммерческой тайны, в некоторых случаях они сопровождаются шантажом или вымогательством. По всей видимости, в ближайшие годы произойдет усовершенствование инструментов, которыми пользуются злоумышленники. Также наблюдается растущий интерес со стороны киберпреступников к мобильным платформам, что связано с их широким использованием, в том числе в сфере платежей.

Какими бы компетентными ни были сотрудники службы ИБ организации, в случае возникновения серьезных инцидентов им стоит обращаться за помощью к своим коллегам. Необходимость взаимодействия со сторонними компаниями должна быть заранее зафиксирована в своде правил, посвященном расследованию инцидентов ИБ. Важность таких мер должно понимать и руководство — чтобы грамотно подходить к допуску посторонних. Ведь, увы, нередки случаи, когда табличку «Вход воспрещен» заменяют на «Добро пожаловать».

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF