А кто к нам с мечом?

У российсикх предприятий растет интерес к проблемам информационной безопасности

Вадим Саякин: «Вопросы информационной безопасности должны решаться в комплексе»

Атака и оборона, нападение и защита... Терминология противостояния уместна не только в военной области. Проблема «щита и меча» не чужда и сфере информационных технологий. В сводках ИТ-новостей нередки сообщения о новых попытках проникновения в информационные системы коммерческих предприятий и государственных структур или об очередных взломах популярных Web-сайтов. Как правило, в подобных случаях непременно упоминается о хакерах.

Угроза приходит через Internet

Однако какой портрет при этом нарисует воображение? «Образ сидящего перед ПК тинейджера, придумывающего программу для проникновения в чужие компьютеры и сети или изобретающего новый вирус и распространяющего его через Internet по всему миру, не соответствует реальности», — уверен эксперт в области безопасности Майкл Ватис.

С докладом о проблемах безопасности он выступил перед участниками конференции EuroStorage 2001, организованной при финансовой поддержке компании StorageTek и ряда других ведущих компаний отрасли хранения данных. (Его мнению, безусловно, стоит доверять. Ведь он основал Центр защиты национальной инфраструктуры при Федеральном бюро расследований США — подразделение, призванное координировать разработки в области обнаружения и предупреждения компьютерных вторжений, а также помогать организациям в противодействии им.)

Действительно, хакерами сегодня чаще называют не любознательных фанатиков, всецело поглощенных изучением тонкостей компьютерных технологий и разбирающих по косточкам программы, а скорее этаких циничных киберзлодеев.

А с ними, как свидетельствует опыт, ассоциируется широкий спектр угроз, начиная с распространения наиболее изощренных вирусов и заканчивая участием в настоящих информационных войнах.

Ватис сослался на данные опроса, недавно проведенного в США Институтом компьютерной безопасности. В ходе этого опроса выяснялось, какие аспекты безопасности информационных систем больше всего беспокоят корпоративных пользователей и с какими именно видами угроз им приходилось сталкиваться на практике.

Опрос показал, что за последние пять лет существенно выросло число компаний, которые сталкиваются с фактами неавторизованного доступа к своим компьютерным системам. Причем если раньше главная угроза для них исходила от собственных сотрудников, то теперь заметно выросла доля внешних вторжений через каналы соединения внутрикорпоративных сетей с Internet. 36% атак имеет целью вывод из строя сетевых ресурсов.

Из года в год растет не только массовость хакерства: одновременно атаки становятся все разнообразнее и изощреннее.

Даже вирусы нельзя считать лишь досадной помехой: они наносят реальный экономический ущерб. Так, печально известный ILOVEYOU, появившийся в мае прошлого года, принес многим компаниям миллионные убытки, послужив причиной перегрузки почтовых серверов и потери операционного времени.

Самыми «безобидными» среди хакеров можно, пожалуй, считать тех, кто не имеет специальной мотивации к тому, чтобы атаковать вполне определенный сайт и нанести ему конкретный ущерб, а действует «из любви к искусству».

Однако, как правило, попытки вторжения все же вызваны теми или иными намерениями. Иногда атаки могут диктоваться, к примеру, политическими мотивами. В подобных случаях хакеры проникают, например, на официальные правительственные Web-сайты, чтобы разместить на них какие-либо воззвания, или бомбардируют почтовый сервер сообщениями, доводя его до аварийного отключения.

Подобно тому как в последние годы распространяется угроза «физического» терроризма, активизируются и их «киберколлеги». Сторонники кибертерроризма пытаются, в частности, воздействовать на системы управления важными элементами жизнеобеспечения (энергоснабжением, связью, пожарной охраной) или государственными структурами, вызывая реальные аварии соответствующих систем или дезорганизуя их работу.

Относительно новое «изобретение» — «хакерский бизнес». Хакер, нащупавший слабые места в защите информационной системы какой-либо компании, предлагает устранить их, требуя заплатить за эту работу кругленькую сумму. Вообще говоря, для нынешних хакеров финансовая выгода играет не последнюю роль. Большое число случаев хакерства связано с выкрадыванием номеров кредитных карт (с банковских сайтов или сайтов электронной коммерции) или с хищением денежных средств с банковских счетов.

Наиболее опасная тенденция — появление организованных групп хакеров. Есть примеры, когда, выкрав номера кредитных карт, подобные группы продают их традиционным криминальным структурам.

Попытки хакерства связаны и со шпионажем. Одна из его разновидностей — разведывательная деятельность одной страны против другой. Возможность получения информации удаленным образом подчас исключает необходимость засылки в соответствующую страну реального агента. В период войны атаки могут быть направлены на дезорганизацию управления обороной противника, и в частности для получения доступа к системам пуска ядерных ракет.

Однако более распространен промышленный шпионаж. По словам Ватиса, на Западе получил заметное распространение бизнес, связанный с хищением частной корпоративной информации по заданию конкурента.

Приведенный перечень угроз доказывает, что и госучреждениям, и коммерческим фирмам есть чего опасаться. Вообще говоря, западная цивилизация настолько сильно зависит от технологий, что становится уязвимой к различным сбоям.

Вывод Ватиса неутешителен: по его прогнозу, в ближайшее время число инцидентов, в ходе которых корпоративные пользователи смогут потерять «чувствительную» для них информацию, будет расти.

Лучшая защита — самооборона?

«Что имеем — не храним, потерявши — плачем»... Конечно, и ценность информации становится особенно ощутимой с ее потерей или утратой ее конфиденциальности.

А потому вряд ли кто-нибудь станет подвергать сомнению тезис о том, что любую важную информацию — а это может быть и исходный код программы, и план выпуска новой продукции — следует надлежащим образом защищать.

Причем во многих случаях забота компании должна распространяться на сохранность не только собственной, но и «чужой» информации, небрежное отношение к которой способно подорвать ее деловую репутацию. Речь, к примеру, может идти о персональных данных, сообщаемых клиентами компаниям, которые специализируются на электронной коммерции.

Естественно, все больше корпоративных пользователей рассматривают обеспечение безопасности информационной инфраструктуры как один из наивысших приоритетов. Так, по данным одного из опросов, проведенных в США, 80% респондентов беспокоятся о безопасности своей информации.

Их обеспокоенность вызвана прежде всего постоянно растущим числом попыток вторжения в корпоративные сети. К счастью, как известно со школьной скамьи, «любое действие вызывает противодействие». А это значит, что удары хакерских «мечей» могут принимать на себя все более надежные «щиты».

Часть средств уже широко используется на практике. По данным Network Computing, более 80% опрошенных корпоративных пользователей применяют антивирусные пакеты и межсетевые экраны. А многие респонденты собираются в ближайший год внедрить также средства обнаружения вторжений и создать виртуальные частные сети.

Правда, как показывает практика, намерения от реального дела может отделять «дистанция огромного размера». Нередко это объясняется объективными факторами.

К примеру, как показал прошлогодний опрос, проведенный компанией Ernst& Young, среди наибольших трудностей обеспечения информационной безопасности были указаны (в порядке убывания важности) некомпетентность служащих, недостаточное финансирование, неукомплектованность персонала, слабая поддержка со стороны руководства.

В России тоже растет интерес корпоративных заказчиков к различным аспектам безопасности, хотя до сих пор размер отечественного рынка информационной безопасности, согласно различным оценкам, и не превышает 10-15 млн. долл. По мнению начальника отдела разработки проектов и консалтинга компании «Открытые технологии» Вадима Саякина, это очень немного.

Тем не менее он уверен, что соответствующий рынок будет расти.

По его словам, в настоящее время при решении вопросов информационной безопасности главный акцент следует делать на защите от хакерских атак (тогда как два-три года назад основные усилия в этой области были связаны с построением межсетевых экранов). Причем уязвимость корпоративных систем по отношению к вторжениям требует комплексного подхода к обеспечению безопасности.

Подобный подход подразумевает не только использование современных технологий защиты, но и осуществление ряда организационных мер. К ним можно отнести, например, применение «сильных» паролей и их периодическую смену, регулярное обновление системы антивирусной защиты или разработку инструкций об открытии присоединенных файлов электронной почты. Особое внимание следует уделять контролю за увольняемыми сотрудниками, учитывая их осведомленность о средствах доступа и защиты корпоративной информационной системы.

Общение с корпоративными заказчиками привело специалистов «Открытых технологий» к необходимости проведения аудита в области информационной безопасности. На Западе соответствующая практика существует в течение нескольких лет, и, по прогнозу экспертов, спрос на аудиторские услуги в ближайшие четыре года там должен утроиться. Существенной подмогой аудиторам стал международный стандарт ISO 17799, принятый в декабре прошлого года, в котором сформулированы две сотни вопросов, затрагивающих различные аспекты информационной безопасности.

Цель аудита — оценка соответствия корпоративной информационной системы требованиям и стандартам в области безопасности, а его результатом является выработка политики безопасности, содержание которой должно быть изложено в специальном документе.

Вполне естественно, что аудит конкретной компании должен проводиться регулярно.

Для России периодичность проверок в значительной степени зависит от финансового состояния компании, и, как полагает Саякин, они должны проводиться не реже одного раза в год.

О своей готовности заниматься аудитом информационной безопасности компания «Открытые технологии» заявила на техническом семинаре, состоявшемся 22 июня. У некоторых его участников возник вопрос об ответственности аудитора перед заказчиком.

«Во-первых, мы не говорим о том, что обеспечиваем 100-процентную защиту. Речь идет лишь о существенном повышении уровня безопасности корпоративной системы, — пояснил Саякин позицию своей компании. — А во-вторых, проблема заключается не в отсутствии гарантий со стороны аудитора, а в том, что в реальных условиях будет очень сложно доказывать его виновность или невиновность».

Поэтому Саякин посоветовал потенциальным заказчикам тщательнее подходить к выбору консультантов по безопасности.

Так может быть, корпоративным заказчикам в вопросах обеспечения безопасности лучше рассчитывать на собственные силы? Как считает Саякин, вряд ли занятия подобной «самообороной» будут оправданны в большинстве случаев: по его словам, содержание профессионала по информационной безопасности обойдется российской компании не менее чем в 30 тыс. долл. в год.

Специалисты «Открытых технологий» осветили также несколько ключевых аспектов обеспечения безопасности. Среди них — важность внедрения системы обнаружения вторжений, разработка решений на базе инфраструктуры открытых ключей, вопросы безопасности в магистральных сетях.

Цена киберпреступления