В Москве состоялась пятая международная конференция «Безопасность и доверие при использовании инфокоммуникационных сетей и систем».
Конференция, как и прежде, была организована общественно-государственным объединением «Ассоциация документальной электросвязи» (АДЭ), поддержана Мининформсвязи РФ и другими российскими ведомствами. В ней приняли участие специалисты ведущих ИКТ-компаний страны, сотрудники отделов безопасности крупных организаций, представители госструктур и прессы.
Работа конференции была разбита на тематические секции: «Угрозы ИБ», «Управление рисками», «Координация деятельности по обеспечению ИБ», «Развитие инфраструктуры оказания услуг, связанных с использованием электронных подписей», «Совершенствование нормативной базы» и «Международное сотрудничество». Обсуждение проблем, связанных с построением систем защиты операторского класса, вызвало особый интерес. Это вызвано как увеличением масштабов бизнеса операторов, так и ростом числа угроз в глобальных сетях.
По мнению руководства АДЭ, серьезным шагом к повышению уровня защищенности операторского бизнеса, к обеспечению координации деятельности разработчиков и заказчиков стал проект, недавно предложенный ITU. Он нацелен на создание документа «Базовый уровень безопасности операторов связи». К инициативе уже присоединились организации из США, Канады, Японии, Китая, Кореи и Бразилии, а также российские члены АДЭ.
Реализация проекта позволит решить несколько первоочередных задач. Требуется внедрить однотипные критерии защиты у операторов всех взаимодействующих сетей, выработать рекомендации для правовой и финансовой поддержки их деятельности по обеспечению безопасности, гармонизировать отраслевые спецификации с мировыми стандартами, утвердить единый понятийный аппарат и построить общую модель противодействия нарушителям. Предполагается, что в России инициатива завершится в 2008 году.
Особое внимание на конференции было уделено сегменту мобильной связи. Участники мероприятия рассказали об особенностях построения систем защиты инфраструктуры, мобильных приложений и абонентских устройств. Представитель «Мобильных ТелеСистем» поведал о роли системы аутентификации пользователей в контексте задач мобильного оператора. По его мнению, доступ к информации об абонентах, финансах и используемых технологиях должны иметь очень немногие сотрудники операторской компании. Для идентификации пользователя в сетях сотовой связи рекомендуется применять не только электронные брелоки (токены), пароли, смарт-карты, но и технологии, обеспечивающие «опознание» при помощи SIM-карт мобильных телефонов или генерации токенкодов. Эти меры не кажутся излишними, поскольку утечка важной информации обусловлена преимущественно действиями «внутренних» злоумышленников.
Многофакторная аутентификация особенно значима для фирм, обладающих значительным числом критически важных ресурсов и большим объемом конфиденциальных данных. Главный специалист по защите информации Пенсионного фонда РФ Анатолий Куранов подчеркнул, что в открытой продаже предлагается 51 база данных российских компаний. Преступники, конкуренты, любые злоумышленники могут купить сведения о тысячах граждан (их доходах, финансовых операциях, домашних адресах, паспортных данных и т.п.), а затем использовать по своему усмотрению. Куранов заявил, что БД Пенсионного фонда в продаже нет, но ему тут же возразили: совсем недавно ее видели в открытом доступе.
«ВымпелКом» — единственный из операторов «большой тройки», чья абонентская база пока не попала в руки мошенников. Его начальник службы информационной безопасности Дмитрий Устюжанин заявил, что операторам сотовой связи необходим такой же подход к организации защиты, какой применим в любой крупной компании. «ВымпелКом» руководствуется стандартным набором правил, но уделяет особое внимание охране конфиденциальных данных, обеспечению непрерывности бизнеса и согласованной работе распределенных компонентов.
Устюжанин отметил, что бизнес-задачи его организации предполагают обеспечение повышенного уровня безопасности мобильных приложений. Каждое из них, будь то e-commerce, доступ к Internet, развлекательные услуги, информационные и другие сервисы с добавленной стоимостью (VAS), перед вводом в эксплуатацию тестируется на стойкость к угрозам. Все приложения снабжаются необходимым инструментарием защиты и интегрируются в единую систему ИБ. По словам Устюжанина, недавно «ВымпелКом» провел совместные работы с «Лабораторией Касперского» для повышения уровня защищенности каналов VoIP и GPRS.
Алексей Волчков, директор департамента ИТ Ассоциации операторов GSM, говорил о противодействии мошенничеству в сетях мобильной связи. Сегодня поставщики услуг сотовой связи, заявил он, могут отслеживать IMIE (идентификационные номера) телефонов не только во время звонков в режиме on-line, но и на стадии обработки данных для биллинга. Операторам доступны и некоторые специальные опции, позволяющие выявлять «подозрительные» терминалы или обнаруживать преступников, но они обычно используются лишь по просьбе правоохранительных органов.
Волчков полагает, что противодействовать торговле крадеными телефонами позволит применение средств идентификации для контроля над отдельными устройствами и их блокировки. Правда, повсеместное внедрение подобных мер приведет к существенным затратам и определенным юридическим сложностям.