Число уязвимостей, угроз и информационных рисков с каждым годом увеличивается. Происходит это в том числе и потому, что компании – даже крупные и средние – практически не уделяют должного внимания разработке стратегий информационной безопасности и часто пренебрегают правилами ИБ. Огромное число новых уязвимостей порождают и мобильные пользователи. На конференции CNews Conferences и CNews Analytics «ИБ бизнеса и госструктур: актуальные решения», которая прошла 22 мая 2014 г., эксперты отрасли обсудили, какие подходы, продукты и технологии помогают обезопасить инфраструктуру компаний.

Информационные угрозы актуальны как для бизнеса, так и для госструктур. Поскольку последние обычно закрыты, сведений о том, насколько качественно они защищены и как часто сталкиваются с утечками данных, публично не оглашаются. И, вообще, о состоянии дел в сфере ИБ в любом секторе можно судить лишь косвенно. Согласно отчету InfoWatch, в первом полугодии прошлого года примерно в трети случаев данные утекали через украденные или потерянные ноутбуки, планшеты и смартфоны.

Проблемы отрасли

Практически по всем направлениям Россия отстает от общемировых практик. Так охарактеризовал российскую индустрию информационной безопасности Евгений Климов, президент RISSPA. В качестве иллюстрации он привел перечень 20 профессий западных кадровых агентств. По словам спикера, подготовка новых специалистов-«безопасников» в российских вузах оставляет желать лучшего, и выпускникам технических вузов по сути приходится учиться информационной безопасности самостоятельно или на специализированных краткосрочных курсах.

Между тем проблема безопасности стоит все острее. В последние годы число обнаруженных уязвимостей и в закрытых (проприетарных) продуктах, и в системах с открытым исходным кодом возросло на порядок. Появились и новые виды атак. Так, эксплуатируемой в последние месяцы злоумышленниками (а также, по сообщению ряда интернет-источников, и спецслужбами некоторых стран, в частности АНБ США) HeartBeat-уязвимости в протоколе OpenSSL (используется для получения ключей и проведения атак на серверные и клиентские системы) ставится наивысшая степень опасности. Другой пример – атака BGP Prefix Hijack, которая предполагает внесение изменений в маршрутизацию пакетов и по сути кражи данных. Эта технология, кроме того, применяется при DDoS-атаках на веб-серверы. Участившиеся в последние месяцы атаки на сайты компаний финансового сектора и госструктур – иллюстрация того, что проблема в сфере ИБ вовсе не раздута прессой.

Одним из основных источников угроз для корпоративных систем являются мобильные технологии. Уже через несколько лет, по прогнозам Gartner, более половины всех существующих ИТ-систем уровня предприятия будут комплектоваться мобильным клиентом. Однако в отчете Dimension Research отмечается, что концепция BYOD существенно увеличивает число инцидентов – это объясняется отсутствием на предприятиях какой-либо политики безопасности в отношении мобильных устройств. Не меньший уровень угроз несут в себе и две другие «модные» технологии – виртуализация и облачные вычисления. Это благодатная почва для кибертерроризма и кибервойн. В область внимания хакеров все чаще попадают не только крупные предприятия с миллиардными оборотами, но и средние и даже мелкие компании. Так, по данным Verizon, в прошлом году более 620 утечек произошло в компаниях численностью менее 1000 человек и около 130 – в компаниях до 100 человек.

Капля оптимизма

Впрочем, не все так печально. Проблемы существуют – это признают и производители систем информационной безопасности, и пользователи этих продуктов и технологий. Но есть и решения этих проблем. На мероприятии было представлено несколько продуктов и технологий, которые призваны защищать различные участки корпоративной ИТ-инфраструктуры.

Один из эффективных способов защиты компьютерных систем предложил российский производитель, компания Kraftway. Сославшись на исследования «Лаборатории Касперского»,Ренат Юсупов, старший вице-президент Kraftway, отметил, что в первом квартале текущего года число атак на инфраструктуру компаний превысило 8,2 млн. Существенная их часть нацелена на загрузчики, драйверы устройств, прошивки BIOS, сетевых устройств и т.п., то есть является низкоуровневой. Другими словами, вредоносный код получает доступ к ресурсам компьютера до старта (или на ранних этапах инициализации) операционной системы, и, если решением этой проблемы не заниматься, нельзя быть уверенным в том, что компьютеры, используемые и в бизнесе, и в госструктурах, безопасны.

Усугубляет ситуацию и то, что при создании устройств безопасность BIOS и программных прошивок не является ключевым требованием, в первую очередь уделяется внимание их функционалу. В результате есть возможность незаметно для пользователя и операционной системы с новейшими антивирусными пакетами, брандмауэрами и другими системами информационной безопасности, делать свое «вредоносное дело». Наиболее часто, по словам спикера, злоумышленники, хакеры при инфраструктурных атаках прибегают к подмене загрузчика BIOS или области MBR жесткого диска – эта операция осуществляется чуть ли не в 80% случаев. Следующая строка в рейтинге атак по их частоте – компрометация прошивок устройств. Обычно прошивки поставляются в бинарном виде, и проверить качество кода в плане безопасности возможно не всегда. Заражение происходит и путем записи вредоносного кода в флеш-память BIOS, на уровне ОС этот код удалить довольно сложно. Создатели вредоносного кода используют и метод подмены обработчиков прерываний устройств. Высокоприоритетные обработчики прерываний обычно находятся в BIOS, но могут заменяться и обработчиками операционной системы. Они вызываются по аппаратному прерыванию или специальной ассемблерной инструкцией. При этом в момент исполнения кода обработчика никакие защитные механизмы по сути не действуют.

Доверенные компьютерные платформы, представленные на конференции Ренатом Юсупов, являются тем решением, которое если не избавит полностью, то существенно снизит риск заражений компьютеров до старта операционных систем. Эта платформа базируется на гипервизоре, который работает на низком уровне и виртуализирует (изолирует) все устройства. На практике это реализовано так: микрооперационная система с собственным API включает в себя большое число средств защиты, которые можно использовать до старта операционной системы. Эта технология применима к любой вычислительной – ПК, серверам, сетевым устройствам.

Строительству доверенных сетей было посвящено выступлениеАйбека Абдыманапа, технического директора компании «Русьтелетех». Используя не конечные решения, а лежащие в их основе технологии, создавая затем собственное «железо» и сертифицированный соответствующими органами программный код, можно обеспечить надежную работу корпоративных сетей, а также сетей органов государственной власти. Именно по этому пути – выпуску собственного телекоммуникационного оборудования – пошла компания «Русьтелетех». В ее линейке есть ряд Ethernet-коммутаторов, которые соответствуют международным стандартам качества и в то же время сертифицированы ФСТЭК России по третьему уровню контроля отсутствия НДВ (недекларированных возможностей).

От защиты ERP к стратегии безопасности

Защита бизнес-систем – еще одна актуальная задача в области информационной безопасности. На примере решений SAPЕвгений Балахонов, технический директор компании «Энергодата», вкратце перечислил основные угрозы, связанные с работой ERP. Среди них наиболее «популярные» – разглашение, искажение информации. Ограничивая доступ к данным пользователей в соответствии с их ролями, можно поднять уровень информационной безопасности. Парольный способ защиты, хотя и применяется в подавляющем большинстве случаев, не эффективен. Пользователи не утруждают себя вводом сложных паролей, а предпочитают короткие (клички домашних животных, даты рождения и т.п.), а чуть более сложные записываются на самом видном месте. Биометрия – способ более эффективный, однако для идентификации пользователей в ERP-системах трудноприменимый.

Интересна тема и персональных сертификатов на электронных ключах. Подключившись к бизнес-приложениям, пользователь может обрабатывать данные в соответствии со своими правами. Созданное приложение, как добавил Евгений Балахонов, блокирует даже снятие скриншотов при просмотре критически важной информации (хотя эта проблема, как заметили участники конференции, легко обходится: экран компьютера фотографируется при помощи мобильных телефонов) и автоматически подписывает выгружаемые на внешние носители данные цифровой подписью. Это решение нацелено на российский рынок и базируется на ГОСТ-криптографии.

Безопасность – это не только выявление и удаление вредоносного кода на аппаратном уровне или на уровне операционной системы, но и создание и обеспечение процедур контроля. Скажем, может ли использоваться определенный логин пользователя, который на самом деле не приходил на работу, не проходил через охрану, не пользовался своим электронным пропуском? Ответ очевиден: конечно, нет. В этом и любых других случаях соответствующие службы должны фиксировать инциденты, назначать ответственных за расследования и собирать базу знаний для решения аналогичных инцидентов. Как отметилАркадий Прокудин, заместитель руководителя отдела центра компетенции информационной безопасности «АйТи», компьютерные системы и приложения формируют разную отчетность, в разных форматах, нередко на разных языках. Изучать логи по очереди – задача затратная и неэффективная. Однако, если эту информацию собирать и обрабатывать централизованно, можно существенно сократить время обнаружения и ликвидации инцидентов.

В разработанной «АйТи» программе Security Vision централизованно ведется «дневник» работы всего оборудования и ПО. Такой подход, при котором решения о том, как бороться с инцидентами, принимаются из одной точки, упрощает работу служб безопасности. Конечно, внедрение подобного рода инструментов на первых порах существенно увеличит число зафиксированных инцидентов (это происходит потому, что прежде о них попросту не догадывались), но с другой стороны – в разы сократит время на принятие экстренных решений.

Корпоративная безопасность зависит от проработанности бизнес-ориентированной стратегии информационной безопасности. Как отметилРоман Чаплыгин, директор по анализу и контролю рисков PrisewaterhouseCoopers Russia B.V., необходимость в стратегии информационной безопасности обусловлена целым рядом причин. Соответствующий документ позволяет ускорить сроки внедрения ИТ-решений, оптимизировать расходы, обеспечить прозрачность деятельности по ИБ и потребностей бизнеса, механизмы и контроль за реализаций требований ИБ и др. В стратегию ИБ вносятся основные риски и угрозы, учитывающие как внутренние факторы (культуру, технологии, компетенции), так и внешнюю бизнес-среду.

Безопасность медстрахования

Владимир Поихало, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования, поделился некоторыми особенностями работы территориальных и федеральных фондов медстрахования. Федеральный фонд – некоммерческая организация, реализующая госполитику в сфере обязательного медицинского страхования.

Непосредственно оформлением страховок занимаются территориальные фонды. В них и хранятся персональные данные клиентов, включая ФИО, дату и место рождения, проживания и регистрации, гражданство, а также данные удостоверяющих документов (паспортов, СНИЛС, полисов обязательного медстрахования и др.). Такой персонализированный учет обеспечивает гарантии прав застрахованных лиц на оказание бесплатной медицинской помощи, контроль целевого использования средств и определение потребностей в объемах медпомощи в регионах. В федеральном фонде при этом хранятся обезличенные сведения об оказанной застрахованному лицу медицинской помощи, включая вид, условия, сроки, диагноз, применяемые лекарственные препараты, результаты получения медпомощи и ряд других данных.