Сквозь сети Всемирной паутины ежечасно утекают ручейки данных. За информацией охотятся хакеры, ее воруют инсайдеры и теряют по халатности безалаберные сотрудники. Человеческий фактор — одна из самых распространенных и наиболее значимых причин утечки информации.
Сегодня мы предлагаем читателям обзор ситуации, основанный на аналитическом исследовании компании ZECURION, а также мнения ведущих экспертов в области информационной безопасности о том, что нужно предусмотреть ИТ-руководителю и уметь IT-специаписту, чтобы защитить конфиденциальные данные.
Чье решето дырявее?
Число зафиксированных в открытых источниках утечек информации в России осталось в 2012-м примерно таким же, как и в прошлые годы. Однако меняется их, так сказать, «отраслевая направленность». Если годом ранее больше всего утечек было зарегистрировано в здравоохранении, то теперь медучреждения оказались лишь четвертыми после учебных заведений, госорганизаций и предприятий розничной, в том числе интернет-торговли.
Доля утечек в госсекторе на протяжении длительного периода находится на стабильно высоком уровне. Это, как считают эксперты компании ZECURION, - следствие низкой заинтересованности организаций в защите информации и прежде всего персональных данных.
Убытки, связанные с ущербом для репутации и потерей конкурентоспособности, для частных компаний на порядок выше, чем для госучреждений, для которых понятие «конкурентоспособность» в некоторых случаях просто неприменимо.
Плюс большие объемы обрабатываемой информации, плюс невысокий уровень подготовки сотрудников, плюс работа с теми базами, которые представляют интерес для мошенников...
По всему получается, что самое дырявое решето все же государственное.
Бомба. Иногда замедленного действия
В случае утечки информации прогнозировать потенциальный ущерб и неприятные последствия прямым образом не всегда возможно. Да, при утрате конфиденциальности коммерческой информации, интеллектуальной собственности ущерб можно постфактум более-менее точно подсчитать, хотя он не всегда критичен для жизнедеятельности компаний.
Однако утечки персональных данных могут быть для граждан даже фатальными, ибо подобными данными интересуются в первую очередь преступные группировки. На слуху громкие аферы с жилым фондом, мошенническим вымоганием денег у одиноких пожилых людей.
Если к преступникам попадает крупная база персональных данных, - а, к сожалению, в нашей стране для этого не потребуется больших усилий: диски с подобной информацией можно приобрести на «черном рынке» достаточно легко, - конечно, далеко не вся информация будет использована в мошеннических схемах.
Но тем не менее все в нее включенные будут находиться «под колпаком у Мюллера», и пресловутое ружье может выстрелить в любой момент.
Однако до сих пор широко распространено мнение, что монетизировать (то есть превратить в деньги) большинство типов персональных данных невозможно. И даже появляются призывы к максимальной публичной открытости и прекращению утаивания подобной информации. Гражданам не хватает культуры и знаний хотя бы минимальных требований к информационной безопасности.
Достаточно вспомнить об аккаунтах людей в социальных сетях или блогосфере. Как минимум они атакуются спамерами, но бывают и гораздо более серьезные последствия. Человека могут не принять на работу, если кадровые службы усмотрят что-то порочащее в его аккаунтах - скажем, нескромные фотографии или пикантные комментарии, -или вовсе с работы выставить.
Из последних резонансных историй - увольнение стюардессы, написавшей крайне нелояльный пост, и сотрудницы Сбербанка, вбросившей в Интернет неуважительный по отношению к клиентам банка комментарий.
Аналитики компании ZECURION, говоря об убытках, наносимых утечками информации, приводят уникальный инцидент из недавнего прошлого. Речь идет о громкой утечке информации из резиденции Папы Римского. Считается, что именно это событие привело к отставке понтифика Бенедикта XVI.
Словом, утечки - это крайне серьезная проблема, оборачивающаяся разного рода и разной степени тяжести проблемами. Как на личном, человеческом, так и на государственном уровне.
Где тонко, там и рвется
Поданным исследований аналитической компании Forrester, потери и кражи мобильных носителей информации являются причиной 31% утечек, а еще 27% вызваны некорректным использованием прав доступа.
И хотя детектировать канал потери данных не всегда представляется возможным, можно выделить быстро развивающуюся тенденцию - рост доли утечек через мобильные устройства.
Даже в корпоративной среде мобильные компьютеры вытесняют стационарные в силу большей универсальности при примерно равных технических возможностях и соизмеримой стоимости решений. Но, несмотря на схожее предназначение, с точки зрения безопасности использование мобильных и стационарных компьютеров принципиально различается.
Для стационарных ПК разработано гораздо больше решений по безопасности. А крадут системные блоки из организаций все же нечасто. Гораздо чаще случаются кражи и потери ноутбуков, планшетов и прочих мобильных устройств, которыми сотрудники, помимо рабочих, пользуются и в личных целях.
Тут то самое бутылочное горлышко проблемы сохранения данных, где застревают самые благие намерения. Ибо, как говорят, пока гром не грянет...
В обзоре ZECURION также отмечается, что большая доля утечек по-прежнему происходит случайно, из-за ошибок или халатности собственных сотрудников. Типичный сценарий - утеря незашифрованных носителей с конфиденциальной информацией.
Стремительный рост парка мобильных устройств и систем сопровождается не менее стремительным ростом активности киберпреступлений. По данным компании Forrester, количество вредоносных программ, например, для мобильной платформы Android, уже исчисляется тысячами. Это и мобильные вирусы, отправляющие эсэмэски на платные номера, и программы-шпионы, и многое другое.
Закон не в тренде
Количество правонарушений и преступлений, совершаемых с использованием возможностей информационных сетей, пока только растет.
Федеральный закон Российской Федерации от 27 июля 2010 года №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком» пребывает в полуживом состоянии - отчасти от собственного несовершенства, отчасти из-за малой готовности компаний раскрывать случаи утечек как по внешним, так и по внутренним причинам.
Компаниям невыгодно обнародовать подобные факты, выносить сор из избы - это плохо сказывается на их репутации. И если информация о судебных процессах над хакерами время от времени появляется в средствах массовой информации, то случаи выявления «внутреннего врага» озвучиваются крайне редко. В отличие от виртуальной преступности закон пока не в тренде.
* * *
Мы обратились в ведущие компании, которые занимаются проблемами информационной безопасностью, с просьбой рассказать, как они видят сложившуюся ситуацию и какую «соломку» предлагают «подстелить», чтобы не допустить или минимизировать потери.
В чем-то мнения экспертов сходятся, но есть и разногласия. Действительно, относительной безопасности можно достичь, лишь накрепко отгородившись от внешнего мира. Но этот вариант нежизнеспособен, и поэтому на помощь приходят как административные мероприятия, так и постоянно совершенствующиеся технологические разработки, которые у каждой компании свои.
Так, компания Check Point предлагает, помимо традиционных решений для устройств на базе iOS и Android, обеспечивающих безопасное подключение (VPN-туннель с дополнительными проверками и функциями безопасности), изолированную виртуальную среду внутри пользовательского устройства. Корпоративные данные (почта, файлы, контакты) не пересекаются с обычными пользовательскими данными. Тем самым исключается возможность доступа к информации из потенциально опасных приложений, установленных пользователем.
Samsung недавно анонсировал платформу KNOX, которая представляет собой специальную защищенную версию смартфона или планшета для корпоративного использования на базе Android. DeviceLok EndPoint DLP Suite разработки российской компании «Смарт Лайн Инк» поддерживает контроль локальной синхронизации для мобильных устройств. Продукты против вирусов, а также решения по шифрованию данных предлагает Dr.Web.
А бизнес-решения ESET NOD32 обеспечивают защиту от внешних угроз по всему периметру корпоративной сети - от мобильных устройств сотрудников до файловых и почтовых серверов. Растет спрос на системы предотвращения утечек на этапе хранения, а также к продуктам для выявления мест несанкционированного размещения конфиденциальных данных. Это говорит о том, что компании стремятся предпринять превентивные меры нежели тушить пожары уже постфактум.
Законодательная власть тоже готовится внести свою лепту. Идет активная доработка законов в части защиты персональных данных. Предполагается, что штрафы за утечки персональных данных для юридических лиц должны исчисляться миллионами рублей.