Основы информационной безопасности. Цена ошибки
Пока подготавливается материал для следующих частей и ожидаем Ваши пожелания, по теме третьей части «основ информационной безопасности» оставленных в комментариях ко второй части «Основы информационной безопасности. Часть 2: Информация и средства ее защиты». Решили сделать небольшое, но тем не менее не мало важное отступление, рассмотрев на примерах цену ошибок в проектировании и в работе системы информационной безопасности.
Достаточно многие прекрасно понимают, что любые просчеты и ошибки влекут за собой последствия, которые могут обернуться более чем плачевно. При этом как было справедливо замечено в комментарии к первой статье «Основы информационной безопасности. Часть 1: Виды угроз» понятие информационной безопасности гораздо шире чем сфера IT-индустрии и просчеты и ошибки в обеспечении которой могут коснуться каждого не зависимо от сферы деятельности.
Начнем с самых обыденных, но не менее болезненных до более интересных.
«Почему я» или «За что»?
Как часто бывает владелец любой небольшой компании расположенной даже в не самом крупном городе России думает, что уж он то, точно не кому не нужен, и не стоит даже тратить на него свои силы, когда во круг полно монстров-корпораций у которых-то есть что взять. Исходя из этого владелец данной компании не тратит свое время и средства на информационную безопасность. Максимум чем он ограничивается — это антивирус и надеждой: «Авось пронесет».
Однако малый и средний бизнес страдает от хищений информации гораздо чаще, чем крупные корпорации. Даже статистика затрудняется с подсчетом жертв в этом сегменте, так как многие владельцы даже не догадываются о том, что факт утечки имел место, поскольку инструменты отслеживания и анализа у них отсутствуют в принципе.
В XXI веке проблема утечки данных, к сожалению, касается абсолютно всех. Причин этому тысячи сработал подлый инсайдер, сотрудник не знает элементарных правил безопасности при работе в сети интернет. Или например, конкуренты получают доступ к новейшим разработкам компании, что несет очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на исследование и разработку оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства. Или скажем хакеры использовали различные уязвимость и так далее. Если вы не хотите, чтобы подобное происшествие поставило крест на деятельности компании, стоит хотя бы делать резервные копии информации. В таком случае они хотя бы дадут возможность восстановить работу, если скажем база-данных или целая система были зашифрованы.
Самый яркий пример — вирус WannaCry. Пока он гулял по миру успел изрядно наследить. В России атаке подверглись компьютерные системы министерства внутренних дел, компании «Российские железные дороги», банки и оператор мобильной связи «Мегафон».
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (FinCERT) сообщил, что вирус WannaCry затронул ресурсы нескольких российских банков.
«По итогам рассылки вредоносного программного обеспечения WannaCry зафиксированы факты компрометации ресурсов кредитных организаций. Последствия этих инцидентов были устранены в кратчайшие сроки».
Сообщение об этом опубликовано Центробанком 19 мая.
Среди наиболее серьезно пострадавших от вируса — британская государственная система здравоохранения (NHS). Многие ее больницы и поликлиники были вынуждены отправлять пациентов домой, поскольку персонал не мог получить доступ к компьютерной информации. Так же пострадали системы основного железнодорожного оператора Германии Deutsche Bahn.
Так как крупные игроки на рынке понимают последствия возможных угроз в информационной безопасности и тратят достаточные средства для обеспечения защиты, то средний и малый бизнес наиболее уязвим и последствия для владельцев бизнеса могут быть более чем плачевными или даже ужасающими как в следующем примере.
В октябре 2017 года, неизвестный нашел на земле флэш-накопитель, на котором обнаружились подробные сведения о системах безопасности крупнейшего в Великобритании аэропорта Хитроу.
В частности, на накопителе обнаружились карты размещения камер слежения, туннелей, шахт аварийного выхода, а также схемы патрулирования и описание системы ультразвуковых радаров, используемых для сканирования периметра и взлетных полос.
Администрация аэропорта, впрочем, уже заявила, что уверена в эффективности своих протоколов безопасности. Что касается утечки данных, то аэропорт начал внутреннее расследование с намерением выяснить, как подобное могло произойти, и предотвратить рецидивы.
В любом случае, сейчас понадобится серьезная коррекция этих процедур. Аэропорт также ждут серьезные репутационные потери и, скорее всего, расследование инцидента на уровне Правительства и Парламента.
Еще один из громких примеров произошел В сентябре 2017 года стало известно об одной из крупнейших утечек персональных данных в истории США. Хакерский взлом компьютерных систем, из-за которого пострадало почти половина населения страны, произошел в бюро кредитных историй Equifax, о чем сообщили в самой компании.
По данным Equifax, киберпреступники, воспользовавшись уязвимостью сайта компании, получили доступ к определенным файлам с середины мая до конца июля 2017 года.
Потерянными оказались номера социального страхования, даты рождения и в ряде случаев к номерам водительских удостоверений. Кроме того, в их руки хакеров попали номера кредитных карт около 209 тыс. американцев и ряд документов о претензиях, содержащих персональные данные 182 тыс. американцев. 8 сентября 2017 года котировки компании упали на 13% к моменту прекращения основных биржевых торгов.
К другим менее болезненным, но не менее неприятным случаям можно отнести периодически появляющиеся новости о сливе интимных-фото знаменитостей, которые напрямую могут не нести коммерческих убытков, но репутационные так точно. В том числе в плоть и до коммерческих, если на фото всплыла чья-то интрижка, которая могла разрушить брак и по брачному контракту могли быть выплачены значительные суммы.
Так в начале сентября 2014 года в сети произошел массовый слив интимных фотографий американских знаменитостей. Среди жертв хакеров оказались такие актрисы как Дженнифер Лоуренс, Кирстен Данст, Эмма Уотсон.
Фото которых были обнаружены на форуме The Fappening, где хакеры разместили в том числе два ролика интимного характера и 123 фотографии Эммы Уотсон. Там же оказались и гораздо более откровенные снимки Сайфрид отдыхающий с актером Томасом Садоски, с которым они помолвлены с сентября 2016 года.
Эксперты предположил, что хакеры могли украсть снимки, взломав «облачный» сервис iCloud.
Однако на мой взгляд наиболее интересные и масштабные случае ошибок в информационной безопасности, которые стоили с одной стороны многие сотни, если не тысячи жертв, а с другой спасенных жизней произошли во время первой мировой войны.
Выдающимся примером французского электронного шпионажа стал перехват длинного сообщения переданного немецкому послу в Париже из Министерства иностранных дел Германии, в котором содержалось нота об объявлении войны, предназначенная для передачи правительству Франции. Французы, уже взломавшие код, которым было зашифровано сообщение, не только перехватили отправленное сообщение, но и исказили ее содержание до такой степени, что посол Германии сначала не смог ничего в нем понять, а французы тем временем получили драгоценное время для приготовления к мобилизации.
Так же отличились британские разведслужбы которые взломали сверхсекретные немецкие коды и в течение трех лет имели возможность перехватывать и дешифровать все сообщения, которые Министерство иностранных дел Германии посылало своим зарубежным посольствам. Британцам удалось держать это в тайне и лишь слегка намекнуть об этом своим американским союзникам, когда немцы, которые совсем не подозревали об утечке информации из своих разведслужб, пытались подтолкнуть Мексику вступить в войну с обещанием содействия в аннексии американских штатов Техас, Аризона и Нью-Мексико.
Не остались в долгу и немецкие коллеги. На фронте, между подразделениями, телефон был обычным средством связи, и поэтому был изобретен достаточно хитрый способы подслушивания связи противника. Во время окопной войны, войска главным образом использовали однопроводные, с заземлением телефонные системы. Поскольку единственный провод находился на своей территории, то военное командование было убеждено, что противник мог подслушать их разговоры, только непосредственно подключившись к линии. Их нисколько не волновало подслушивание и, поэтому, они не предпринимали никаких мер предосторожности. Это убеждение, как, оказалось, было полностью необоснованным и первым кто узнал об этом, был Британский экспедиционный корпус во Франции, который уже в 1915 году начал понимать, что немцам удается предвидеть и препятствовать их операциям с раздражающей регулярностью. Все выглядело так, как будто немцы получали копии приказов о запланированных наступлениях британских войск. На самом же деле, немцы создали аппарат, который посредством сети медных проводов или металлических прутов, вкопанных как можно ближе к линиям противника, мог принимать даже самые слабые токи, создаваемые заземлением британской телефонной системы. Блуждающие токи заземления и утечки принимались и усиливались с помощью недавно изобретенной, очень чувствительной усилительной лампы. Таким образом, немцы имели возможность воспользоваться бессистемным применением противником телефонов, перехватывая их сообщения через заземление. Как только эта оригинальная система была обнаружена, британцы немедленно придумали аппарат, способный блокировать распространение звука через землю в пределах некоторого радиуса от источника излучения. Это устройство не только положило конец перехвату противником телефонных разговоров, но также и привело к разработке новой системы перехвата телефонных разговоров через землю.
Как видите допущенные ошибки в разработке системы информационной безопасности, а так же в использовании или игнорировании средств и методов защиты информации, в любой сфере деятельности могут иметь от незначительных до трагичных последствий.