Уязвимая безопасность
Проблемы безопасности в ИТ-сфере с каждым годом будут только расти. Регулярные исследования, проводимые самыми разными компаниями, выявили интересную закономерность — чем больше инвестируется в безопасность, тем больше инцидентов происходит. Объясняется это тем, что компании накопили большой «долг» по безопасности — в тех же США на протяжении многих лет в конце прошлого — начале этого века этим вопросом мало кто занимался, а сейчас на ИТ-службы, да и самых обычных пользователей свалилось сразу множество проблем. Что, как и можно ли вообще сделать что-нибудь продуктивное в сфере безопасности — ряд ответов дала конференция «Безопасность бизнеса. Технологии 2013», проведенная 19 сентября компанией «РБК».
Все проблемы безопасности, которые могут появиться перед бизнесом, обобщил Михаил Симаков, заместитель начальника ОЭБ банка «Первый экспресс». По его мнению, начинать строить «информационную крепость» надо вовсе не с ИТ, а с более приземленных материй. В организации должна быть выстроена соответствующая структура, подчиняющаяся основным бизнес-руководителям и отвечающая за всю безопасность. Строительные меры защиты предполагают грамотный подход к самому офису — возможно, потребуется укрепление дверей, окон, монтаж охранных систем, систем пожаротушения. Довольно часто применяемые системы контроля доступа завязываются с кадровыми системами и, помимо чисто защитных функций, помогают дисциплинировать сотрудников. Технические меры защиты объединяют в себе электропитание, кондиционирование и климатический контроль. Кадровые меры защиты информации: настройка правил, политик доступа к данным. Наконец, компьютерная защита объединяет в себя несколько уровней: локальной сети, приложений, файлов.
Особое внимание при этом нужно уделить мобильным решениям. Компания Acronis представила несколько очевидных сценариев их появления в компании. В первом случае компания сама закупает мобильные устройства и выдает их сотрудникам. Этот способ весьма затратен для компании, однако, тогда она может диктовать сотрудникам, что и как можно запускать на смартфоне или планшете. Второй сценарий — это не что иное, как BYOD. Компания, по сути, ничего не тратит на «железо», но в данном случае сильно страдает безопасность, ибо ИТ-службы уже не вправе указывать, как именно использовать девайсы.
Третий сценарий являет собой среднее между первым и вторым — компания выделяет средства на покупку сотрудником устройства, но при этом требует соблюдения корпоративных политик. Защищать же, по словам Эдуарда Попова, руководителя отдела по поддержке и продвижению продаж ПО Acronis в России и СНГ, можно и нужно как на уровне девайсов, так и на уровне файлов.
Тем не менее, многие весьма скептически относятся к защите при помощи ИТ. Можно ли защититься от кражи данных? Ответ на этот вопрос Ренат Юсупов, старший вице-президент Kraftway, дал сразу: на текущий момент нельзя. Вычислительные архитектуры создавались десятки лет назад, на раннем этапе развития информационных технологий безопасности мало кто уделял им внимание, все усилия производителей были направлены на увеличение производительности железа, функциональности программ. Эти подходы сохранились. Включение любого девайса — компьютера, смартфона, планшетника — происходит в три фазы: инициализация процессора, шин, памяти, прочих устройств, поиск загрузчика, загрузка «бутлоадеров», виртуальных машин и старт операционной системы и ее компонентов. В итоге из флеш-памяти BIOS и с винчестера загружается очень много постороннего кода, о котором сегодня пользователи компьютеров не имеют никакого представления. Этот код зачастую не оптимизирован и содержит множество «дыр», которые и эксплуатируют хакеры.
В защите нуждаются не только пользователи компьютеров и мобильных гаджетов. Весьма интересную идею того, как обезопасить владельцев банковских карт от кражи пин-кодов, высказал Леонид Яшин, начальник управления карточного бизнеса «Пробизнесбанка». Она базируется на том, что банковская карта всегда находится в заблокированном состоянии, и лишь при необходимости транзакции владелец карты оповещает заранее банк о необходимости активировать ее на определенный промежуток времени или на заданное число операций. Идея всем понравилась, нарекание вызвала лишь схема подтверждения транзакции при помощи смс, а именно ее используют сегодня российские банки. Если владелец карты находится за рубежом, то затраты на получение и передачу смс-сообщений могут быть велики.
Даже государство в последние годы все больше заботит проблематика информационной безопасности. Как отметила Ирина Кохтюлина, ответственный секретарь Национального института исследований глобальной безопасности, этот год оказался богат на крупные концептуальные законы в сфере ИБ. И добавила, что геополитический ландшафт меняется за счет интернета — он даже по силе и быстроте воздействия обошел и радио, и бумажные СМИ, и телевидение: радио охватило аудиторию в 50 млн человек за 30 лет, телевидение за 13 лет, интернет за 4 года, а соцсети за 9 месяцев.
Но такое распространение ИТ и интернета имеет и обратную сторону. Это появление новых типов угроз, о которых рассказал Валерий Павлов, председатель профессионального союза программистов России. Посетовав, что на конференции по безопасности присутствуют только те, кто рассуждает о борьбе с уязвимостями, но нет тех, кто «производит опасности», ищут дыры и создают эксплоиты, он ввел понятие «боевые вирусы». За этим термином, предложенным профсоюзом совместно с хакерским сообществом России, скрываются высокотехничные программно-аппаратные системы с изначально заложенными в них или установленными на этапе эксплуатации многофункциональными «бомбами».
Еще один объект — это «сопел» (Валерий Павлов, впрочем, не объяснил, откуда взялся такой термин), нацеленный на какую-то определенную бизнес-задачу коммерческий вредоносный код. Он достаточно легко обнаруживается и нейтрализуется.
Итоги конференции были подведены в докладе Евгения Роговского, руководителя центра проблем промышленной политики Института США и Канады. Он отметил, что, поскольку государство добивается прозрачности бизнеса, бизнес использует персональные данные пользователей и само общество заинтересовано в прозрачности всего и вся, то о реальной безопасности можно и не говорить. Да, собственно, уже и нечего защищать, ибо на вооружение принята концепция «информационной небезопасности» — скажем, интернет-услуги и доступ к соцсетям осуществляются бесплатно, но в обмен на персональную информацию, которой можно торговать. И даже попытка той же Apple сделать немного более надежными, чем традиционные пароли, биометрические технологии защиты массовыми, встроив сканер отпечатков пальцев в мобильные гаджеты, уже мало что изменит.
Сергей Лосев
© CNews