09.09.2013

Инциденты под следствием

"Директор информационной службы" (CIO.RU), № 9, сентябрь, 2013 <br>
Экспертное мнение Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Неуязвимых систем, как известно, не бывает. Рано или поздно инцидент может произойти в любой, даже очень хорошо защищённой системе. И вот тогда быстрая реакция может спасти не только информационные ресурсы, но и бизнес компании в целом. Именно поэтому организации любого масштаба важно иметь свод правил реагирования на случаи нарушения информационной безопасности.

Когда компания обнаруживает, что произошёл некий инцидент в области ИБ, реакция должна быть максимально оперативной — только в этом случае есть вероятность быстро найти виновных и свести ущерб к минимуму. Наибольшей разрушительной силой обычно обладают злонамеренные инциденты, а не те, что случились по причине чьего-то разгильдяйства или неосведомленности в вопросах ИБ. Чаще всего злоумышленники нацелены на кражу денежных средств. Бывают также случаи, когда хакеры стремятся нанести ущерб репутации компании или похитить важную корпоративную информацию. Кроме того, в последнее время участились атаки на информационные системы со стороны конкурентов или по их заказу. Успешной реализации таких атак способствуют доступность специального "хакерского" инструментария, действия инсайдеров, а также продающиеся официально и "из-под полы" сведения об уязвимостях в различных системах, включая бизнес-приложения.

Перечень инцидентов ИБ сегодня достаточно широк. Из наиболее распространенных можно выделить следующие: DDoS-атаки (распределенные атаки типа "отказ обслуживания"), мошенничество в системах дистанционного банковского обслуживания (ДБО), взлом серверов и кража конфиденциальной информации, утечка важных корпоративных данных, атака на репутацию путём размещения клеветнической информации в Интернете.

Без паники

Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов "Лаборатории Касперского", уверен, что наличие чётких рекомендаций и правил для сотрудников информационной безопасности способно решить сразу несколько задач: во-первых, это даст возможность избежать суматохи при возникновении компьютерного инцидента, а также при утере данных, характеризующих инцидент, во-вторых, позволит корректно зафиксировать всю первичную информацию об инциденте, необходимую для дальнейшего расследования, и, в-третьих, в максимально короткие сроки поможет восстановить работоспособность системы.

Стоянов рекомендует в рамках внутреннего расследования решить несколько ключевых задач. Прежде всего, конечно, нужно выяснить саму суть инцидента и связанных с ним обстоятельств, а также зафиксировать хронологию событий. Затем служба безопасности или отдельные сотрудники с соответствующими полномочиями должны определить причастных к инциденту людей для их дальнейшего опроса (например, при мошенническом списании денежных средств с использованием систем ДБО такими сотрудниками будут те, кто имеет доступ к инструменту и право электронной подписи финансовых документов). Далее необходимо зафиксировать все электронные свидетельства инцидента: сформировать корректную копию жёстких дисков ПК, вовлеченных в инцидент, сохранить системные журналы внутренних серверов, выходов к сети Интернет и др., прямо характеризующие инцидент. По результатам должно быть сформировано заключение с детальным описанием произошедшего события.

На этой стадии выполнить все перечисленные действия качественно и в полном объёме могут только сотрудники пострадавшей организации, так как они обладают полной информацией об особенностях работы внутренних регламентов, особенностях построения информационных систем, протоколирования тех или иных процессов, прав доступа сотрудников к различным ресурсам.

Расследование инцидентов ИБ и реагирование на них — сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: персонала отдела кадров, юристов, технических экспертов ИТ-подразделения, внешних консультантов по информационной безопасности и т. д. Большинство компаний создают комиссию по расследованию инцидента, в состав которой должны входить эксперты и консультанты в юридической и технической сферах.

Иногда собственным расследованием всё и ограничивается, особенно если речь идет о финансовых организациях, которые в большинстве случаев предпочитают "не выносить сор из избы". Даже если произошла серьёзная потеря денежных средств, службы безопасности банков, как правило, не желают делиться внутренней информацией с посторонними.

Как пояснил представитель службы безопасности одного крупного банка, пожелавший остаться неназванным, при возникновении инцидента в ИБ задачей его подразделения является максимально быстрое пресечение негативного влияния события на различные системы. Ключевая идея такого реагирования в том, что сам по себе инцидент не так важен, как использованный в данном инциденте канал, дающий злоумышленникам возможность получить в один момент тысячу повторений инцидента. Уже после этого проводится внутреннее расследование (или "обработка" инцидента) с выявлением существующих уязвимостей. Важнейшая задача на этом этапе — исключить повторение данного события в дальнейшем.

Кто поможет?

Опрошенные представители финансовых организаций и других компаний, обрабатывающих большое количество критичной информации, предпочитают не обращаться за помощью к компетентным органам — они видят не пользу, а вред в том. что посторонние получат доступ к жизненно важным данным, и предпочитают решать проблемы своими силами. Поэтому в крупной организации расследование инцидента чаще всего начинается. продолжается и заканчивается внутри организации — компетенция её сотрудников позволяет справиться с задачами практически любого уровня сложности.

Тем, кому собственных наработок для расследования инцидента ИБ не хватает, Сергей Котов, эксперт по информационной безопасности компании "Аладдин Р.Д.", советует использовать рекомендации, разработанные Ассоциацией российских банков и НП "Национальный платёжный совет", которые есть в свободном доступе в Интернете.

По мнению Котова, если инцидент настолько серьёзен, что справиться своими силами не получается, стоит прибегнуть к помощи экспертов. В правоохранительных органах есть несколько инстанций, куда, как рекомендует Котов, пострадавшим следует обращаться. В МВД оперативно- розыскной деятельностью по киберпреступлениям занимается Бюро специальных технических мероприятий (МВД ВСТМ), а именно специализированное управление "К". В регионах для решения данных вопросов также работают сотрудники управления "К" либо управления специальных технических мероприятий (УСТМ) по субъекту федерации. Если киберпреступления связаны с хищением денежных средств (финансовый фрод, например), то к раскрытию такого рода инцидентов подключается Управление по борьбе с экономическими преступлениями (УБЭП), в котором есть подразделения по борьбе с экономическими преступлениями в сфере высоких технологий. Пресечение и раскрытие киберпреступлений, представляющих угрозу государственной безопасности, относится к ведению Центра информационной безопасности ФСБ (ЦИБ ФСБ).

Стоянов отмечает, что в следственных органах, к чьей компетенции относится производство расследования, таких специальных подразделений нет. Это негативно влияет на общую картину противодействия и пресечения киберпреступности и повышает требования к качеству материалов, передаваемых следователю для решения вопроса о возбуждении уголовного дела, в том числе в части их изложения понятным следователю языком, поскольку специальными знаниями он не обладает. Кроме того, в органах, специализирующихся на компьютерной безопасности, работает всего несколько сотен человек на всю страну, нагрузка на них очень высока.

Вероятно, именно поэтому на рынке растущей популярностью начинают пользоваться услуги по расследованию инцидентов в области ИБ. Предложений таких сейчас крайне немного, известно о нескольких компаниях, в портфеле которых имеется полный спектр. В их числе — "Лаборатория Касперского", TOPs BI и Group-IB.

Илья Сачков, генеральный директор Group-IB. уверен, что при расследовании киберпреступлений сотрудники службы ИБ не могут обойтись без помощи со стороны. По его мнению, каким бы профессионалом ни был сотрудник службы ИБ, он не может постоянно отслеживать правовые решения по компьютерным преступлениям, от которых зависит, как именно необходимо настроить систему журналирования в информационных системах и процедуру реагирования на инцидент ИБ. Для проведения расследования требуется специальный инструментарий, но его зачастую нет даже в крупных компаниях. Кроме того, если инцидент произошёл по вине службы ИБ, вряд ли её сотрудники захотят об этом рассказывать.

В распоряжении сторонней организации, предоставляющей услуги по расследованию инцидентов ИБ практически всегда имеется штат профессионалов, обладающих компетенциями в разных областях. Они могут работать месяцами до тех пор, пока расследование не будет завершено, после чего эти специалисты дадут общие рекомендации по улучшению качества обеспечения ИБ в компании.

Сачков уверен, что количество инцидентов в дальнейшем будет только расти. Сейчас злоумышленников больше всего интересуют платёжные системы, банки и финансовые институты. Всё чаще происходят инциденты, связанные с утечкой или незаконным распространением объектов интеллектуальной собственности и коммерческой тайны, в некоторых случаях они сопровождаются шантажом или вымогательством. По всей видимости, в ближайшие годы произойдет усовершенствование инструментов, которыми пользуются злоумышленники. Также наблюдается растущий интерес со стороны киберпреступников к мобильным платформам, что связано с их широким использованием, в том числе в сфере платежей.

Какими бы компетентными ни были сотрудники службы ИБ организации, в случае возникновения серьёзных инцидентов им стоит обращаться за помощью к своим коллегам. Необходимость взаимодействия со сторонними компаниями должна быть заранее зафиксирована в своде правил, посвящённом расследованию инцидентов ИБ. Важность таких мер должно понимать и руководство — чтобы грамотно подходить к допуску посторонних. Ведь, увы, нередки случаи, когда табличку "Вход воспрещён" заменяют на "Добро пожаловать".