Как и от кого защищаться?

Интервью генерального директора Aladdin С.Груздева

С генеральным директором компании Aladdin Сергеем Груздевым мы беседовали на следующий день после его спонсорского доклада на конференции «Решения “1C” для корпоративных клиентов», вызвавшего большой интерес аудитории. Доклад был посвящен информационным угрозам - призрачным и реальным, и мы решили продолжить обсуждение этой темы.

Давайте проясним ситуацию: чего компании боятся больше всего? От чего защищаются, а от чего только думают, что защищаются?

Защищаются от того, от чего привыкли защищаться. Есть стереотипы, есть раскрученные темы - хакеры, вирусы… Реальная же картина угроз и убытков выглядит иначе - практически обратно пропорционально стереотипу. Скажем хакеры, проникающие в корпоративные сети, на сегодня, наверное, меньшая из всех головных болей. Что касается компьютерных вирусов - их действие проявлялось сразу, и с ними уже научились неплохо бороться. Сейчас, с приходом Интернета и взрослением тех самых первых «мальчиков-вирусописателей», угрозы реализуются тихо, незаметно и очень аккуратно: если что-то и качают с компьютера, то по чуть-чуть, чтобы не было видно, что машина «тормозит», идут параллельные процессы. При этом сам объем переданной информации резко возрос. Вредоносные программы стали умными, они часто работают в отложенном режиме. Атаки изменились, угрозы изменились.

Говоря об источниках риска для бизнеса, я ставлю на первое место чиновников, выступающих от имени государства - как рыночного регулятора и как игрока. Хотя государство по определению не должно играть на рынке, в реальности оно в этой игре участвует - от имени государства выступают определенные люди, имеющие свой интерес, и нередко создается ситуация, когда государство обслуживает интересы конкретного бизнеса. Если делить риски на управляемые, то есть те, на которые мы можем воздействовать, и неуправляемые, то к рискам и угрозам со стороны государства в большинстве случаев приходится относиться по принципу Жванецкого: «Не нравится - отойди!»

Как этот принцип можно реализовать практически?

Возьмем актуальный пример - утечку данных из РКЦ. Сегодня, при желании, каждый может купить базу данных, где с точностью до платежки представлены сведения о том, кто, у кого и что купил, и кому что продал… Первая реакция рынка была - это утечка из банка, надо предъявить ему претензии. Но потом СМИ стали анализировать данные и увидели, что среди них нет внутрибанковских транзакций. Значит, утечка произошла из РКЦ, ведь если транзакция с клиентом или контрагентом происходит внутри одного банка, то данные об этом никуда не передаются. И стало понятно, что делать: компании, напуганные подобным прецедентом, стали открывать по несколько счетов в тех банках, с которыми работают их крупные контрагенты. Таким образом, расчеты с ними стали проводиться внутри банков и наружу эти сведения уже никак попасть не могли. Это позволило им защититься от подобного рода утечек, однако подобные инциденты наверняка будут продолжаться. Сегодня на рынке предлагают даже подписку на обновленные базы - значит, это хорошо поставленный криминальный бизнес. Ситуация такова: чем больше автоматизируются бизнес и его отношения с государством, тем выше риски. Идет централизованный сбор данных, они консолидируются в единое хранилище, и если там случилась утечка - это риск для всего бизнеса в России: мы раскрыты друг перед другом, мы уязвимы.

А как в России проявляется угроза бизнесу со стороны государства?

Я сошлюсь на данные аналитического агентства Control Risks Group, которое каждый год проводит анализ рисков и оценивает, в частности, политические риски. По их статистике, бизнес в 49% государств испытывает помехи и агрессию со стороны государства. Россия, которая годом раньше по этому показателю была где-то в серединке - за счет национализации экономики, и прежде всего ключевых сырьевых и энергоресурсов, переместилась ближе к Сомали, где политические риски самые высокие. По показателю угроз безопасности бизнеса положение России лучше, хотя она и попадает в число 40% государств, которые не гарантируют предпринимателям безопасность их бизнеса. В то же время аналитики отмечают, что наибольшее влияние на мировой бизнес и уровень безопасности будут оказывать три государства: США, Китай и Россия. Получается, что бизнес в России - это очень аппетитная перспектива, но игра идет по правилам рулетки: пан или пропал. Как только компания становится коммерчески успешной, особенно если она пытается как-то лоббировать свои интересы, у чиновников растут аппетиты - примеры известны.

А риски, связанные с человеческим фактором, – они на каком месте по значимости?

На втором. Еще не так давно считалось, что более половины всех убытков происходит по вине человека, и причины ущерба примерно пополам распределялись между лояльными и нелояльными сотрудниками. С нелояльными отчасти научились бороться: правильнее составляются договоры, развивается бизнес-этика. Правда, бороться с инсайдерами - злоумышленниками из числа сотрудников - тяжело и дорого. Почему они так себя ведут? Прежде всего, потому, что ощущают себя безнаказанными. Никто не узнает - значит, все дозволено. Мы отрабатываем и предлагаем технологии, в первую очередь, для защиты баз данных, основанные на неотвратимости наказания: действия сотрудников фиксируются, и вопрос, кто допустил нарушение, без ответа не останется. Благодаря этим технологиям, мы можем представить юридические доказательства и привлечь нарушителя к ответственности, а это очень мощный сдерживающий фактор.

Первые такие проекты мы делали для оператора связи, для защиты системы биллинга. Биллинг - как нефтяная труба, к которой каждый стремится прикрутить маленький краник, чтобы извлечь свою выгоду. Объем неоплаченного трафика был велик, и мы сделали защиту биллинговой системы, базирующуюся на персонификации доступа, завели персонифицированный журнал обращений к базе данных. У службы безопасности появилась возможность осуществлять мониторинг, позволяющий обнаружить человека, действия которого вызывают подозрения, и предупредить его, что нарушение зафиксировано. Этот журнал подписывается электронной цифровой подписью, которая выработана личным токеном - электронным ключом, а значит - возникает юридическая ответственность сотрудника за неправомерное вмешательство в систему. Кроме того, мы ввели селективное шифрование, которое помогает защитить базу данных от хищений со стороны системного администратора.

Принято считать, что системный администратор - это царь и бог, а мы все его заложники, и если администратор - инсайдер, то сделать ничего нельзя. Так ли это?

Эта аксиома для нас не актуальна – мы разработали технологию, позволяющую без изменения существующих приложений селективно шифровать отдельные столбцы в базе данных, например, номера кредитных карточек и другие критически важные данные, без которых эта база становится неинтересной для инсайдера. Таким образом, администратор свои функции выполняет, имея физический доступ к базе в обход всех методов ограничения, видит столбцы - но данные в столбцах для него зашифрованы. Более того, мы ввели должность администратора безопасности, который раздает права и сертификаты, но не имеет доступа к базе. То есть для совершения преступления системный администратор и администратор безопасности должны вступить в сговор. Подобный подход даёт колоссальный эффект даже после пилотного внедрения на сотне рабочих мест: появились предупреждения службы безопасности: «Зафиксирована неправомерная попытка получения доступа к данным. Предупреждаем Вас о недопустимости таких действий». Заработало «сарафанное радио», люди стали задумываться о том, что их могут поймать за руку и наказать, соответственно, доля нарушений значительно снизилась.

За последние два-три года общая ситуация в области угроз ИБ изменилась: на долю инсайдеров приходится всего 5% убытков, а на первое место выходят лояльные сотрудники, с их слабостями и пороками: доверчивостью, халатностью и разгильдяйством. К примеру, в последнее время доля ноутбуков в корпоративном сегменте резко возросла. Как правило, пользуются ими топ-менеджеры и хранят на них крайне ценную информацию. При этом, по статистике, нет ни одной компании, где бы не были потеряны ноутбук или флэшка. В большинстве случаев, к счастью, ноутбуки воруют для себя или для перепродажи, поэтому стирают содержимое и форматируют жесткий диск. И слава Богу! Две тысячи долларов - ерунда по сравнению с тем, что могло случиться, если бы данные попали в руки человеку, сумевшему ими воспользоваться. Значит, использование ноутбука без шифрования данных - это разгильдяйство. И я вижу, как сегодня у нас изменяется структура продаж: все чаще программы шифрования дисков покупают госструктуры, крупные компании.

Ситуация усугубляется в связи с распространением Интернет-технологий. Насколько велика опасность, связанная с их использованием?

Это третий по значимости источник угроз для бизнеса. Причем угрозы эти растут экспоненциально. Разные аналитики приводят разные цифры. «Антивирусники» говорят, что за прошлый год отмечено полтора миллиона новых вредоносных кодов и их клонов, Microsoft - что 4,5 млн. Я склонен больше верить Microsoft. А в этом году, полагаю, их будет примерно 8-10 млн. Потому что сегодня за 50-100 долларов плюс 20 долларов за годовое обновление можно купить конструкторы вредоносных программ, использующих те или иные уязвимости. Идет поиск уязвимостей на Web-ресурсах, на них «подсаживается» вредоносный код, после чего сайт используется уже в интересах злоумышленника. Первопричина здесь - корыстный интерес, при этом бизнес-модели могут быть разными. Это может быть, например, рассылка спама, требующая огромных распределенных вычислительных ресурсов, чтобы нельзя было поймать и заблокировать спамера. Вторая модель - заработок на DDoS-атаках: в прошлом году «завалить» на сутки корпоративный сайт компании стоило 300-500 долларов. Платишь - и на сайт обрушивается шквал запросов, он становится недоступен, что и требуется конкурентам. Сейчас цены резко упали, до 50-100 долларов за такого рода атаку.

Сегодня можно купить данные о счетах в банке: чем больше денег на счетах, тем дороже продаются сведения о них. Те, кто продает, сами никого не грабят, но выступают в роли наводчиков для тех, кто готов этим заняться. Или, например, продают номера кредиток. Или пишут на заказ вредоносные коды: «Вам интересно, чем занимается ваш конкурент? Мы напишем «шпиона», подсадим ему на компьютер, и все данные – ваши». Цена вопроса - 500 долларов, максимум 1000. Способов заражения множество - скажем, подбрасывают в компанию флэшку, на которой есть соответствующий код. В 95% случаев эту флэшку тут же втыкают в компьютер и начинают смотреть, что на ней. Пока смотрят фотографии и прочее - в компьютере уже полный букет вредоносных программ. Всего-навсего человеческое любопытство, и задача выполнена. Еще один вариант - тем или иным способом заставить человека зайти на зараженный сайт. Наши коллеги, Positive Technology, проводили анализ уязвимости российских сайтов и получили впечатляющие цифры: 93% российских сайтов более или менее известных компаний имеют уязвимости средней степени тяжести, 63% - критические. Эти сайты могут быть атакованы, скрытно от их администраторов на них может быть «подсажен» вредоносный код, и при посещении сайта пользователь получит троянскую программу с определенной «смысловой нагрузкой», зависящей от цели атаки.

Все это приобретает особое значение в свете принятия закона об охране персональных данных, и к нам все больше обращаются организации, которые уже поняли, что за утечку таких данных придется нести серьезную ответственность.

Но ведь на большинстве компьютеров, особенно в корпоративном секторе, стоят антивирусные программы, которые выявляют и устраняют вирусы, троянские программы, Интернет-черви и т. п. ?

Вирусов, как таковых, в Интернете практически нет, там используются другие технологии, и на рабочих местах бороться с этой, если позволите, заразой очень непросто: нужны постоянные обновления, сигнатуры, базы уязвимостей. Все это требует очень серьезного администрирования, контроля, больших вычислительных ресурсов, в ряде случаев - серьезного объема трафика для обновления антивирусных программ. К тому же сигнатурных технологий уже давно недостаточно, и прежде всего из-за задержки между созданием вируса и попаданием его сигнатуры в базу. Что касается проактивных технологий борьбы с вредоносными кодами, то эту тему маркетологи и пиарщики просто «заболтали». Хотя это очень важная технология, мы ею занимаемся уже 12 лет. Есть еще и такой вариант защиты, как URL-фильтрация и репутационное деление сайтов, грубо говоря, на «хорошие» и «плохие». Деление это, кстати, весьма условное. Рассматривая подобные технологии, всегда задаешься вопросом: какой срок жизни у вашего рейтинга сайтов? Неделя? А сколько нужно времени, чтобы из «хорошего» сайта сделать «плохой»? 15 минут? Значит, этот параметр репутации сайта неэффективен. Гораздо более эффективной выглядит комбинация репутационных механизмов со 100% проверкой на шлюзе HTML-кода, поступающего на компьютер пользователя. Причем в прозрачном для пользователя режиме.

Насколько связана исходящая от Интернета опасность с «человеческим фактором»?

Интернет используется повсеместно, это нервная система бизнеса: здесь и почта, и телефония, и быстрый поиск информации. Но Интернет несет в себе угрозы, которые мы часто не осознаем и к которым просто не готовы ни технологически, ни организационно. Эти угрозы сегодня нацелены на взаимодействие между, казалось бы, защищенными островками информации, а значит - на человека, со всеми его слабостями и недостатками. Человек посещает социальную сеть, присоединяется к какому-либо Web-проекту, регистрируется на соответствующем сайте, начинает общаться, у него возникает ощущение безопасности, доверия: «я переписываюсь со своими одноклассниками, ничего плохого они мне не сделают». И когда от имени одноклассников приходит письмо, человек легко поддается на провокацию, переходит по ссылке и попадает на «заряженные» вредоносным кодом сайты, к нему на компьютер тихо и незаметно попадает троян, а он, как ни в чем не бывало, продолжает работать. Даже если антивирусная программа спрашивает, разрешить ли работу такого-то приложения, человек чаще всего щелкает по клавише «ОК» - по инерции или потому, что не готов принимать решение. Это очень важный момент: нельзя перекладывать на пользователя решение вопросов, касающихся безопасности. Между тем этим часто пользуются и системные администраторы, и провайдеры, и руководители организаций, работающих с клиентами. Системному администратору удобнее сказать, что пользователь вовремя не установил обновление антивирусной программы, чем обеспечить ему защиту. Провайдеру проще не бороться со спамом, который к тому же обеспечивает значительный объем оплачиваемого трафика - в почте это до 85 и более процентов. Руководству банка проще записать в договоре с клиентом практически невыполнимые требования к обеспечению безопасности транзакций со стороны клиента, чем обеспечить строгую аутентификацию при обращении к банку. Правда, сейчас положение меняется: конкуренция провайдеров заставляет их принимать меры по удалению вирусов и защите от спама, а клиенты банков, потеряв значительные суммы, вследствие утечки информации, нанимают хороших адвокатов, привлекают грамотных экспертов и доказывают в суде, что требования договора с банком были невыполнимы, и ответственность за кражу денег клиента несет банк.

Еще один риск, связанный с Интернетом и мобилизацией пользователей, я называю «размыванием границ бизнеса». Раньше все сидели в одном помещении, видели друг друга, что можно было назвать своего рода фейсконтролем. А теперь сотрудники работают дома, в Интернет-кафе, в самолете - где угодно, то есть понятие физической границы фирмы размыто. И очень важно знать, кто именно подключается к корпоративной сети или к почте. Человек должен ответить на вопрос: «Кто ты и как можешь доказать, что это именно ты, и никто кроме тебя?» - это и есть процесс аутентификации, строгой аутентификации. Многие организации этот процесс игнорируют, и результат - тот же фишинг, кража денег, несанкционированные подключения, злоупотребления и невозможность привлечь к ответственности человека, когда под его логином и паролем входят в сеть другие люди. Как только появляется мобильность, обязательно должны использоваться средства усиленной или строгой аутентификации. Без этой меры ни о какой безопасности не может быть и речи.

Как вы оцениваете сегодняшнюю ситуацию с безопасностью в корпоративных сетях?

В банках, как известно, вопросам безопасности уделяют максимум внимания. Так вот, когда мы провели аудит трафика в одном из банков и я на совете директоров должен был докладывать результаты, председатель полистал отчет, тяжелым взглядом обвел аудиторию и спросил: «Коллеги, а вы уверены, что хотите это знать? Это ведь как с женой: пока не знаешь, что она тебе изменяет, все хорошо. А когда узнал - и выгнать жалко, и по-старому жить уже нельзя». Решили послушать. Я рассказал, по каким сайтам сотрудники ходят. Никто особенно не обеспокоился: «Подумаешь, нецелевое использование Интернета». Пришлось рассказать о двух проблемах, в связи с этим возникающих. Во-первых, репутационные риски: представьте, что кто-то соберет эти сведения и опубликует, чем занимаются в течение рабочего дня сотрудники банка. Если они ищут работу, посещают сайты со «взрослым контентом» или скачивают фильмы и музыку - доверят ли люди такому банку свои деньги? Вторая проблема - многие популярные сайты «заряжены» атакующим софтом, и при их посещении очень велика вероятность подсадить себе на компьютер «шпиона», трояна, и т. п. И либо компьютер станет машиной для рассылки спама, либо какой-нибудь троян будет потихоньку скачивать ваши документы. А когда я привел данные об основных «пожирателях трафика», оказалось, что максимальный трафик - у одного из руководителей, на компьютере которого был обнаружен специализированный троян, отправляющий каждый открываемый документ на некий китайский или корейский сайт. Когда увидели полную картину, забеспокоились всерьез.

Проведенное нами общее исследование безопасности использования Интернета в организациях дало впечатляющие результаты. Мы обследовали ряд организаций, в их числе 16 банков, 12 крупных IT-компаний, 6 операторов связи. В каждой организации устанавливали свой программно-аппаратный комплекс eSafe WTA (Web Threat Analyzer), вводили в него сведения о принятых в организации политиках использования Интернета (категории сайтов, которые запрещено посещать, разрешенные и запрещенные приложения для разных групп пользователей и т. п.) - и анализировали зеркалируемый входящий и исходящий трафик в режиме сниффера, не влияя на работу пользователей, приложений и систем. Вся установка занимает 15 минут, затем в течение недели происходит анализ трафика с записью результатов на жесткий диск, после чего запускается специальная программа, которая выдает результаты в наглядной форме, строит графики и диаграммы по разным срезам: кто потребляет больше всего трафика, какие сайты чаще всего посещаются, откуда пришли трояны и другие зловредные программы и так далее. Результаты приведены в таблице - думаю, тут никакие комментарии не требуются.

А что же делать? Каковы ваши рекомендации?

Мы убеждены, что сегодня защищаться только на рабочем месте практически бесполезно - защита должна быть эшелонированной и в обязательном порядке содержать шлюзовой контентый фильтр для очистки трафика «на лету» от любого типа вредоносного ПО. Очень важно, чтобы предназначенные для этого средства могли работать на больших скоростях, предоставляемых сегодня провайдерами, чтобы они были безотказными, легко масштабировались… А самое главное - нужна активная, широкомасштабная просветительская работа, чтобы люди понимали, с какими рисками имеют дело и как их минимизировать.

В идеале провайдер должен предоставлять пользователям очищенный трафик, тем более что и закон о связи ему это предписывает. Но это в идеале. Реальнее добиться очистки трафика на корпоративном шлюзе, но тут есть несколько препятствий. И, прежде всего, это сложившиеся стереотипы. Когда приходишь в компанию и предлагаешь свое решение, тебе показывают стойки с оборудованием и говорят: «Знаешь, что у нас тут стоит? Такой-то антивирус, и такой-то, и такой-то… Знаешь, сколько денег мы на это потратили? Ты что, лучше их всех, вместе взятых?» Опять же, пока руководство не знает, что на самом деле творится в корпоративной сети, можно легко перед ним отчитаться: сообщить о внедрении того или иного антивируса, перечислить количество обнаруженных и заблокированных вредоносных кодов… А кому нужна дополнительная головная боль? Оказывается, многим не нужно, чтобы все было хорошо, - пусть будет плохо, но понемногу улучшается, и тогда можно каждый квартал можно будет отчитываться о достигнутых успехах.

Существуют ли сегодня средства, способные удалять из трафика вредоносные коды?

Наш продукт eSafe позволяет не только инспектировать 100% почтового и Web-трафиков компании, проверяя его на наличие вредоносного кода, но и выявлять по сигнатурам протоколов коммуникации шпионских программ или приложений Web 2.0 и адресно блокировать их, чего, насколько мне известно, кроме нас пока никто не делает. Мы берем все лучшее: используем проактивные технологии, базы вирусных сигнатур и спама, используем методы URL-фильтрации и т. д. Технологий безопасности никогда не бывает слишком много. Благодаря совокупности используемых технологий (в том числе защищенных патентами) мы обрабатываем очень большой трафик на шлюзе и при этом не потребляем ресурсы на рабочих местах - туда поступает трафик очищенный. А раз мы не мешаем пользователям, работа нашего продукта в сети не вызывает у них отторжения. Конечно, если человек открывает сайт, посещение которого запрещено корпоративной политикой безопасности, ему вежливо говорится: «Сюда нельзя». Когда мы внедрили эту систему в Aladdin, сотрудники пошумели было, но я показал им трудовой договор, где написано, что все ресурсы компании используются только в соответствии с политикой безопасности, принятой работодателем. Дома - пожалуйста, делайте, что хотите. И все успокоились.

дними антивирусными программами эта задача не решается, они далеко не все «вылавливают». Взгляните на результаты наших исследований: на одного сотрудника компании мы зарегистрировали в среднем 3,6 трояна за неделю - точнее даже результатов их работы на компьютерах т.е. пересылки данных вовне. А неактивированных троянов у него в компьютере может быть еще десяток. Но за период исследования некоторые из них либо сами «проснулись», либо были запущены по команде извне, и мы, «сидя на трубе», видим, что с такого-то компьютера стартовало неавторизованное приложение и пошел «паразитный» трафик. То есть какое-то приложение, которого раньше не было, вдруг проявляет активность. Мы не знаем точно, что это такое, не можем со 100%-ной уверенностью сказать, троян это, вирус, или что-то связанное с навязанной рекламой. Из десяти таких «разбуженных» приложений мы можем стопроцентно идентифицировать по нашим базам два, три, пять. Базы не поспевают за новыми кодами, к тому же есть еще и заказные коды, с ограниченным распространением, они в базу не попадают. Но мы фиксируем сам факт: у тебя на компьютере сидит нечто, и это нечто либо устанавливает туннель, либо пытается передавать какие-то данные, и мы эту активность надёжно блокируем. У нас есть понятие «потенциальной опасности», и когда мы такую опасность фиксируем, то действуем в соответствии с заданными политиками ИБ, уровнями безопасности, которые могут быть в конкретном случае выше или ниже.

Отмечу, что защита корпоративной сети по нашим технологиям обходится не более 10 долларов в год за каждое рабочее место, так что руководству компаний легко соотнести затраты на обеспечение безопасности информации с возможными потерями от ее утечки.

И последний вопрос: ваша компания выступает как российский дистрибьютор израильской компании Aladdin - не мешает ли это вашей работе в сфере безопасности?

Де-юре мы дистрибьюторы Aladdin Knowledge Systems на территории бывшего СССР, но при этом мы на 100% российская компания, хотя и используем зарубежный бренд. На начальной стадии это было нам выгодно, сейчас иногда мешает, особенно когда приходим в крупные организации. Но в целом наше положение дает определенные преимущества: мы считаем, что не стоит повторять уже сделанное за рубежом, - надо брать лучшие продукты, технологии и двигаться дальше. Так мы и делаем: добились для России особых условий и цен на продукцию Aladdin, адаптировали ее к российским требованиям, сертифицировали. Кроме того, недавно получили лицензию на работу со сведениями, составляющими государственную тайну, и на разработку средств шифрования данных.

Принципиальная особенность наших отношений с вендором состоит в том, что мы не просто «берем, что дают» – мы сами ставим задачи, и подчас по пониманию, по зрелости, по умению работать с крупными предприятиями, в том числе и на госрынке, обгоняем вендора.