Возможно вы были в отпуске, когда летом 2010 г. впервые были опубликованы данные о Stuxnet – самом сложном из известных кибер-оружии, направленном на иранскую ядерную программу. Возможно, вы были заняты работой годом позже, в сентябре 2011 г., когда был обнаружен код вредоносного программного обеспечения Duqu – компьютерного вируса, который имеет много общего с кодом Stuxnet, но был предназначен исключительно для сбора информации. Вполне возможно, что вы были в командировке всего несколько месяцев назад, в мае 2012 г., когда было обнаружено изощренное кибер-шпионское ПО Flame, заразившее информационные системы на всем Ближнем Востоке. А что насчет совсем недавнего времени, когда был обнаружен еще более узкоспециализированный сородич предыдущих вирусов? Его имя Gauss и он был ориентирован на сбор сведений о банковской деятельности, в первую очередь в Ливане.

Вирус Flame – далеко не первое высокотехнологичное целенаправленное кибер-оружие, и я более чем уверена, что не последнее. Если вы думаете, что вам это не грозит, потому что вам случилось жить не на Ближнем Востоке или потому что вы не вовлечены в программы по производству ядерного оружия, подумайте еще раз. В эпоху Интернета знания распространяются со скоростью света. Технологии, которые были использованы одним атакующим, быстро распространяются и в скором времени используются другими атакующими с различной мотивацией (информация, финансовая составляющая, идеология и т.д.)

Очень важно осознать этот момент. Мы вступили в новую цифровую эру, где атакующие имеют высокотехнологичные дистанционные инструменты, и мы будем становиться все более уязвимыми, если не будем осознавать реальности происходящего и рисков, связанных с этим.

Возможно, вы уже слышали, что размер вируса Flame 20 МБ!, что он может подключаться и взаимодействовать с Bluetooth гарнитурами, подключаться к WiFi сетям, записывать информацию с микрофона, регистрировать ввод данных с клавиатуры, делать скриншоты, фальсифицировать обновления Microsoft и многое другое. Вы также, наверное, слышали, что Stuxnet атаковал промышленные компьютеры иранской ядерной программы. Думаю, что вы также могли слышать об операции Aurora, которая подвергла сервисы Google целой серии целенаправленных атак два года назад.

Таким образом, если вы слышали об этом то, что вы думаете о том, о чем еще не слышали никогда? Неужели вы думаете, что других высокотехнологических вирусов и вредоносного ПО не существует? Если вирус или вредоносное ПО крадет вашу интеллектуальную собственность или персональные данные или разрушает вашу ИТ инфраструктуру, но антивирусные списки сигнатур не содержат информации об этом ПО, как вы думаете, вы достаточно защищены?

Вирус Flame оставался незамеченным всеми антивирусными программами на протяжении 2-5 лет. Он также был незаметен для брандмауэров, систем предотвращения вторжений IDS/IPS, а также поведенческих HIPS решений. На сегодня мы уже знаем о нем и антивирусное ПО может обнаружить его. Но что касательно вирусов и вредоносного ПО, о котором мы не знаем? И что можно сказать о тех 2-5 годах, когда этот вирус оставался незамеченным, ведь в течение этого периода времени Flame проник в информационную среду, распространился и выполнил свою миссию, оставаясь незамеченным ни для одной антивирусной программы, как в прочем, и для всех остальных традиционных средств обеспечения информационной безопасности.

Когда мы используем антивирусные программы, которые сами выбирают от чего вас защитить, то это напоминает старые фильмы, где героя заставляют выбрать способ, как он хочет умереть, например, прыгнуть со скалы, посадить в яму со змеями или утонуть.

С другой стороны, а почему бы не использовать только те приложения, которые вы точно знаете, что они безопасны, а все остальное программное обеспечение запретить к использованию? Разве такой подход не кажется более рациональным? Если установить в системе контроль приложений, который позволит использовать только доверенное программное обеспечение, тем самым выбрав проактивную позицию информационной безопасности в компании. Тогда вопросы относительно известных или неизвестных вирусов и вредоносного ПО станут просто несущественными.

Как отметил в своем последнем отчете вице-президент и известный аналитик компании Gartner: «Flame, как и любое другое вредоносное программное обеспечение, использует уязвимости корпоративных систем и процессов, а люди, которые создают такое целенаправленное и мощное вредоносное ПО, являются высокопрофессиональными специалистами, которые имеют различную мотивацию». Он также добавил, что основной рекомендацией считает: «Необходимость использования технологии доверенного ПО (белых списков приложений) для критических серверов, а также везде, где это возможно».

На сегодня, компания Bi9 является единственной, которая официально подтвердила то, что она остановила Flame. Повторюсь, единственной! И не один раз, и не два раза, а на протяжении всего периода времени. Решение от Bit9 защищало пользователей, даже не зная, с чем на самом деле имеет дело. Как такое могло произойти, вы спросите? Дело в том, что Bit9 не нужно знать «что это», для того чтобы защитить пользователя. В отличие от антивирусных программ, которые полагаются в основном на базы данных сигнатур вирусов и вредоносного ПО, стараясь предупредить неправильное поведение, основываясь на бесконечном количестве возможных вариаций, что теоретически невозможно предугадать – Bit9 разработали прогнозируемую систему на основе тех вещей, которым мы можем доверять, а именно, доверенному программному обеспечению.

Вирус Flame действовал на протяжении нескольких лет, сканируясь практически каждым мировым производителем антивирусного ПО и поведенческих HIPS решений. Как заявил представитель Kaspersky Lab: «В связи с тем, что структура вируса была слишком сложной, а также учитывая его территориальную ориентацию атак, ни одна из программ не смогла зафиксировать его».

Некоторые антивирусные компании заявили, что уже давно в их базах сигнатур имелись части кода вируса Flame, но только сейчас они осознали, что это представляет опасность. Вирус Flame функционировал, скрываясь на ровном месте, используя готовые утилиты для коммуникации и общие библиотеки для сбора информации. Более того, его размер был как у обычного приложения. У антивирусных компаний не было причин подозревать эти компоненты, таким образом, вся модель антивирусной защиты оказалась предсказуемой, а вирус Flame просто остался незамеченным. Но ведь задача определения, что является «опасным» гораздо труднее задачи определения «доверенного».

Таким образом, пока антивирусные компании «подчищают свои хвосты», поспешно обновляя базы данных сигнатур и стараясь определить новые вирусы и вредоносное ПО, до того как о них станет известно общественности, Bit9 продолжает останавливать атаки подобного рода, а также атаки, которые еще никому неизвестны.

Мико Хиппонен (Mikko Hypponen), главный научный сотрудник компании F-Secure, недавно опубликовал достаточно правдивую статью, посвященную провалу традиционных средств информационной защиты в борьбе с высокотехнологичными вирусами и целенаправленными атаками. По его словам: «Антивирусные продукты потребительского класса не могут защитить вас от специально созданных вредоносных программ, которые разрабатываются ресурсами государства с огромными бюджетами. Они могут защитить вас от самодельных вредоносных программ, таких как банковские трояны, клавиатурные шпионы и почтовые черви. Что касается целенаправленных атак, то там по определению делается все возможное, чтобы избежать антивирусных проверок. Более того, уязвимостей нулевого дня, которые используются в этих атаках, неизвестны антивирусным компаниям по определению… Это несправедливая война между нападающими и защитниками, когда нападающие имеют доступ к нашему оружию».

По моему мнению, «нечестная война» – это использование чуть усовершенствованного оружия 25-летней давности, в то время, как враг давно поменял и тактику и технику ведения боевых действий. Но бывают ли честные войны? Именно поэтому важно использовать простое и надежное оружие для защиты своих ресурсов.

На днях общалась с европейскими коллегами, которые работают в области ИТ и информационной безопасности. Затронули вопросы налогообложения, объемов рынка и, что самое главное, подходов к ведению бизнеса.

Хочу сразу отметить, что по факту налоги у нас не самые высокие в Европе. При этом объемы нашего рынка просто смехотворны. К примеру, в Венгрии в 2010 г. затраты на ИТ на душу населения составили около $300, а в Украине – «аж» $31,5. Это просто колоссальный отрыв.

Сейчас Вы скажете во всем виной наши законы и те, кто их принимает. Но только ли в этом дело? Давайте взглянем на ситуацию с другой стороны. Рассмотрим некий гипотетический пример.

Потенциальный клиент хочет приобрести дорогостоящую, технически сложную ИТ-систему, и внедрить ее в свою инфраструктуру. Проблема давнишняя, из рода ноющей зубной боли. Интегратор, к которому он обратился, предлагает свою панацею, рассказывает потенциальному заказчику, как тому теперь будет хорошо. Естественно, клиент желает рассмотреть и альтернативные решения от других поставщиков. И вот тут наступает самый интересный момент. Вместо того, чтобы предложить клиенту действительно достойную альтернативу – качественный продукт на выгодных условиях, более высокий уровень сервиса и технической поддержки, дополнительные бонусы в виде обучения персонала и т.п., начинается примитивное поливание конкурентов грязью. Заказчику забивают голову заведомо недостоверной информацией. И кто в итоге выигрывает от такой «конкуренции»? Никто.

У клиента была одна, вполне конкретная проблема. Но вместо нескольких вариантов ее решения он получает массу недостоверной информации и… дополнительную головную боль. Зерно сомнения посеяно. В голове клиента начинают вертеться разные вопросы. «…Кто говорит правду, а кто нет? С кем в итоге работать, с тем, кто наговаривал или с тем, кто помалкивал? К тому же это не просто покупка, требуется еще и внедрение. Кому его можно доверить? Потом еще перед советов директоров надо будет отчитываться по эффективности внедрения. А будет ли она? Лучше отложу этот вопрос на позже…». Только вот другого раза может и не быть. Вместо того чтобы выбрать из нескольких качественных предложений, технический специалист сталкивается с необходимостью разбираться в потоке информации о поставщиках. И когда речь идет о внедрении серьезного решения, о необходимости выбивать под него значительную сумму, нередко в итоге он предпочтет оставить все как есть и жить дальше со своей зубной болью, лишь бы не сталкиваться с такими стоматологами.

Это только один из гипотетических примеров недобросовестной конкуренции. Но уверена на практике каждый интегратор сталкивается с подобными ситуациями постоянно.

Так что, возможно немалую роль играет также наша ментальность – мы хотим, чтобы нам было хорошо, но при этом не стремимся стать лучше. Как вы считаете?

Прошло полгода с момента принятия Закона Украины «О защите персональных данных», и 1 января 2011 г. он вступил в силу. Все это время я ожидала изменений или дополнений к нему.

И вот наконец в середине февраля Кабмин в первом чтении принял законопроект «О внесении изменений в некоторые законодательные акты Украины, которые регулируют законодательство о защите персональных данных».

Кратко о главном

Для начала давайте определимся, что относится к персональным данным и как они должны храниться. Вышеуказанный Закон гласит: «персональные данные – сведения либо сводка сведений про физическое лицо, которое идентифицировано, либо может быть конкретно идентифицировано».

Но такими данными располагает каждое предприятие не зависимо от вида деятельности. Это не только личные дела ваших сотрудников, которые хранятся в бухгалтерии, но и, к примеру, любые данные о ваших клиентах и партнерах, с которыми работают ваши менеджеры, рекламисты и другие ответственные лица. Если следовать букве вышеуказанного Закона, то такой базой должна считаться даже ваша визитница – ведь содержащиеся в ней данные (визитки) позволяют идентифицировать личности физических лиц.

Теперь эти данные являются конфиденциальными, поскольку Ст.10 Закона разрешает использование баз их владельцем только «в случае создания им условий для защиты этих данных».

Но и это еще не все, владельцы баз персональных данных теперь имеют право собирать, обрабатывать и хранить их, только после регистрации в Государственном реестре баз персональных данных. Уклонение от регистрации базы – это нарушение закона Украины «О защите персональных данных» (дополнение Кодекса Украины об административных правонарушениях, Ст. 188, пункт 37). Закон также обязывает Кабмин принять нормативные документы в течение 6 месяцев с момента вступления закона в силу, т.е. до 30 июня 2011 г. (Ст. 30, пункт 2).

Таким образом, с принятием Закона изрядные объемы информации, необходимые для работы любой компании внезапно становятся секретными, а также подлежат защите и регистрации. Как это все обеспечить на практике – пока неясно.

P.S. Если Вы не выполнили требований Закона Украины «О защите персональных данных» (а пока не выполнили, не так ли?), то принятый задним числом Закон Украины «О внесении изменений к некоторым законодательных актам Украины, которые регулируют законодательство про защиту персональных данных» предусматривает ответственность за его нарушение, а меры наказания уже на подходе. Как только произойдет «приведение нормативно-правовых актов в соответствие с Законом» (Ст. 30, пункт 2), так сразу контролирующие органы помогут нам защитить эти самые персональные данные.