Хочу поднять одну проблему, связанную с информационной безопасностью. Связанную довольно тесно, но для многих не совсем очевидным образом. Речь идет о преподавании ИБ в ВУЗах. На мой взгляд, об этой проблеме говорят еще меньше, чем о собственно ИБ, что, несомненно, никак не способствует ее скорейшему решению.

С ВУЗами, которые готовят безопасников, все сложно. Как показывает опыт, дисциплины часто читают старые преподаватели матанализа, в то время как должны были бы читать практики, понимающие, что именно необходимо предпринимать для обеспечения ИБ в компании. Но их в отечественных ВУЗах, увы, днем с огнем не сыщешь. Вернее, они, конечно, есть, но в совершенно недостаточных для обеспечения приемлемого уровня образования количествах.

Что с этим делать? Понятно, что практикующих безопасников насильно к студентам не загонишь, да и не у всех есть возможность заниматься преподаванием. Поэтому возможны два варианта. Первый – это как делается сейчас, безопасник, фактически, постигает все трудности профессии в полевых условиях. Но тут есть одно «но».

Если неопытного программиста все-таки можно посадить на не сильно важный проект или просто дать задание готовить какие-то модули для внутреннего пользования, то с неопытным безопасником такой номер, что называется, не проходит. Потому что от его работы зависит, фактически, весь бизнес, и ценой неопытности может стать дорогостоящий ИБ-инцидент, который при неблагоприятном стечении обстоятельств может послужить причиной полного уничтожения бизнеса компании. Кто захочет так рисковать?

Второй вариант – это авторизованные учебные центры при компаниях, над одним из которых сейчас работаем и мы. Это будет получаться несколько дороже для самих выпускников ВУЗов, но зато заметно дешевле для их работодателей. Надеюсь, что в перспективе без «корочек» одного из таких учебных центров найти работу в ИБ без опыта будет нереально.

Но таких центров нужно очень много (как, впрочем, и безопасников), поэтому, возможно, все-таки ВУЗам стоит задуматься о том, чтобы самим идти к практикам и пытаться вовлекать их в образовательный процесс. Тогда, глядишь, совместными силами и удастся подготовить толкового специалиста.

ВУЗы и ИБ

Иногда при взгляде на то, как некоторые компании решают вопросы с собственной информационной безопасностью, кажется, что им, на самом деле, до неё вообще нет дела. Думаю, что в ряде случаев так и есть. Проблема, видимо, в том, что руководители расценивают убытки из-за инцидентов в сфере ИБ как некую данность, вместо того, чтобы задуматься о том, как их минимизировать.

Очередная новость на эту тему, в принципе, ничего неожиданного не принесла:

Attachmate Corporation и Ponemon Institute на днях опубликовали результаты своего ежегодного расследования "The Risk of Insider Fraud". Согласно этому документу, в среднем, организации сталкиваются со случаями мошенничества примерно каждую неделю. С другой стороны только 44% респондентов утверждают, что их организации пытаются как-то предотвратить подобные инсайдерские угрозы. Особенно беспокоит тот факт, что компании обычно требуется около 87 дней, чтобы определить случай мошенничества и 105 дней на выяснение причины возникновения угрозы. Кроме того, цифры показывают, что 73% респондентов признались, что "шутки" сотрудников стоили им финансовых убытков и существенного падения репутации бренда.

С моего любимого новостного сайта

Действительно, можно согласиться с тем, что ничего необычного и нового в этом нет. Но меня в который раз удивляет, почему если кто-то пытается украсть со склада мешок гвоздей, то это руководителя волнует, а если кто-то наносит своими действиями ущерб на сумму в тысячи таких мешков, руководитель только разведет руками и скажет "ну так что ж вы хотели-то...".

Думаю, что наступает время, когда совершенно необходимы законодательные инициативы в сфере ИБ, причем на международном уровне. Потому что все эти "рекомендации" для большинства из тех, кто мог бы на что-то повлиять, - всего лишь пустой звук. Когда же на проблему обратит внимание государство (вслед за каким-нибудь влиятельным международным органом), человеку ничего не останется, кроме как выполнять требования. Наступает время, когда как обязательные прививки и ремни безопасности нужно вводить обязательные требования в сфере ИБ - ради безопасности всего общества и государства.

Снова ничего неожиданного

Проблема DDoS-атак стоит сегодня достаточно остро, потому что нет таких вычислительных ресурсов, которые могли бы эффективно противостоять грамотно спланированной DDoS-атаке'. В некотором роде решением являются популярные сегодня «облака»: мощности распределенных систем сравнимы с распределенными мощностями атакующих, но и их может не хватить.

Если говорить об изменении ситуации за последние 5-10 лет, то, конечно, лучше она точно не стала. Сайтов наподобие нашумевшего «ПутинВзрываетДома» тогда точно не было, не было и такого количества ботнетов, способных организовать DDoS-атаку. Впрочем, если сравнивать ситуацию, например, с распространением спама, то здесь темпы роста не так впечатляют, потому что организовывать DDoS-атаки не так выгодно и гораздо более рискованно, чем рассылать спам. Именно поэтому большинство ботнетов, работающих сегодня во Всемирной паутине, занято именно рассылкой спама, а не DDoS-атаками.

Насчет средств защиты – все достаточно сложно, потому что нет таких ресурсов, которые бы когда-то не закончились. Наиболее эффективной защитой будет, конечно, создание распределенной системы, достаточно дорогой и сложной. Многие пробуют бороться с DDoS-атаками путем поиска ее организаторов, но это долго и тоже не всегда эффективно. Большинство других приемов (фильтрация запросов, перенаправление атаки и т.д.) зачастую не дают желаемого эффекта.

Средства защиты за технологиями преступников очень даже успевают, потому что сегодня тот же cloud hosting, которого, кстати, тоже не было 5 лет назад, эффективен при обслуживании сетевых ресурсов типа социальных сетей, нормальный трафик которых парализует почти любой корпоративный сайт. Поэтому для защиты от большинства DDoS-атак можно просто приобрести хороший облачный хостинг.

Несомненно, затраты на информационную безопасность будут увеличиваться, но вряд ли именно DDoS-атаки будут тому причиной. На сегодня главной проблемой становится внутренняя безопасность – передачи закрытой корпоративной информации за пределы компании самими сотрудниками. Именно в защиту от таких угроз инвестируют сегодня дальновидные компании. Также очень серьезные вложения требуются в защиту от вредоносного ПО. Ну, а защита от DDoS-атак становится уделом, на самом деле, не такого уж и большого числа компаний.

DDoS-атаки и расходы на ИБ

Как бы ни говорили о том, что наступает эпоха планшетов и смартфонов, в корпоративном сегменте без ноутбуков сегодня всё равно никуда. И когда речь заходит о мобильных устройствах в контексте информационной безопасности, то нужно понимать, что разговор идет именно о лэптопах. И сейчас мы поговорим тоже именно о них.

Информационные риски для лэптопов можно разделить на две категории: специфичные для мобильных устройств и неспецифичные для них. Начать стоит со второй группы, поскольку о ней мы поговорим коротко, поскольку она хорошо известна как специалистам по информационной безопасности, так и обычным пользователям.

Основные неспецифичные для мобильных компьютеров риски заключаются в порче, потере или утечке информации вследствие таких причин, как действия вредоносного программного обеспечения, сбои в работе ПО или аппаратного обеспечения, халатность пользователя и т.д. Отдельно стоит выделить группу организационных рисков, связанных с умышленным распространением конфиденциальной корпоративной информации или с её порчей. В свете того, что такие риски в последнее время значительно увеличились, их минимизации необходимо уделить особое внимание.

Что касается специфических для ноутбуков и нетбуков рисков, то здесь, в первую очередь, следует выделить риск утраты информации, характерный для всех мобильных носителей. Они, как правило, используются в гораздо более неблагоприятных условиях, чем стационарные настольные компьютеры, а потому гораздо чаще выходят из строя. Кроме того, в отличие от стационарного компьютера, мобильный очень легко потерять, также есть риск кражи служебного ноутбука из автомобиля, в аэропорту, на вокзале и т.д.

Из этого вытекает и второй риск, связанный с утечкой конфиденциальной информации через ноутбуки. Если кто-то что-то теряет, то кто-то что-то и находит. Нередко находящаяся на лэптопе информация стоит в десятки раз дороже самого лэптопа, и его потеря может привести к катастрофических для компании последствиям. Отдельно стоит упомянуть и умышленную передачу закрытой корпоративной информации за пределы компании – часто сотрудники используют для этого служебные ноутбуки, передавая данные третьим лицам из дома или в командировках.

Таким образом, как несложно увидеть, в среднем риск утраты или утечки информации для корпоративных лэптопов заметно выше, чем для десктопов. Тем не менее, в большинстве своём риски носят неспецифический характер, что, впрочем, сложно сказать об инструментах защиты.

Информационные риски и лэптопы

На дворе, что ни говори, 21-й век. И теперь крадут не только кредитки или айпады, но и кое-что поважнее и посущественнее. Да-да, я буду сейчас говорить именно о краже личности — хотя, помнится, в этом блоге об этом явлении я и так уже неоднократно писал. Но проблема всё равно остаётся весьма и весьма актуальной, поэтому писать нам об этом ещё не раз и не два.

Согласно результатам исследования американской Javelin Strategy & Research, в США за весь прошлый год жертвами кражи личности стали 12,6 миллионов местных жителей. Доход мошенников при этом превысил $21 миллиард.

Аналитики также выяснили, что каждый четвертый пострадавший от этого вида мошенничества заявил о хищении номера социального страхования, что в США считается наихудшим результатом кражи личности, поскольку может повлечь довольно тяжелые последствия для жертвы.

Ну, в общем-то, ситуация действительно из серии «а что ж вы хотели?». Потому что предпосылок для кражи личности в современном обществе, что в американском, что в российском, более чем достаточно.

Во-первых, уже несколько лет идёт настоящий бум на социальные сети. Они сегодня есть в буквальном смысле для кого и для чего угодно: для учителей, путешественников, кошек... Во-вторых, вместе со всеобщей «социализацией» идет и интеграция самых разных сервисов. Твиттер, Фейсбук, Инстаграм... И это только вершина айсберга, потому что на самом деле здесь уже настоящий клубок, в котором вряд ли кто-либо из пользователей может увидеть все связи, даже если частью из них и пользуется. Все эти сервисы завязаны на один почтовый ящик, и поэтому злоумышленнику уже больше не надо искать возможность украсть данные со 100500 ресурсов — достаточно получить доступ к почте.

Есть и менее значимые аспекты проблемы, вносящие, тем не менее, свою лепту. На западе, например, почти всё можно сделать виртуально или через телефон. У нас это пока не так ощутимо, но всё ближе. Сами соцсети тоже собирают «теневые» профили тех, кто у них еще не зарегистрирован... В общем, факторов масса.

Так в чем же дело? Дело в том, что когда злоумышленника раскрывают и «обезвреживают», данные, которые он собрал, никуда не исчезают. Они наверняка есть где-то в «облаке», или ещё каким-то образом «забэкаплена». И ей очень даже могут воспользоваться другие желающие. Поэтому и количество инцидентов будет расти в геометрической прогрессии (я именно о кражах личности, если что).

Приметы времени

Когда речь заходит об информационных рисках, часто от руководителей разного уровня приходится слышать о том, что для их организации никаких таких рисков не существует. Поэтому, думаю, будет совсем не лишним поговорить немного об информационных рисках. Чтобы понять, какие риски есть, всё-таки придется провести кое-какое исследование...

Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

(Не)приемлемые риски

Ни у кого не возникнет возражений, я думаю, если я скажу, что то, с чем сегодня активно борются ИБ-специалисты по всему миру, является для определенных кругов весьма и весьма выгодным бизнесом. Однако сами по себе инциденты в сфере ИБ до последнего времени бизнесом назвать было сложно. Но сегодня ситуация постепенно меняется. Во всяком случае, в определенных сегментах этого непростого рынка.

До недавнего времени, злоумышленник, желающий встать на путь киберпреступлений, но не обладающий необходимыми знаниями, искал способы, для того чтобы попасть на закрытые специализированные форумы, посвященные интересующей его тематике и часами "просиживал" в чатах, чтобы завоевать доверие потенциальных "коллег". Тем не менее, как сообщил эксперт Webroot Данчо Данчев (Dancho Danchev), эти времена канули в Лету. По словам специалиста, сейчас в целях привлечения новых клиентов разработчики вредоносных инструментов и сервисов начинают предлагать свои услуги на общественных форумах. Среди предложений, носящих разнообразный характер, присутствуют атаки на отказ в обслуживании телекоммуникационных сетей (Telecommunications Denial of Service, ТDoS).

С моего любимого новостного сайта

Поясню, в чем отличается то, что описано в новости, от того, к чему мы все, в общем-то, привыкли (хотя звоночки были и раньше, к примеру, тот же Citadel, но всё же...). Раньше человек, который откликался на объявления типа "взломаю любой нужный вам почтовый аккаунт за $100" с 90%-й вероятностью нарывался на мошенников, которые просили перечислить те самые $100 на кошелек WebMoney/счет в сингапурском банке, после чего переставали выходить на связь со своей жертвой.

Сейчас же эти объявления вешают совсем другие люди, которые, как ни парадоксально, дорожат своей репутацией. И если потенциальный заказчик засомневается в их честности, то весь бизнес будет немного под угрозой, что, сами понимаете, не есть хорошо. Опять-таки, и суммы здесь крутятся совсем другие, и профессиональный уровень организаторов атак заметно выше.

Но интереснее другое. В той же новости читаем:

Данчев отметил, что существуют также другие покупатели подобных услуг – легальные компании, желающие подорвать бизнес своих конкурентов путем блокирования их мобильной и стационарной связи.

То есть, говоря русским языком, мы имеем дело с обратной стороной того же явления, что и заказные утечки информации. Что, в принципе, вполне ожидаемо и даже легко объяснимо. Ведь этот рынок ещё, можно сказать, совсем не окучен предприимчивыми хакерами, а платежеспособность у его участников просто колоссальная.

Думаю, что в обозримом будущем масштаб данного явления будет только нарастать, причем, вполне возможно, даже в геометрической прогрессии. Впрочем, конечно, как говорится, поживем — увидим.

Бизнес на инцидентах

Всем известно, что утечки информации наносят финансовый ущерб бизнесу, но не каждый сможет с уверенностью сказать, с чем именно это может быть связано. Поэтому поговорим немного о том, каким именно образом утечки конфиденциальных данных могут навредить компании с экономической точки зрения.

Итак, вот как выглядит список основных источников ущерба:

• упущенная выгода в результате испорченного имиджа;
• штрафы со стороны регуляторов;
• компенсации по судебным искам;
• снижение котировок акций (для акционерных компаний) в результате вброса на рынок инсайдерской информации;
• прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д

Каждая утечка информации несет ущерб посредством, как минимум, одного из перечисленных выше пунктов, наиболее серьезные же утечки способны "задействовать" весь этот список, что, понятное дело, благодаря эффекту синергии усиливает общую сумму ущерба, иногда даже в разы.

Посчитать ущерб по каждому из этих пунктов достаточно сложно, особенно когда утечка только произошла, но можно сказать, что компании склонны недооценивать, и достаточно сильно, потери по первому пункту и несколько завышать свои ожидания потерь по пунктам 2-3.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения системы защиты от утечек информаци.

Немного экономики

Сейчас модно много говорить о концепциях BYOD и BYOC (bring your own computer). Вкратце, суть их в том, что сотрудники работают на собственных лэптопах, смартфонах, планшетах, принесенных из дома. Работодателям нравится, что сотрудник может работать 24 часа в сутки включая выходные, и им при этом не нужно тратиться на «железо». Работнику нравится, что в обеденный перерыв можно смотреть любимые фильмы с винчестера, да и лишний раз ехать на работу, если заболело горло, не нужно. Вот только безопасники от этих концепций не в восторге по ряду совершенно понятных причин.

Говоря о BYOD в iPass и MobileIron отметили, что данная политика с каждым днем влечет за собой все больше проблем. Наиболее тревожными были признаны две тенденции. В первую очередь это адаптация организаций к BYOD, и дальнейшее бесконтрольное расширение списка допускаемых устройств, в результате чего становится невозможным обеспечение надлежащего уровня безопасности.
Источник

Ко всему прочему, оказалось, что BYOD/BYOC не только не экономят средств работодателя, но ещё и приводят к дополнительным тратам. Если учесть возможный ущерб от утечек конфиденциальной информации через личные устройства, то издержки на удобства офисных хомячков становятся колоссальными для любого работодателя.

Не знаю, конечно, как там в их технологичных долинах, а у нас, к счастью, работодатели понимают всю опасность BYOD/BYOC. Особенно в тех случаях, когда сотрудник говорит «я дома сегодня поработаю». Конечно, кое-где такое всё-таки практикуется, но только в качестве исключения. И это правильно, потому что дисциплина расшатывается, и страдает как экономическая составляющая деятельности офисного работника, так и информационная безопасность.

(no subject)

О фишинге сейчас говорят довольно много, но пока толку от этого особенно не видно. Что ж, внесу и я свою лепту в эти разговоры. Будем надеяться, что мои советы кому-нибудь помогут.

Фишинг связан, прежде всего, с опасностью утраты доступа к аккаунтам электронной почты, социальных сетей, систем мгновенного обмена сообщениями. В тяжелых случаях это всё может приводить к более серьезным последствиям, например, таким, как незаконный доступ к банковскому счету. В общем и целом, фишинг в соцсетях можно назвать не самым опасным видом фишинга, потому что соцсети, как правило, не связаны с финансовой деятельностью человека. Но если, к примеру, он ведет с их помощью активную рабочую переписку, то потеря важных контактов будет, как минимум, неприятным событием.

Обезопасить себя от фишинга проще всего банальным осторожным поведением. Конечно, мошенники стараются сделать сайты, с помощью которых они воруют пароли, максимально похожими на страницы популярных социальных сетей, но всегда есть какие-то признаки, с помощью которых можно их отличить. Во-первых, нужно внимательно смотреть на адрес в строке браузера – если там написано obnoklassniki вместо odnoklassniki, то это повод как можно быстрее покинуть такой сайт. Во-вторых, нужно обращать внимание на дизайн. Даже если вам кажется, что страница похожа на настоящую, но чем-то отличается, лучше её закрыть и ввести в адресной строке браузера адрес социальной сети ещё раз. В-третьих, если вы видите, что браузер почему-то не вспоминает запомненный пароль при входе на страницу, это тоже повод насторожиться.

Вообще же лучше всего не открывать письма, пришедшие непонятно от кого со ссылками на страницы в соцсети. Нужно помнить также, что бесплатный сыр бывает только в мышеловке, и если какой-то сайт просит залогиниться на нем с помощью пароля от Facebook для участия в розыгрыше бесплатных «айпэдов», то лучше обходить такой сайт стороной. Потому что иначе «бесплатный» iPad будет стоить и денег, и нервов, и времени.