Информационная безопасность в сетях самообмана

Информационная безопасность – наиболее мифологизированная область ИТ. К сожалению, мифы не столь безобидны, и следование тому, что "все знают", может привести компанию к банкротству.

Миф первый. Информационная безопасность – это определенный набор программно-аппаратных средств и документов.

Потратив сотни тысяч на оборудование и месяцы на разработку руководящих документов и инструкций, руководители организаций облегченно вздыхают, ИТ-специалисты с чувством выполненного долга вытирают со лба пот - деньги освоены, работа выполнена, безопасность поставлена на высоком уровне. И те, и другие чувствуют себя надежно защищенными. Под это приятное чувство на долгое время легко забываются все вопросы информационной безопасности и связанные с ними беспокойства. Подобный подход - одно из самых серьезных заблуждений с точки зрения последствий, к сожалению превалирующий в большинстве российских компаний. 

Безопасность - это процесс, непрерывно продолжающийся во времени. В тот момент, когда производилась установка и настройка оборудования и программного обеспечения, оно действительно обеспечивало безопасность, но уже через месяц ситуация изменится, и даже принципы, на которые опирались, внедряя то или иное решения, могут уже устареть. Информационной защитой нужно заниматься постоянно: анализировать угрозы и принимать меры по их устранению. 

Миф второй. Главное в ИБ - хорошее оборудование и ПО

Исторически так сложилось, что в большинстве организаций средства, выделенные на организацию информационной безопасности, прежде всего расходуются на аппаратные средства, потом на программные, и лишь оставшиеся крохи - на обучение сотрудников компании и ИТ-специлистов. В конечном итоге это приводит к тому, что затраты на ИТ-безопасность не соответствуют уровню безопасности организации. 

Потратив сотни тысяч долларов на оборудование и программное обеспечение, можно не получить от них никакой пользы из-за безграмотной настройки и эксплуатации. Недостаточно купить мощный Firewall, необходимо правильно и грамотно его эксплуатировать, а для этого требуется компетентный персонал. Лишь регулярное обучение персонала, и не только ИТ-специалистов, но всех остальных сотрудников организации, обеспечит должный уровень безопасности. Иногда это дает больше эффекта, чем новое ПО и оборудование. 

Совершенно обычная и часто встречающаяся ситуация: в компании на всех компьютерах установлены аппаратные средства аутентификации. Вот стоит наша дорогостоящая коробочка, и прямо к ней незамысловато прикручен проволочкой ключ аутентификации. Чтобы не потерялся. Не менее часто встречается наклеенный на мониторе стикер с логином и паролем для входа в систему. Чтобы не дай Бог, не забылся. 

Неправильно эксплуатируемые средства защиты – хуже, чем их отсутствие. Это создает ложное чувство уверенности в уровне безопасности, в то время как реально никакой безопасности. Те цели, для которых оно закупалось, не выполняются просто потому что оно либо вообще не настроено, или настроено не компетентно, либо настроено, но не обслуживается должным образом. Низкий уровень подготовки сотрудников компании, непонимание ими сути выполняемый инструкций или невысокий уровень компетентности ИТ-специалистов делают неэффективной любую, даже самую совершенную систему безопасности. 

Миф третий. Самая большая угроза информационной безопасности компании исходит снаружи.

Значительная доля компаний, заботящихся о своей безопасности, полагают, что основная угроза исходит снаружи, от внешних, сторонних лиц и организаций. Есть злые враги и злобные хакеры, которые пытаются проникнуть в сеть компании и получить доступ к ее информации. 

Действительно, кто опасней: хакер, пытающийся проникнуть в корпоративную сеть «извне», или сотрудник компании, который уже имеет к ней доступ? Злоумышленник может просто найти человека, "нечистого на руку", а может обмануть доверчивого пользователя, используя методы социальной инженерии. Тратя огромные деньги на защиту компании по периметру, не стоит ни в коем случае забывать об опасности внутренних угроз. 

Миф четвертый. Использование антивируса полностью защищает от проникновения вирусов.

Довольно часто приходится сталкиваться с самоуверенностью и переоценкой возможностей антивирусного программного обеспечения. Его установка вовсе не гарантирует стопроцентной защиты от попадания вирусов и прочих зловредных программ. Использование такого ПО означает всего лишь то, что вирусы из общеизвестных списков, скорее всего, не попадут в защищаемую антивирусом область. 

Недостаточно просто установить антивирус – необходимо правильно его настроить и эксплуатировать. Часто антивирусное программное обеспечение устанавливается только на серверах, через которые осуществляется взаимодействие пользователей с интернетом, например, выполняющих роль шлюзов или почтовых серверов. Но вирус может попасть в корпоративную сеть множеством других путей – например с CD или Flash-дисков пользователей. 

Кроме того, есть множество неизвестных вирусов и различных зловредных программ, не обнаруживаемых антивирусом. Это "клавиатурные шпионы", "трояны" и программы, открывающие изнутри "двери" в корпоративную сеть. Их много, и они не обнаруживаются антивирусным программным обеспечением, функционируя незамеченными годами. 

Здесь уместно будет вспомнить о недавнем скандале, связанном с компанией Сони и ее системой по предотвращению нелегального копирования дисков. Система совершенно незаметно для пользователя устанавливала на компьютер программу-"шпион", которая тайно пересылала нужную ей информацию в интернет. При этом система защиты не обнаруживалась ни одной антивирусной программой, пока не разразился большой скандал. Вывод простой – необходимо быть постоянно осторожным и помнить, что возможности антивирусных программ весьма ограниченны. 

Миф пятый. Система не имеет уязвимостей, если в ней своевременно устанавливать все обновления.

Увы, и это тоже миф. Даже при регулярном отслеживании и немедленной установке всех выпущенных заплаток и обновлений к вашей системе, в ней все равно есть достаточное количество уязвимостей. Дело в том, что далеко не все обнаруженные уязвимости становятся известными, и уж точно не сразу против них выпускаются «заплатки». Существует целый рынок, на котором продаются обнаруженные уязвимости в тех или иных продуктах. Так зачем заявлять о находке разработчикам, когда ее можно выгодно продать? Цена на уязвимость зависит от степени ее «критичности»: чем больше возможностей она дает злоумышленнику, тем дороже стоит. 

Миф шестой. Наша организация хакерам неинтересна.

Если Вы не храните в своей сети никакой информации, кража или порча которой могла бы нанести хоть какой-то ущерб вашей фирме, и бизнес вашей организации ни в коей мере не зависит от работоспособности компьютерного оборудования (что уже давно стало редкостью), даже в этом случае ваша компания представляет интерес для хакеров. Ну, хотя бы как площадка для нападений на другие сети. Либо ваши сервера могут использоваться для рассылки спама, для хранения противозаконного материала. В любом случае это приведет к некоторым проблемам. В первом случае сервера вашей компании будете включены в «спам-списки», что создаст проблемы при общения с клиентами и партнерами по e-mail. Во втором - не так просто будет доказать непричастность компании к хранящимся на серверах и компьютерах противозаконным материалам. Любая сеть и компьютерная система (ваша - в том числе) представляет интерес для хакерского сообщества и может быть подвергнута взлому. 

Миф седьмой. Хакерами становятся только хорошо подготовленные профессионалы, коих, по счастью, не так уж много на белом свете, поэтому можно спать спокойно. 

Хакером стать действительно сложно. Но использовать хакерский инструмент очень просто. Достаточно владеть навыками работы с компьютером на уровне пользователя и прочесть описание, прилагаемое с полученным хакерским инструментом. Известны случаи вполне успешных взломов, которые осуществлялись людьми, не имеющим никакой квалификации и даже подростками, в руки которых попал хакерский инструмент. 

Миф восьмой. Зная IP-адрес, всегда можно вычислить источник атаки. 

Несмотря на введение строгих правил, обязывающих все организации, предоставляющие услуги связи, хранить всю информацию в течение 5 лет, нет гарантии определения точного места источника атаки. Существует множество способов запутать свои «следы» так, что никто и никогда не сможет до конца распутать эту цепочку. IP адрес, с которого будет производиться атака, окажется адресом какого-нибудь сервера, например, из Южной Кореи, логах которого будет ссылка на IP адрес какого-нибудь сервера, например, из Польши. 

Чтобы получить информацию из другой страны по официальным каналам, могут уйти недели, а то и месяцы, а от некоторых стран вообще что-либо получить невозможно. И раскрутить подобную цепочку не получится. 

Миф девятый. Системы с открытым исходным кодом лучше и надежней защищены.

Уже давно в умах ИТ-специалистов установился стереотип о совершенном преимуществе систем с открытым исходным кодом над коммерческими продуктами. Но эти достоинства сильно преувеличенны. В данных продуктах достаточно уязвимостей, которые гораздо меньше афишируются и им уделяется меньше внимания, чем обнаруженным уязвимостям в известных коммерческих продуктах. 

Если за коммерческий продукт производитель несет хоть какую-то ответственность, и в случае обнаружения уязвимости достаточно обратится в службу поддержки, то в свободно распространяемом ПО все меры по защите придется принимать собственными силами, а модификация открытого ПО потребует привлечение подготовленных и, соответственно, дорогостоящих специалистов. 

Миф десятый. Лучшее решение – полная шифрация!

Иногда на российском рынке наблюдаются интересные перекосы в сторону модных тенденций, когда тратится много средств на внедрение одной системы, позволяющей справиться только с одной угрозой. Подход в таких системах безопасности строится на представлениях: "Безопасность – это криптография" или "Безопасность – это аутентификация". Такая постановка задачи ИБ не соответствует реальному списку вероятностных угроз, от которых действительно стоит защищаться и на которые стоит расходовать средства. 

Такова современная российская мифология информационной безопасности. И никто из ИТ-специалистов не застрахован от попадания в сборники российских мифов в качестве персонажа. Единственный разумный выход – смотреть на вещи реально.