Слово не воробей

Как обеспечить свою информационную безопасность

Некоторое время назад с нами случилась одна неприятность. Зайдя на собственный «эксклюзивовский» сайт в интернете, мы обнаружили вместо главной страницы изображение окровавленного монитора с надписью «Game over». Все остальные страницы и вовсе отсутствовали. То есть сайт был кем-то взломан и, попросту говоря, испорчен. Всегда неприятно публично признавать, что тебя кто-то облапошил. Но это как раз тот случай, когда облапошить могут каждого, и информация о том, как попытаться этого избежать, может быть полезной для всех.

Кажется, что «информационная безопасность» и «информационные технологии» — понятия одного порядка и одной эпохи. На самом деле о защите информации человек задумался сразу, как только научился говорить и писать. Задолго до появления первых технических средств по передаче голоса и данных им были сформулированы такие постулаты информационной безопасности, как «слово не воробей — вылетит, не поймаешь», «язык твой — враг твой», «что написано пером — не вырубишь топором» и прочие. Просто задача усложнилась, когда разговор и переписка стали делом техники.

Государственный подход

Сегодня понятие информационной безопасности стало совершенно необъятным и включает в себя множество разных сфер и направлений. Это нашло отражение в Концепции информационной безопасности Республики Казахстан, принятой в конце прошлого года. В ней определено — что (какую информацию), от чего и какими методами надо защищать. И как сделать, чтобы это было без ущерба для общества, которое имеет право на «свободное создание, поиск, получение и распространение информации любым законным способом».

Для начала, оценивая нынешнее состояние информационной безопасности (ИБ) в стране, авторы документа признали, что «ее уровень в настоящее время не соответствует потребностям человека, общества и государства». Потому что нет достаточной нормативной правовой базы в этой сфере. Государственный контроль рынка информационных технологий, по сути, неэффективен. Повсеместно используются импортные программы и устройства, не защищенные от утечки информации и внешнего воздействия (а своих-то почти нет). Не хватает квалифицированных специалистов. И это в то время, когда вокруг, с одной стороны, глобализация и интеграция, а с другой — геополитическая нестабильность и терроризм. И то и другое требует от Казахстана четких комплексных действий по защите как информации от граждан, так и граждан от информации. Итак, что защищать? Прежде всего само право на получение, распространение и защиту информации. А также интеллектуальную собственность, государственные секреты, коммерческую тайну и другие конфиденциальные сведения. И даже открытую, общедоступную информацию (в концепции не расшифровывается, почему, но, надо полагать, чтобы избежать массовой дезинформации). К объектам ИБ также относятся системы формирования, хранения и использования информационных ресурсов. И это не только базы данных, регламенты и каналы передачи информации, но, например, архивы, библиотеки и даже научно-технический и обслуживающий персонал. В информационной защите нуждаются сети телекоммуникаций и спутниковые системы связи, открытия и незапатентованные технологии, промышленные образцы и экспериментальное оборудование. В этот же ряд следует отнести всевозможную компьютерную технику, программы, а также системы связи, по которым передается информация, содержащая государственные секреты. Сколько есть видов информационных ценностей, столько же и угроз для них. В посягательстве на информационную безопасность РК авторы концепции подозревают «отдельные иностранные политические, экономические, военные и информационные структуры», чужие разведки и спецслужбы, террористов, экстремистов, криминалитет и прочих, кому закон не писан. Среди этих «прочих» могут быть, в общем-то, любые физические и юридические лица. И даже стихийные бедствия и катастрофы, которые несут угрозу всему сущему и информационной безопасности в том числе.

Если разделить врагов на внутренних и внешних, то едва ли не главная угроза, идущая изнутри, — это элементарная человеческая халатность и разгильдяйство, которые нам так свойственны. То есть «нарушения установленных регламентов сбора, обработки, хранения и передачи информации» и непреднамеренные ошибки персонала информационных систем. Остальное — из области преступлений. Незаконная деятельность различных политических и экономических структур или неправомерные действия государственных органов, приводящие к нарушению чьих-либо законных прав в информационной сфере. Ущерб информационной безопасности страны может быть нанесен сотней различных способов. В концепции они разделены на несколько групп: информационные, программно-математические, физические, радиотехнические и организационно-правовые. К первым, например, помимо прочего, относится использование СМИ во вредных целях, хищение информации или ее искажение. К последним — закупка несовершенной или устаревшей техники, умышленное предоставление потребителям недостоверной, неполной информации, неправомерное ограничение доступа к документам и т. д.

Прочитав первую часть концепции, начинаешь понимать, что враг везде и вооружен до зубов. После этого наша история со взломом сайта представляется просто детской забавой. Что делать? Начинать надо, считают специалисты, с разработки и принятия соответствующих законов и нормативных актов. Необходимо разработать единую государственную политику в области защиты информации. Обеспечить защиту государственных секретов (по сути — развивать контрразведку, на вооружении которой сегодня должна состоять суперсовременная техника). Лицензировать деятельность в сфере информационной безопасности. Проводить научные изыскания в этой области. Интересно, что среди мер по укреплению ИБ концепция предлагает даже проводить социологические исследования, изучать общественное мнение, выявлять, таким образом, источники угроз. В каждой сфере деятельности нужны свои меры по обеспечению информационной безопасности — в политике, экономике, обороне, в условиях чрезвычайных ситуаций, в телекоммуникационных системах и т. д. Пока концепция предлагает только общие направления работы в каждой из этих сфер. Детализировать их предполагается в единой государственной политике по ИБ, которую еще только предстоит разработать.

Частная инициатива

Пока уровень всеобщей информационной безопасности «не соответствует потребностям человека, общества и государства», самые продвинутые частные компании давно уже позаботились о сохранности своих секретов. Правда, распространяться об этом они не спешат. Рынок услуг по обеспечению информационной безопасности остается таким же информационно закрытым, как и подавляющее большинство рынков товаров и услуг в РК.

Банально все сравнивать с Россией, но трудно удержаться, видя, сколько интересного есть в Рунете на эту тему. В РФ существуют и активно действующие профессиональные ассоциации специалистов по информационной безопасности, и специализированные периодические издания, и куча литературы на этот счет. Проводятся социологические опросы относительно основных информационных угроз и т. д. У нас пока каждая компания действует сама по себе, а если между специалистами и есть обмен мнениями и информацией, то происходит это в основном на личностном уровне. Поэтому какую-либо статистику относительно объемов рынка услуг по обеспечению информационной безопасности и его структуру сегодня, пожалуй, не знает никто.

Можно лишь попытаться обозначить основные черты этого рынка. По словам директора департамента безопасности мегацентра «Алма-Ата» Игоря Кощеева, казахстанский рынок ИБ имеет две специфические особенности. Во-первых, это наш человеческий фактор (о нем же шла речь и в концепции), который в данном случае заключается в массовом непонимании и несоблюдении мер информационной защиты. Во-вторых, низкая степень проникновения информационных технологий. Сейчас происходит прорыв в этой области. Но вслед за развитием IT должно идти и развитие информационной безопасности. Однако пока, к сожалению, мы этого не наблюдаем. По уровню обеспечения ИБ компании можно условно разделить на три группы. Это те, кто имеет собственные службы информационной безопасности, те, кто пользуется услугами аутсорсинговых служб, и те, кто в вопросах защиты информации обходится силами своего системного администратора. К первым относятся в основном банки и крупные компании, коммерческие тайны которых дорогого стоят. Как правило, в таких организациях работают не менее 100 человек, и у них есть филиалы, соединенные крупными корпоративными сетями. Вторая группа пока немногочисленна в силу опять-таки отечественной ментальности, настороженности, боязни доверить свои конфиденциальные данные сторонним людям, диктуемой сложившимся жизненным опытом. В третьей категории остаются, как правило, малые и средние предприятия, у большинства из которых и секреты невелики, и отдельный квалифицированный специалист по информационной безопасности им не по карману. Они ограничиваются установкой антивирусных программ, простеньких паролей доступа к информации и физической охраной своих баз данных.

Бойцы невидимого фронта, специалисты по информационной защите выходят чаще всего из системных администраторов. Но, что отличает обычного сисадмина от специалиста по ИБ, это то, что последний работает не только и не столько с «железом» и программами, сколько с людьми. Большинство угроз информационной безопасности в компании — внутренние, считает Игорь Кощеев. Поэтому в сфере ИБ большую роль играет организационно-правовой аспект. То есть разработка внутренних нормативных документов и контроль за их соблюдением. От этого на 80% зависит эффективность выстраиваемой системы защиты.

Еще один «источник питания» специалистами по информбезопасности — спецслужбы и правоохранительные органы. Со стороны порой кажется, что их видение угроз граничит с паранойей, но знающие люди говорят, что это суровая необходимость, проверенная опытом и временем. Как правило, службы ИБ входят в состав подразделений по внутренней безопасности компаний и работают в тесном контакте с IT-департаментами. Универсальных специалистов, которые являются профессионалами одновременно и в информационных технологиях, и в информационной безопасности, очень мало, и их знания и опыт ценятся очень высоко. Хороший специалист должен уметь обосновать руководству компании экономическую целесообразность инвестиций в информационную безопасность. Поскольку даже те продвинутые шефы, которые нанимают таких специалистов, экономят на превентивных мерах защиты данных. О сумме инвестиций эксперты говорить не любят. Мол, все зависит от величины компании, уровня развития информационных технологий в ней и множества других факторов. Тем более что часто бывает трудно разделить расходы на собственно ИБ и IT-оборудование. Но, по оценкам г-на Кощеева, стоимость обеспечения информационной безопасности крупной корпоративной сети может составлять до 10% от стоимости самой сети. Скажем, если крупный банк или компания, в филиалах которой по всей стране работают 500–700 человек, затратит порядка $1,5 млн. на создание внутренней сети, то системная защита этой сети обойдется как минимум в $100–120 тыс.

Кстати, для определения степени защищенности своих данных компания может провести внешний аудит информационной безопасности. На нашем рынке существует несколько фирм, которые на этом специализируются. Их услуги стоят в среднем $5–10 тыс. Аудиторы выявляют слабые места в корпоративных системах и дают рекомендации по их укреплению. Главный аргумент в пользу того, что дело стоит этих денег — расчет потерь, которые компания понесет в случае утечки, искажения или несвоевременного поступления данных. Для этого вся информация категорируется по степени важности. Например, в первую категорию входят сверхсекретные данные, доступ к которым посторонних лиц (конкурентов, СМИ, хакеров и т. д.) может привести если не к краху компании, то, по крайней мере, к очень большим убыткам. Во вторую — сведения, нарушение целостности или конфиденциальности которых нежелательно. И в третью — данные, с которыми, даже если что-то случится, большой беды для компании не будет. Соответственно выстраивается и система защиты. Несмотря на то, что наш рынок ИБ сильно отстает от российского по количественным показателям и уровню организации, технологически, по свидетельству специалистов, он ни в чем не уступает ему. Уровень доходов крупнейших казахстанских компаний и степень закрытости многих из них диктуют возможность и необходимость приобретения новейших технологий по защите информации. А в некоторых наших корпорациях установлены такие системы безопасности, которых в России еще ни у кого нет. Теперь дело за средними компаниями, которые выходят на новый уровень информатизации и рано или поздно придут к пониманию необходимости обеспечения своей информационной безопасности.

Результаты опроса общественного мнения, проведенного среди представителей различных компаний и опубликованного в статье «Информационная безопасность: результаты исследования» в российском ежегодном каталоге IT-Security-2007.

Информационная безопасность для вас это:
27% — Затруднение действий злоумышленника.
36% — Минимизация угроз.
23% — Внедрение систем защит.
14% — Фактор, способствующий развитию бизнеса.
45% — Необходимый элемент стратегии ведения бизнеса.
55% — Набор мероприятий, направленных на обеспечение управлением рисками.

Результаты опроса общественного мнения, проведенного среди представителей различных компаний и опубликованного в статье «Внутренние ИТ-угрозы в России, 2006 год» в российском ежегодном каталоге IT-Security-2007.

Наиболее опасные ИТ-угрозы 2004–2006  гг.:
— Кража информации — 65,8%  (2006 г.); 64% (2005 г.); 62% (2004 г.).
— Халатность сотрудников — 55,1%  (2006 г.); 43% (2005 г.); 44% (2004 г.).
— Вредоносные программы — 41,7%  (2006 г.); 49% (2005 г.); 60% (2004 г.).
— Саботаж — 33,5%  (2006 г.).
— Хакерские атаки — 23,4%  (2006 г.); 48% (2005 г.); 52% (2004 г.).
— Спам — 20,2%  (2006 г.); 5% (2005 г.); 4% (2004 г.).
— Финансовое мошенничество — 18,8%  (2006 г.); 45% (2005 г.); 38% (2004 г.).
— Кража оборудования — 15,3%  (2006 г.); 21% (2005 г.); 19% (2004 г.).
— Аппаратные и программные сбои — 7,2%  (2006 г.); 6% (2005 г.); 9% (2004 г.).