Чем больше развивается информационное общество, тем актуальнее становятся вопросы информационной безопасности. Сегодня обеспечение защиты информации - это и одна из главных задач государства, и жизненная необходимость функционирования бизнеса.
О том, как менялись информационные риски во времени, каковы тенденции появления новых угроз и методы борьбы с ними, мы беседуем с доктором физико-математических наук, действительным членом Академии наук Нью-Йорк (США), Генеральным Директором Группы Компаний "Контрол" Валерием КРУТСКИХ.
- Валерий Иванович, «МТТ Контрол» разрабатывает интегрированные системы безопасности более двадцати лет, что уже говорит о многом. Начинали вы в «лихие» 90-е. Расскажите, как с точки зрения практики менялся за прошедшие десятилетия рынок систем безопасности? Каким образом изменялись риски и их приоритет?
- Как ни странно, в бурный период перехода от Советского Союза к России и смены экономических формаций сфера защиты информации функционировала вполне нормально. В СССР дело с секретностью было поставлено на очень высоком уровне – шифрование, ответственность за разглашение тайны, процедуры и т.д. Когда специалисты из «первых отделов почтовых ящиков» и прочих закрытых организаций стали переходить в крупные коммерческие структуры, они наводили порядок. Мелкие и средние предприятия об этом, честно говоря, не думали. Самой распространенной защитой служил пароль DOS или Windows, а пределом технической образованности - еще и пароль BIOS. Каково же было удивление руководства, когда выяснялось, что для взлома системы достаточно вынуть батарейку на материнской плате. Известен анекдотический случай, когда компьютеры вскрывали сами работники безопасности, чтобы поиграть в игры.
К сожалению, у нас исторически, пока гром не грянет, мужик не перекрестится. Только с появлением фактов быстрого и легкого взлома началось массовое движение к правилам «информационной гигиены» бизнеса - оснащению антивирусами, средствами защиты от несанкционированного доступа, средствами шифрования. Была существенно развита сертификация средств защиты информации. Постепенно определились два тренда – защита от внешних атак и внутренних угроз.
- Одновременно?
- Нет, когда были «закрыты» факторы внешнего проникновения хулиганствующих хакеров, на первое место стали выходить факторы, связанные с инсайдом - в самом широком его понимании. Здесь пересеклись множество аспектов - юридический, психологический и т.д. и т.п. Страшная вещь оказалась. Представьте: большой научный институт разрабатывает уникальное средство защиты данных, на расшифровку которого потребуется миллион лет и куча денег. А кто-то берет и покупает человека в интересующей компании, что дешевле, проще и быстрее. Пресловутый человеческий фактор.
Из практики: купила организация «таблетки» для защищенного входа в компьютер, а сотрудницы их хранят вместе со скрепками. Часто преступление начинается с разгильдяйства.
Несколько лет назад разразился скандал об утечке данных одного из наших заказчиков федерального уровня, после чего встал поистине философский вопрос: а как ограничить того, кому разрешено все? Скажем, системного администратора. Проблему удалось решить с внедрением интегрированной системы типа искусственного интеллекта, которая анализирует не только каждое действие, но и их взаимодействие.
Приведу пример. Есть система контроля доступа – карточки. Есть система паролей. Обе выполняют свою функцию. Но защитить от инсайдера они не могут. Система же анализирует все действия в совокупности: вот человек зашел в здание, поднялся на свой этаж. Пройти на другой по чужой карте уже не получится: система не пропустит. Заглянуть в соседний компьютер тоже не выйдет, потому что только пользователь выйдет из комнаты, его сеанс будет закрыт. Все это называется регламент. Комплексная система содержит десятки тысяч различных объектов, и каждое действие поступает в единую базу данных - «искусственный интеллект», который сверяет их с нормативами. Эта технология объединяет процессы управления и контроля доступа в виртуальном и физическом мире. Более того, система самообучается. Она реагирует на изменение действий обектов, которые формально правильные, но не характерные для стандартного регламента. Оценивая эти изменения, система сигнализирует об этом на различных уровнях: внимание, опасность, тревога или авария.
- Сигнализирует службе безопасности?
- Да. При этом информация может отражаться на мониторах, в специальном тревожном окне интерфейса, озвучиваться с помощью синтезатора речи или передаваться по различным телефонным линиям в соответствии с установленным списком номеров.
- Какие еще технологии Вы разработали и применяете?Например, технологию работы под контролем, или, как мы ее называем, «сценарий 4-х глаз» (суть ее в разделении ответственности, при котором вероятность нарушения намного снижается),технологии бинарной защиты информации, анализа инцидентов на базе метаданных, непрерывный мониторинг парольной защиты с помощью биометрической идентификации, физической защиты аппаратно-программных средств вычислительной техники и ЦОД.
Резюмируя, можно сказать, что, во-первых, нужен комплекс средств, защищающих информацию. Во-вторых, должны быть административные правила работы с ними, потому что самая крутая программа шифрования окажется бесполезной, если пароли будут валяться на столе. А в-третьих, необходимы системы, которые выводят все процессы из виртуального мира в реальный, обрабатывают данные, сверяют действия систем защиты информации с административными правилами и делают невозможным их нарушение. Тогда будет достигнут эффект защиты от инсайдеров и несанкционированных действий.
- Интересно, как к таким процедурам относятся сами сотрудники?
- О, это любопытная тема. Первые установки интегрированных систем безопасности напоминали бунт лионских ткачей, крушивших свои станки. Если раньше сотрудники считали службы безопасности своей защитой от внешнего мира, то тут почувствовали себя потенциальными преступниками. Они кривлялись перед камерами наблюдения, показывали языки, прикладывались ухом. Постепенно это прошло – все привыкли, что есть правила, которые, к тому же, защищают сотрудников от бездоказательных обвинений и шантажа. Такой контроль – это своего рода алиби.
Но самым ярким побочным эффектом стало то, что подобные системы поднимают дисциплину на необычайную высоту. Оказалось, одно только сознание, что все твои действия зафиксированы, побуждает не только строго соблюдать все регламенты, но и вовремя приходить на работу, заниматься делом.
- Тем не менее, мир продолжают сотрясать скандалы, связанные с утечкой информации. «Сливаются» базы данных, личная информация… Помнится, в начале года, получив сведения о клиентах и количестве средств на счетах, группа бывших сотрудников «Сбербанка» похитила более 50 млн рублей с зарплатных карт через систему электронных платежей.
- И таких инцидентов сейчас!.. Вот другой пример: финансовый кризис на Кипре. За пару недель до его объявления из кипрских банков были выведены серьезные суммы. Ведется расследование, но уже очевидно, что это инсайд. А весной были похищены и опубликованы персональные данные первой леди США Мишель Обама, вице-президента Джо Байдена и других высокопоставленных лиц.
- Неужели у них не было достойной защиты?
- Очевидно, она была. Однако появляются все новые виды угроз, более того, меняются их парадигмы. Например, появились новые программы-закладки, так называемые «зловреды», которые находятся на компонентах компьютера, а не только на жестком диске. Они характерны тем, что могут быть не заметны для антивирусов сколько угодно долго, и не обнаруживать себя до того часа Х, когда программа активируется.
Это угроза совершенно нового типа. На чем до сих пор была сосредоточена вся защита информации? На защите данных. Где у нас данные? На жестком диске или в оперативной памяти, где их и ищут все антивирусы. Между тем осенью прошлого года французские ученые впервые опубликовали доклад, посвященный концепт-вирусу для периферийных устройств компьютера. Назвали его красноречиво в честь индуистского демона Rakshasa. Разработанное вредоносное приложение способно скомпрометировать операционную систему при загрузке, не оставляя следов на жестком диске и ничем не выдавая своего присутствия.
Новые методы атаки позволяют этому вирусу заменить BIOS материнской платы, заодно инфицировав прошивку других устройств, в том числе сетевой карты или CD привода. Больше того, вирус способен самостоятельно восстанавливать себя на зараженной машине. Даже после восстановления исходного BIOS-а вредоносная прошивка может заново инфицировать систему. Неуловимость зловреда обеспечивается тем, что прошивка загружается до запуска операционной системы и антивирусных продуктов, а потом может быть выгружена – в таком случае даже анализ оперативной памяти компьютера окажется бесполезным.
Создатели Rakshasa доказали, что подобные закладки (backdoors) могут быть установлены еще в ходе производства, или поставки ПК конечному потребителю. А так как большинство компьютеров, включая Mac, изготавливаются в Китае, проследить за производством комплектующих практически невозможно. В США этой весной был подписан указ президента, запрещающий НАСА и государственным ведомствам закупать ИТ-оборудование из Китая. Нашим властям, видимо, надо тоже об этом задуматься.
- Но если новый вирус так неуловим, значит, никто его пока не видел?
- Как никто не видел и космических частиц. Но когда в «пузырьковой камере» они пролетают через жидкий водород, образуя газообразные пузырьки, след можно сфотографировать. Вот здесь точно так же. Информационный след подтверждает существование. Можно вспомнить недавние события в Иране, когда были выведены из строя центрифуги по обогащению урана. Приказ об этом дал президент Обама, операция называлась «Олимпийские игры». Изначально обсуждалось два варианта: нанесение бомбового удара или внедрение компьютерного вируса. Вирус оказался эффективнее, чем бомбовый удар. Сейчас материалы об этом опубликованы. Следующий пример. Пару месяцев назад было выведено из строя 30 тысяч компьютеров государственной компании нефтяной в Саудовской Аравии. Перезагрузка всех программ не давала результата, их уничтожили.
Это – кибервойна. Война, идущая без объявления.
Разворачиваются и кибервойска. У Президента США наряду с ядерной появилась вторая «кнопка» – для начала кибератак. Недавно вышел документ НАТО, разрешающий реальные военные действия в ответ на компьютерные атаки на инфраструктурные объекты. Настолько это серьезно. Атомные станции, плотины, водопроводы, канализация – они сейчас все компьютеризированы. Можете себе вообразить риски инфраструктуры на государственном уровне. Последствия кибератак могут сравниться с ущербом от применения оружия массового уничтожения.
- А есть ли на уровне предприятий и организаций понимание новых угроз? Можно ли от них защититься?
- Интерес к этому очень большой, но еще больше ограничений, связанных с сертификацией. Предприятия выполняют предписания вчерашнего дня. Когда-то успешный процесс сертификации так все формализовал, что новому тяжело пробиться. В итоге защита наращивается, а риски остаются.
Вообще, ситуация напоминает укрепление крепости: сверху пушки, котлы с кипящей смолой, лучники стоят, а внизу на заднем дворе калиточка приоткрыта. Через которую можно войти и распахнуть ворота. В роли такой «калиточки» могут оказаться и люди, и оборудование. Поэтому сколько пушек ни ставь, как их ни модернизируй, пока о калитке не позаботишься, риски не уменьшатся.
Надо сказать, что решения проблемы новых угроз есть, и эти средства работают. Но ни одна системы защиты не может быть на 100% устойчива, нужен комплекс. Иначе оказывается, что сертификаты есть, антивирус есть, а король все равно голый.
- Валерий Иванович, по вашим наблюдениям – готовы ли сегодня серьезные компании больше инвестировать в защиту информации?
- Я бы сказал, что сегодня крупные компании экипированы «от» и «до» - согласно требованиям вчерашнего дня. Речь идет о том, каким должен быть следующий этап защитной экипировки. При этом люди, принимающие решения, готовы не столько расширять, сколько перестраивать существующую у них систему защиты. А это тонкая операция. Надо модернизировать устоявшиеся правила. Условно, хранится у вас в специально оборудованном месте ведро с песком, лопата, брандспойт. Любой здравомыслящий человек понимает, что это никак не спасет от пожара в 60-этажном доме. Но придет пожарный инспектор и спросит: минутку, а где у вас лопата, где песок? Условия изменились, но требования остались, и это требует осмысления, ведь у каждого предприятия разные риски.
Наиболее продвинутые организации готовы увеличивать инвестиции в безопасность, понимая, сколько они могут потерять. Новые средства ставятся на самые чувствительные точки. Каждый сценарий просчитывается. И если цена предлагаемаой системы защиты больше цены риска, от нее отказываются, если меньше либо равна - внедряется.
Я не сторонник шпиономании, всякий риск можно учитывать либо нет – это исключительно выбор хозяйствующего субъекта. Но надо понимать, что мы находимся в переломном моменте: когда, казалось бы, от всего защитились, пришли угрозы нового формата. Идет острейшая борьба за создание новых систем предотвращения рисков с учетом эволюционного развития киберугроз. Они касаются и коммерческих предприятий, и атомных станций, и электростанций, и заводов, и госструктур. И легких решений тут быть не может.
***
Врезка: По данным Бюро специальных технических мероприятий МВД России, правоохранительные органы зарегистрировали в 2012 году на 28 процентов киберпреступлений больше, чем в 2011 году.
По оценке экспертов, динамика потерь от киберпреступлений в ближайшие годы будет только увеличиваться.