Доля злоумышленных утечек данных растет

Во время круглого стола “Системы защиты конфиденциальной информации в условиях кризиса. Анализ и прогнозы”, организованного российской компанией InfoWatch, независимый эксперт Василий Окулесский привел интересные факты: “В 2007 г. в России было зарегистрировано приблизительно 500 правонарушений в сфере высоких технологий (подделки банковских карт, утечки персональных данных и т. д.), в 2008-м — 6000, а за I квартал этого года — уже около 10 000”. Как видите, рост практически экспоненциальный.

Эксперты InfoWatch констатируют также изменение структуры причин утечек конфиденциальных данных. Если в 2007 г. 71% зафиксированных зарубежными СМИ и проанализированных в InfoWatch инцидентов такого рода был обусловлен беспечностью персонала и лишь 29% — злым умыслом со стороны так называемых инсайдеров, то в нынешнем году по итогам изучения 530 происшествий расклад уже иной: 42,1 и 45,5% соответственно (в остальных случаях установить причину утечки данных не удалось). Среди причин такого перекраивания “пирога инцидентов” выделяются две основные. Первая из них заключается в весьма широких масштабах внедрения за рубежом DLP-систем (в настоящее время под подобными решениями, как правило, понимают системы предотвращения утечек конфиденциальной информации по различным каналам). Вторая причина обусловлена возрастанием как стоимости, так и ликвидности персональных данных (ПД). Дело в том, что в настоящее время организованными преступными группировками кража ПД поставлена на поток и в этот криминальный бизнес в связи с его техническим упрощением вовлекается всё больше исполнителей. А круг потенциальных потерпевших всё время расширяется за счёт внедрения новых форм онлайнового обслуживания.

К сожалению, в России нормативно-законодательная база такова, что случаи предания гласности инцидентов, связанных с утечкой данных, единичны. Однако, несмотря на отсутствие локальной статистики, можно предположить, что увеличение доли злоумышленных утечек данных (т. е. утечек, произошедших не по причине халатности персонала) характерно и для нашей страны. Между тем, по словам генерального директора InfoWatch Натальи Касперской, в I квартале 2009 г. объем продаж предлагаемых её компанией DLP-решений был ниже аналогичного показателя прошлого года. Недостаточно высокий спрос на DLP-cистемы (по итогам I квартала 2009 г.) отмечают и в компании Perimetrix. И все это происходит на фоне явного увеличения потребности в такого рода решениях со стороны предприятий и учреждений.

Потребности растут, а спрос падает

Сейчас все беды принято валить на кризис. Якобы именно он привел к возникновению парадоксальной ситуации на рынке систем обеспечения ИТ-безопасности: потребности увеличились, а спрос упал. В то же время считается, что перед всеми нами кризис открыл новые перспективы и возможности. Что же это за возможности применительно к рынку систем обеспечения информационной безопасности?

“Не секрет, что практически в любой организации идет постоянная борьба между “айтишниками”, “безопасниками” и “финансистами”, — отмечает независимый эксперт Дмитрий Карпенко. — Первые, как правило, постоянно говорят о необходимости внедрения самых передовых информационных технологий, которые откроют перед персоналом небывалые возможности, вторые с целью предотвращения возможных утечек данных ратуют за ограничение доступа персонала к информационным ресурсам, третьи же стремятся к тому, чтобы на любой проект денег расходовалось как можно меньше. Кризис привел к тому, что новые ИТ-проекты в организациях практически не затеваются. Поэтому в условиях кризиса у всех трех перечисленных выше категорий специалистов стало больше времени, свободного от решения сиюминутных задач. Это время можно использовать на то, чтобы подумать о стратегических проблемах и лучше понять друг друга. С тем, чтобы в будущем реализовать проекты, которые отвечают как экономическим критериям (т. е. сулят финансовую выгоду), так и критериям безопасности (т. е. уменьшают риски от неправомерного использования данных)”.

По словам руководителя службы развития информационной безопасности ОАО “ВымпелКом” Сергея Сажина, кризис дает ИТ-специалистам некоторую передышку и возможность улучшить качество функционирования тех систем, которыми их предприятия уже располагают. Он также позволяет им оглянуться вокруг и оценить новинки, предлагаемые различными поставщиками. Схожее мнение выразили и другие участники круглого стола.

DLP-системы и их перспективы

Когда речь заходит о программных или программно-аппаратных комплексах (решениях), предназначенных для выявления и предотвращения утечек информации, как правило, имеют в виду уже упомянутые DLP-системы. Довольно долгое время эксперты спорили о том, как правильно перевести эту аббревиатуру на русский язык, но, как справедливо отметил один из участников круглого стола, главное — появилось понимание того круга задач, который должны решать такие системы.

По мнению руководителя аналитического центра InfoWatch Ильи Шабанова, современные DLP-cистемы должны обеспечивать защиту периметра корпоративной сети (от утечек через электронную почту, cистемы мгновенных сообщений и прочие интернет-приложения); защиту узлов сети (серверов, настольных ПК, ноутбуков, устройств сетевой печати и т. д.) и шифрование информации на стационарных и съемных носителях данных (что предотвращает утечки данных при краже или потере этих носителей).

Сейчас ведущие игроки рынка DLP-решений активно собирают мнения пользователей о том, в каком направлении системы такого рода должны развиваться. Сами участники круглого стала в этом вопросе оказались единодушны — DLP-системы должны развиваться в направлении интеграции с другими подсистемами обеспечения информационной безопасности.

“Защита от утечек — это не вещь в себе, а элемент общей системы безопасности предприятия или учреждения, — отмечает Василий Окулесский. — Если корпоративная сеть допускает вход в неё без достоверной регистрации пользователя, то это создает хорошие предпосылки для разного рода инцидентов и никакая классическая DLP-cистема положения не спасет. Поэтому на практике очень желательно иметь не отдельные подсистемы обеспечения безопасности от тех или иных угроз, а единую интегрированную систему, в которую стекается информация о cамых различных инцидентах, угрожающих безопасности организации. Такого рода система среди прочего должна способствовать выявлению корреляций между инцидентами”.

На интересный аспект возможного развития DLP-cистем указывает начальник отдела информационной безопасности ООО “Газпром трансгаз Москва” Александр Полещук: “Личности потенциальных инсайдеров должны изучаться службой безопасности компаний. Поэтому хотелось бы, чтобы в DLP-cистемах была предусмотрена возможность учета личностных характеристик конкретных людей, имеющих доступ к конфиденциальным данным”.

“Необходима интеграция cистем защиты от различных угроз, — считает руководитель департамента информационной безопасности ОАО “ВымпелКом” Дмитрий Устюжанин. — Дело в том, что разница между внешними и внутренними угрозами весьма условна. Так например, cейчас наблюдается все большая зависимость компаний от фирм-аутсорсеров. При этом возникает интересный вопрос о том, как называть утечки, обусловленные действиями персонала этих фирм — внутренними (инсайдерскими) или внешними (аутсайдерскими). В настоящее время регулятор уделяет много внимания вопросам обеспечения безопасности персональных данных, но конкретных решений в этой области не предлагает. На мой взгляд, DLP-системы, хотя и являются недешевым удовольствием, но могут решить очень широкий круг задач обеспечения безопасности персональных данных, и именно в этом плане их надо совершенствовать. Однако разработчики данных систем на этом возможном аспекте их применения внимания почему-то не фокусируют”.

Возможно, одна из причин отсутствия такого рода фокусировки — размытость понятия “персональные данные” (ПД).

Человеческий фактор

Между тем практика показывает, что только применением суперсовременных и суперэффективных технических средств проблема борьбы с утечками данных не решается. “В условиях кризиса вследствие массовых увольнений появилось достаточно много обиженных программистов, — отмечает Василий Окулесский. — То есть людей, которые раньше представляли собой своего рода “пуп земли”, а теперь оказались никому не нужны. В стремлении заработать деньги, а то и просто побахвалиться некоторые из уволенных программистов вполне могут предпринять какие-либо единичные противоправные действия (например, чтобы досадить своему бывшему работодателю), организовать собственную “интеллектуальную банду” или примкнуть к разного рода уже существующим преступным группировкам”.

А вот ещё одно соображение, высказанное во время круглого стола: “В условиях падения уровня зарплат у многих специалистов появляется желание подработать. В том числе — за счет использования ИТ-инфраструктуры своих предприятий. Работодателям следует помнить, что если элементы ИТ-инфраструктуры их предприятий (серверы, каналы связи и т. д.) используются в преступных целях даже без их ведома, то это не снимает с них определенной ответственности”.

Вместе с тем, как говорит статистика, значительная часть утечек данных происходит не вследствие действий злоумышленников, а по причине халатности персонала. “У сотрудников надо изначально отбить желание нарушать установленную политику безопасности, — считает менеджер по развитию бизнеса Cisco Systems Алексей Лукацкий. — Это достигается не столько за счет использования специальных технических средств, сколько за счет различных организационных мер. В то же время привлечь к юридической ответственности за инцидент конкретных сотрудников, как правило, достаточно сложно, так как во многих случаях интересы работодателей вступают в противоречие с правами граждан, установленными местным законодательством”.

Впрочем, как отметил Дмитрий Карпенко, инцидент инциденту рознь, и далеко не каждый из них требует привлечения виновника к гражданской или уголовной ответственности: “В случае мелких проступков вполне достаточно обычной предупредительной беседы. Особенно хороший эффект дают беседы, проведенные по горячим следам. В случае более серьезных поступков беседу можно провести на повышенных тонах. Ну и так далее…”.

Есть и другие подходы. “С каждым новым сотрудником проводится примерно полуторачасовая беседа о необходимости соблюдения правил информационной безопасности, — рассказал начальник управления информационной безопасности АКБ “РосЕвроБанк” Юрий Лысенко. — Кроме того, время от времени организуются различные конкурсы с призами. Например, совсем недавно был проведен конкурс на лучший слоган и плакат на тему ИТ-безопасности. Затем плакаты-победители были развешаны практически во всех подразделениях банка”.

И все же роль технических средств в деле обеспечения ИТ-безопасности нельзя приуменьшать. “Когда сотрудники понимают, что за их работой на компьютере ведется неусыпный контроль, они начинают вести себя более ответственно, — заметил Василий Окулесский. — Я знаю случаи, когда внедрение DLP-системы сократило объем внешнего трафика, потребляемого организацией, почти в два раза, что практически полностью окупило затраты на внедрение этой системы”.