Page 1

Cover_01_END 7/3/18 7:09 PM Page Cov1

Издание компании

XV МеждуНародНая выставка

21– 23 Ноября 2018

СпецпРОеКТ

DLP КибеРоРужие будущего уголовно-пРАвовые РисКи субъеКтов Кии уРовень зАщищенности пРедпРиятия ЭлеКтРоннАя подпись: что и зАчем?

Андрей Ревяшко

КАК ВЫЖИТЬ 

ПАРЕ БИЗНЕС+ИБ В ЭПОХУ AGILE?

www.itsec.ru

№ 3, июнь 2018


InfoSecurity_2018 6/29/18 7:21 PM Page cov2

21– 23 ноября 2018 Москва, КВЦ "Сокольники"

ДЕЛОВАЯ ПРОГРАММА ЭКСПОЗИЦИЯ

ДЕМО-ЗОНЫ ТЕМАТИЧЕСКИЕ КОНФЕРЕНЦИИ

МАСТЕР КЛАССЫ АНАЛИТИКА

МОНИТОРИНГ И РЕАГИРОВАНИЕ

THE FUTURE

БЕЗОПАСНОСТЬ ДАННЫХ

ВИРТУАЛИЗАЦИЯ

УПРАВЛЕНИЕ ДОСТУПОМ

БЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ

СИСТЕМ АВТОМАТИЗАЦИИ И УПРАВЛЕНИЯ

КРИПТОГРАФИЯ БЕЗОПАСНЫЙ ИНТЕРНЕТ

"СДЕЛАНО В РОССИИ" УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЙ АНАЛИТИКА, МОНИТОРИНГ И РЕАГИРОВАНИЕ


Preview 6/29/18 7:19 PM Page 1

PREVIEW

"Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее!" – фраза, написанная английским математиком Чарльзом Лютвиджем Доджсоном (более известным как писатель Льюис Кэрролл) еще в 1865 г., как нельзя лучше подходит для описания ситуации, в которой сейчас пребывает бизнес. Конкурентоспособными сегодня считаются только те компании, которые успевают за динамикой спроса, и на помощь им пришла методика Agile. Суть этой идеологии предполагает эффективное и тесное взаимодействие сотрудников разных уровней, в отличие от привычных моделей управления, задачи в которых поступают сверху вниз. Сотрудники сами определяют, над какими продуктами и как надо работать. Вместо строгой иерархии и профильных отделов – временные межфункциональные команды, где все равны и ориентированы на конечный результат. Вместо планерок и цепочек согласований – быстрое решение проблем в ходе назначаемых по необходимости встреч. Вместо долгосрочной стратегии и детального календарного плана – постоянная трансформация продукта под меняющиеся нужды потребителя. Идеология Agile увлекла многих, не стал исключением и крупнейший российский онлайн-магазин WILDBERRIES. В рубрике "В фокусе" Андрей Ревяшко, занимающий в данной компании должность технического директора, рассказал, как ему удалось "подружить" Agile и информационную безопасность (стр. 4). Но не многие разделяют позитивное настроение адептов Agile. Надо сказать, что скептис небезоснователен. Если компания следует моде, не слишком хорошо понимая, чего она хочет в итоге достигнуть, внедрение Agile обернется пустой тратой денег, и очень немаленьких денег. Пока топ-менеджмент и служба информационной безопасности пытаются найти очередной компромисс, предлагаю обратить внимание на технологию, реализация которой уже много лет не нуждается в объяснении. Согласно результатам различных исследований, каждый год растет не только количество и качество попыток, но и число успешно реализованных краж информации. Конечно, доля утечек, связанных с неопытностью пользователей и отсутствием базовых политик безопасности, достаточно велика, но не вызывает сомнения тот факт, что в современной компании применение DLP-систем является необходимостью, а не роскошью. Помимо развития собственной функциональности, современные DLP-системы предоставляют широкие возможности по интеграции с различными смежными и даже конкурирующими продуктами. Во всем разнообразии предлагаемых сегодня систем разобраться непросто. В спецпроекте номера эксперты поделились своим опытом внедрения DLP (стр. 18), а также рассказали о перспективах развития этой технологии (стр. 24). На стр. 36 можно ознакомиться с техническими характеристиками средств защиты информации, сравнив которые, вы сможете выбрать лучшее решение согласно нуждам и потребностям бизнеса.

www.itsec.ru

Екатерина Данилина, главный редактор журнала Information Security

Не бойтесь изменений и до встречи на страницах журнала Information Security!

Бронируйте участие в выставке ITSEC / InfoSecurity Russia 2018 на лучших условиях

• 1


Contents 7/3/18 6:29 PM Page 2

СОДЕРЖАНИЕ В ФОКУСЕ Андрей Ревяшко Кто не успел, тот опоздал, упустил, закрылся . . . . . . . . . . . . . . . . . .4 Хакеры заставили бизнес платить за безопасность . . . . . . . . . . . . .9

стр.

4

ПРАВО И НОРМАТИВЫ Валерий Комаров Уголовно-правовые риски субъектов КИИ . . . . . . . . . . . . . . . . . . . .10 Константин Саматов Правовые аспекты защиты коммерческой тайны на практике . .13 стр.

10

БЛОКЧЕЙН И КРИПТОВАЛЮТА Николай Новоселов $2 млрд для криптовалют . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

СПЕЦПРОЕКТ DLP Анатолий Скородумов стр.

Роль DLP-системы при реализации комплексной защиты

18

от утечки данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Андрей Рыбин Предотвращение утечек данных средствами EDRM и DLP . . . . . .21 Сергей Вахонин Контролируем печать документов. Угроза старая, но не устаревшая . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Партнер круглого стола:

Критерии выбора: что включает в себя эффективная DLP-система . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24 журналы на сайте journal-off.info

стр.

45


Contents 7/3/18 7:09 PM Page 3

СОДЕРЖАНИЕ Дмитрий Кандыбович

Журнал "Information Security/Информационная безопасность" № 3, 2018 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г.

Как сделать ИБ доступным? Выбор DLP-систем в условиях ограниченного бюджета . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 Обзор DLP-решений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

УПРАВЛЕНИЕ Андрей Пряников Формирование показателей уровня защищенности, методы и практики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

ТЕХНОЛОГИИ Алексей Плешков Кибероружие будущего . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

КРИПТОГРАФИЯ Павел Чащин Что такое электронная подпись и почему она важна . . . . . . . . . . .45

JOB Олесья Горьковая Кто кого? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

СОБЫТИЯ Positive Hack Days 8: Digital Bet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

Учредитель и издатель компания "Гротек" Генеральный директор ООО "Гротек" Андрей Мирошкин Издатель Владимир Вараксин Главный редактор Екатерина Данилина, danilina@groteck.ru Корректор Галина Воронина Дизайнеры-верстальщики Анастасия Иванова, Ольга Пирадова Группа управления заказами Татьяна Мягкова Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Зинаида Горелова, Ольга Терехова Рекламная служба Тел.: (495) 647-0442, gorelova@groteck.ru Отпечатано в типографии ИП Морозов, Россия Тираж 10 000. Цена свободная Оформление подписки Тел.: (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: (495) 647-0442, факс: (495) 221-0864 Для почты 123007, Москва, а/я 82 E-mail groteck@groteck.ru Web www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание

НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Колонка эксперта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 Новости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52

За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "Гротек", 2018

• 3


reviashko 7/3/18 6:40 PM Page 4

В ФОКУСЕ

Кто не успел, тот опоздал, упустил, закрылся Андрей Ревяшко, технический директор, WILDBERRIES

ИБ в онлайн-ритейле – это набор практик по борьбе с внешними киберугрозами для мобильных и Web-приложений, данных платежных карт, сетей и пунктов самовывоза, ЭДО и IoT (особенно на распределительных центрах). Отдельно стоит упомянуть работу по линии антиDDoS, 152-ФЗ и повышение уровня осведомленности в области информационной безопасности как клиентов, так и сотрудников. Борьба с внутренними угрозами, например с шифровальщиками, кражей критичных для компании данных, ключей ДБО и т.д., уже схожа с иными индустриями.

4 •

– Андрей, с 2009 года вы работаете в должности технического директора компании WILDBERRIES. Расскажите, как развивалась ваша карьера. – В компанию WILDBERRIES я пришел в 2008 году, до 2009-го работал простым Webразработчиком. На тот момент через информационную систему проходило несколько сотен заказов в сутки. ИТ-инфраструктура, коллцентр, склад, служба доставки и офисные сотрудники располагались в небольших помещениях. Как и сейчас, в то время будущие участники рейтингов самых успешных бизнесменов страны – основатели компании – боролись за место под солнцем плечом к плечу с простыми сотрудниками. Это была настоящая борьба. Искренняя. Когда не хватало рук на складе – мы шли на склад, когда с натиском звонков не справлялся контактный центр – помогали им. Даже первые фотосъемки для наших каталогов делали с привлечением сотрудников. Как и сейчас, царил дух семьи. Пальцев рук не хватит, чтобы перечислить тех, кто все эти годы разделяет радость и тяготы рабочих будней компании день за днем. Тогда же я впервые столкнулся с халатностью коллег по ИТ-цеху. Дело в том, что ранее компания прибегала к услугам аутсорсинг-разработчиков, которые то ли не считали нужным предоставлять качественные услуги, то ли не обладали нужными знаниями о предметной области. Как бы то ни было, мне поручили исправить ситуацию. Вопрос нормализации работы информационной системы решили силами компании, и вскоре мы уже отмечали наши первую тысячу заказов в сутки.

Это был успех команды единомышленников. На тот момент у меня уже был неплохой опыт работы с людьми, а у отцов-основателей было желание развиваться. Так, после очередного успешного закрытия проекта мне предложили возглавить новоиспеченный ИТ-отдел. Это сейчас количество одних только разработчиков превышает 200 человек, а в то время это было человек пять, и все они по сей день с компанией. Впереди у нас были новые Data-центры, отражения DDoSатак, системы видеонаблюдения, защита соответствия стандарту PCI DSS, воспитание разработчиков в стиле Software Development Lifecycle (SDL), развитие IP-телефонии и ныне модный искусственный интеллект с Agile.

– Что или кто повлиял на вас профессионально в наибольшей степени? Кого вы считаете своим учителем и почему? – Если говорить о руководстве, то работа с людьми застала меня, когда я едва "переступил порог" второго курса института. Это был неполноценный ИТ-бизнес, но именно в то время я сделал для себя вывод, что на рынке труда не так много людей, которым можно просто доверить задачу и быть уверенным в ее выполнении. Столько времени прошло, но мнение мое не изменилось до сих пор: делается то, что хорошо контролируется. Контролировать поставленные задачи меня научили рано. Мой отец – отставной офицер российской армии, и воспитание в семье было "военное". Именно оно держало в тонусе и не давало "раскисать" в сложное время, особенно когда дело касалось вопросов контроля. Второй момент, который хочется отметить, – это мое

воспитание в стенах WILDBERRIES силами основателей компании. Именно тут было развеяно много мифов о том, что кто-то за нас что-то придумает и решит. Именно тут "прикипело", что если не знаешь, с чего начать, – просто сделай первый шаг, все равно куда. Не стоит держаться за якорь, когда есть паруса. Эти две мудрости от моих родителей и моей если не семьи, то близких людей и есть ответ на данный вопрос, все остальное – "вагоны" этого"локомотива".

– Интернет-магазин WILDBERRIES является крупнейшим онлайн-магазином одежды и обуви на российском рынке, однако в последние несколько лет россияне стали активно покупать товары из Китая, важнейший фактор здесь – цена. Насколько тяжело российскому e-commerce выдерживать конкуренцию? Как это отражается на WILDBERRIES? Помогают ли удобство использования сервисов и техническая оснащенность в целом в удержании клиентов? – Вопрос экспансии азиатских ритейлеров только подстегивает интерес к развитию компании. Как человек от ИТ вижу это каждый день изнутри. Уверен, что это положительный момент. Стать хорошим игроком на рынке можно только с сильным соперником. Стоимость товара на витрине интернет-магазина – это еще не финал, это всего лишь начало пути. Взгляните на события из цепочки заказа: оформление заказа, его оплата, доставка, получение, примерка и в ряде случаев возврат товара по различным причинам. Что же качественное на сегодняшний день


reviashko 7/3/18 6:40 PM Page 5

www.itsec.ru

ПЕРСОНЫ

может предложить покупателю из России, к примеру, азиатский е-com? Каковы его сильные стороны? Можно было бы сказать о стоимости, но статистика неумолима (говоря о рынке одежды и обуви): половина заказанного вернется к продавцу по банальной причине "размер не подошел". Сталкивался с ситуацией возврата у одного из крупнейших азиатских продавцов – настолько это небыстрое и недешевое "приключение", что купленный товар остался у меня, а денежные средства у продавца. Много общаюсь с людьми – мой случай не единичен. Понимая важность качества сервиса (удобство оплаты, короткие сроки доставки, удобные примерочные), мы вкладываем много усилий в его улучшение. Так что стоимость – это не первое, на что обратит свое внимание покупатель, особенно если он постоянный. В настоящее время говорить о полноценной конкуренции (одежда и обувь) с азиатскими продавцами не приходится, но мы не расслабляемся. Ведь в век ИТ все происходит очень быстро и еще свежи воспоминания о тех, кто этого не понял. Например, Polaroid, Nokia, Kodak. Если говорить о сервисах и техническом оснащении, то технологии можно купить довольно быстро. При этом вопрос адаптации этих технологий под быстро меняющийся мир становится во главу угла. Важна скорость изменений. Неважно, идет ли речь о применении искусственного интеллекта, нового подхода к приемке товара или складской логистике – затянешь на полгода, и существование компании может быть под угрозой. Чтобы реагировать на новые вызовы времени быстрее, мы, сотрудники ИТ, стараемся делать все своими руками. – В чем заключается стратегия развития информационной безопасности вашей компании? – Как ни странно, в повышении уровня осведомленности в области ИБ сотрудников и клиентов, в частности это касается и посещения специализированных мероприятий по

информационной безопасности. В наше время "больших изменений" просто нереально донести до всех сотрудников информацию о новых видах угроз и новых вызовах. Поэтому стратегия развития и поддержания ИБ-культуры компании "отпрыгивает" от базовых и систематических теоретических занятий – важно заложить основу и научить людей подключать свои знания во время ежедневной работы. До людей обязательно требуется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных примерах – выбивать клин клином, говоря языком "торговли страхом". К примеру, обращаем внимание сотрудников на то, что письмо от недовольного клиента с угрозами не всегда таковым является. Классика жанра: отправитель любыми способами пытается заставить читателя открыть прикрепленные к письму файлы. Историю с подобием шифровальщика проходили, и ключевым моментом для сотрудников является то, что это было в наших стенах, хоть и давно.

– Часто можно слышать, что e-commerce с точки зрения высоких технологий не считается самым продвинутым сектором, за исключением разве что Amazon. Какими наработками вы пользуетесь? – Как ни странно, но у большинства моих знакомых не из ИТ сложилась именно такая картина: e-com – это просто магазин и в нем нет "космических" технологий. Не согласен с подобной точкой зрения, если речь идет о крупном онлайн-ритейлере. Ведь своевременное применение в бизнесе новшеств – это, скорее всего, либо дополнительная прибыль, либо уменьшение расходов. Это, в частности, касается и подхода к разработке, если говорить о применении Agile-практик. Мне сложно представить современный интернет-магазин без обработки большого объема данных и применения

искусственного интеллекта, формирующего товарные предложения для клиентов. В стенах нашей компании используется и то, и то, реализованное силами наших специалистов. Находясь под прицелом недовольных конкурентов и вымогателей, большой онлайн-ритейлер, в частности наша компания, так или иначе подвергается DDoS-атакам. Именно современные технологии анти-DDoS помогают обеспечить стабильную работу ресурса. Вернемся к вопросу возврата одежды. Клиенты, не понимая, какой размер им подойдет, заказывают несколько. Что не подошло – возвращают. Как обеспечить клиентов возможностью точно подобрать, например, размер обуви? Ведь один и тот же размер отличается среди производителей. Снова приходят на помощь технологии. В настоящее время мы запустили проект, посредством которого информационная система формирует 3Dмодель ступней клиента и помогает выбрать обувь с высокой точностью. Что касается контроля "тягачей" в нашей логистике, отмечу использование GPS/GLONASS и датчиков топлива – на сегодняшний день это не "космическая", но все же действенная технология.

В наше время "больших изменений" просто нереально донести до всех сотрудников информацию о новых видах угроз и новых вызовах. Поэтому стратегия развития и поддержания ИБкультуры компании "отпрыгивает" от базовых и систематических теоретических занятий – важно заложить основу и научить людей подключать свои знания во время ежедневной работы. До людей обязательно требуется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных примерах – выбивать клин кли-

– Сегодня невозможно представить себе онлайнмагазин без приложения для смартфона. На конец мая 2018 года ваше приложение в Google Play скачали более 5 млн раз. Для магазина это и хорошо, и плохо, так как при увеличении числа пользователей увеличиваются и риски компании. Какие топ-5 видов атак на приложение вы можете выделить? – В данном случае абсолютно солидарен с OWASP MOBILE. Это, во-первых, небезопасное хранение данных. Во-вторых, неиспользование возможностей платформы. В-третьих, отладочные backdoor’ы. В-четвертых, небезопасная авторизация и, наконец, фальсификация кода.

ном, говоря языком "торговли страхом".

• 5


reviashko 7/3/18 6:40 PM Page 6

В ФОКУСЕ

Чтобы не допустить в будущем атаки на ваши Web-приложения, обращайте внимание разработчиков на то, что они сохраняют, к примеру, в LOG-файлы. Вроде бы банально звучит, но это один из самых популярных ляпов в мире!

В стенах компании WILDBERRIES умение быстро меняться "на ходу" – это не ожидание, а, скорее, требование.

– В чем их особенности? – В одном из предыдущих номеров* уже освещал тему безопасности мобильных приложений, но повторение в ИБ только на пользу. Общемировая практика атак на мобильные приложения показывает, что нередко "нападающий" получает возможность нападения за счет добытой информации из, в частности, лог- и манифестфайлов, баз данных и cookies-файлов, которые хранят ее в открытым виде. Периодически в лог-файлы сохраняются ошибки, содержащие информацию о типах используемого программного обеспечения на серверной стороне. Кроме того, есть случаи, когда в описаниях ошибок есть логин и пароль для подключения к базе данных. Попавшие в руки злоумышленника авторизационные cookies-файлы будут проанализированы. В лучшем случае пострадает один пользователь. В худшем может получиться так, что атакующий сможет понять механизм авторизации и при помощи подмен получить доступ к большинству личных кабинетов пользователей, где могут храниться персональные данные или, к примеру, данные для проведения оплат. Так уж сложилось, что есть несколько популярных мобильных платформ и в идеале под каждую требуется держать свою команду разработчиков. Это позволит погрузиться в особенности платформы. Но по факту в целях экономии на одних и тех же разработчиков могут быть возложены обязанности ведения проектов на двух, а то и на трех платформах. Кроме того, нередко прибегают к использованию универсальных решений, благодаря им становится возможным написание единого кода, который в дальнейшем будет применяться к проекту на требуемой платформе. Все это ведет к тому, что не учитываются (или слабо учитываются) особенности той или иной платформы, включая набор средств безопасности, разработанных конкретно для той или иной операционной системы (далее ОС), а также рекомендации производите-

лей. Для наглядности можно рассмотреть безопасное хранилище IOS Keychain – защищенное место для хранения секретных данных приложений и самой ОС. Данные о сессиях, паролях и т.п., хранящиеся не в этом хранилище, а, например, в локальном, доступны злоумышленнику. Часто разработчики оставляют для себя "лазейки" с благими намерениями: быстро проверить тот или иной функционал, посмотреть, что доступно самому привилегированному пользователю без авторизации. Либо делают волшебную кнопку отключения двухфакторной авторизации, чтобы не тратить время на вход в приложение по полному циклу. И весь этот арсенал может стать доступным человеку, способному на атаку через приложение! Простой пример. Человек зарегистрировался в мобильном приложении, указав номер контактного телефона, который принадлежит человеку с приличной суммой на счете. Через оставленную разработчиками "лазейку" отключил СМС-подтверждение (проверку на владение телефонным номером). Попросил систему восстановить логин и пароль по СМС. В мировой практике использования мобильных приложений нередки случаи, когда решение об авторизации принимает приложение и серверная часть доверяет этому решению. Таким образом, разработчики открывают двери злоумышленникам и подвергают систему атаке, которая именуется "небезопасная авторизация". Серверная сторона может быть богата на различные методы, от предоставления данных для отчетов до редактирования прав доступа. Авторизовавшись в приложении с самыми простыми правами, для которых само же приложение и ограничивает набор серверных методов, атакующий подбирает вызов методов для более привилегированных пользователей. Что касается фальсификации кода, то серверная сторона всегда должна с опаской относиться к запросам своей "второй половинки" – мобильному приложению, ведь логику работы установленного

мобильного приложения можно скорректировать в интересах злоумышленника. Более того, ранее были случаи, когда оригинальные приложения модифицировались силами "плохих ребят" и выкладывались в официальные "места раздачи".

– Какие шаги необходимо предпринять, чтобы не допустить этого в дальнейшем? – Заставлять изучать информацию о том, как устроена та или иная система, какие возможности она предоставляет и какие ограничения накладывает. Обязательно использовать безопасное хранилище платформы. Обращать внимание разработчиков на то, что они сохраняют, к примеру, в LOGфайлы. Вроде бы банально звучит, но это один из самых популярных ляпов в мире! Шифрование криптостойкими алгоритмами и детальная проработка потоков сохраняемой информации в данном случае позволит минимизировать угрозы атак либо свести их к нулю. Кроме того, необходимо проверять привилегии авторизованного пользователя на серверной стороне на предмет возможности использовать тот или иной метод. Для готового продукта использовать защитный подход Оbfuscating (запутывание). Стоит также убедиться, что каналы передачи данных защищены. Нельзя защитить приложение, передавая информацию с использованием некриптостойких алгоритмов, и не стоит верить информации, которая передается без контрольного значения. – Что нового ожидается в ближайшее время в вашем приложении? – В этом году запустим более совершенный механизм распознавания одежды. Это когда вы фотографируете, к примеру, куртку своего знакомого, а приложение (на основе сделанного фото) показывает вам похожие куртки из каталога нашего магазина. Сейчас также запускаем проект, посредством которого клиент сможет с высокой точ-

* Ревяшко А. Защита Web-приложений // Information Security. – 2017. – № 5. – С. 14–15.

6 •


reviashko 7/3/18 6:40 PM Page 7

www.itsec.ru

ПЕРСОНЫ

ностью подобрать себе обувь нужного размера. Это будет происходить за счет формирования 3D-модели ступней клиента и не без участия мобильного приложения.

– Идеология Agile в настоящее время переживает настоящий бум: на рынке выигрывает тот, кто первым максимально эффективно реагирует на малейшее изменение конъюнктуры. Но нужна ли она для информационной безопасности? В чем ее преимущество? – Вопрос скорости реагирования на изменения в современном мире стоит довольно остро. Как говорил классик, "пока семь раз отмеришь, кто-то уже отрежет". Так же и в жизни e-com: кто не успел, тот опоздал, упустил, закрылся. Не исключение и служба информационной безопасности. Это просто адаптация ИБ к требованиям нового времени. Речь идет, скорее, не о преимуществах Agile в ИБ, а о том, как выжить паре бизнес + ИБ в эпоху Agile, если ее так можно назвать. Понимая суть Agileпринципов, ИБ должна трансформироваться с их учетом. И есть реальные примеры того, что ИБ способна работать на высокой скорости изменений. К примеру, наша компания. – Как обеспечить кибербезопасность Agile-проектов и реализуемых продуктов? – Мне сложно представить работу безопасников с классическим подходом в Agileпроектах. Ведь, будучи замыкающим звеном, ИБ становится "бутылочным горлышком" и начинает приостанавливать развитие бизнеса. Такая ситуация опасна как для бизнеса, так и для ИБ. В данном случае от ИБ требуется адаптироваться к быстрым изменениям – перестать быть проблемным местом в цепочке решения бизнес-задач нашего времени. Главным вопросом в сложившейся ситуации становится осознание того, что можно вынести из задач ИБ на более ранние стадии того или иного проекта. Уверен, что это на сегодняшний день единственный дееспособный подход к

обеспечению достойного уровня ИБ на Agile-проектах. Все остальное просто переходит в плоскость средств достижения результатов, в частности работа с людьми в области повышения уровня осведомленности в ИБ.

– Agile бросает вызов кибербезопасности. Что вы ждете от своих сотрудников? – Возможно, будет сказано громко, но сотрудники нашей компании уже воспринимают планы глобального характера как некий ориентир, но не задачу и находятся в постоянной готовности к изменениям, в частности, в области ИБ. Дело в том, что в современном мире компании все больше и больше начинают "крутиться" вокруг приложений, но не наоборот. И получается так, что, проектируя тот или иной сервис, то или иное приложение, люди проектируют и сам бизнес в масштабах отдельно взятой задачи. И речь уже идет не об угрозах кибербезопасности со стороны Agile, а об угрозах для бизнеса. Безусловно, такая ситуация недопустима. Поэтому, отвечая на данный вопрос, заявляю: в стенах нашей компании умение быстро меняться "на ходу" – это не ожидание, а, скорее, требование. То же самое касается и большей части ценностей и принципов Agile. – Можете привести пример кейса применения Agile к информационной безопасности в компании WILDBERRIES? – Долгое время в компании был монолитный ИТ-отдел с единым окном по решению задач. В какой-то момент наш монолит стал подводить бизнес по скорости: где-то это были затяжные ИБ-вопросы на стадии вывода проекта на финишную прямую, где-то отсутствие должным образом составленного ТЗ. Так или иначе, при возникновении вопросов к проектам на заключительных стадиях переделка функционала оставляла желать лучшего, если говорить о сроках реализации. Помимо всего прочего в процесс вклинивались задачи с большим приоритетом, что еще больше затягивало реа-

лизацию. Что-то надо было делать с этой ситуацией. Бизнес не мог так долго ждать – конкуренты ведь не дремлют. Уже позже нам стало понятно, что мы стремились к ценностям Agile, но на момент становления нового подхода к разработке (именно она была двигателем ИБ в компании на тот момент) в компании ориентировались на свое видение ситуации изнутри. Во время трансформации департаментов перед нами стояла глобальная задача – воспитать новое поколение сотрудников, которые представляли бы из себя некий симбиоз бизнес + разработчик + безопасник. Понимание должно было прийти к каждому из участников: бизнес должен был понять, что такое разработка (включая моменты и ограничения ИБ), а разработка – научиться понимать бизнес и его бизнес-процессы. Для достижения результата по данной задаче мы пошли не проектным путем в его классическом понимании, а наделили каждый департамент своим ИТ-отделом. Теперь каждый руководитель департамента является руководителем своих ИТ-проектов и на его плечах, в частности, лежит ответственность за ИБ того или иного проекта. Прямая заинтересованность руководителей департаментов в ИБ, теперь уже Agile-проектов, – вот куда сместился вектор. Это стало своеобразным "эффектом бабочки". Так, мои собеседники удивляются тому, что сотрудники, к примеру, контактного центра знают, что такое 152-ФЗ и что попадание в информационную систему данных платежных карт недопустимо – это повод отреагировать через инцидент ИБ.

В современном мире компании все больше и больше начинают "крутиться" вокруг приложений, но не наоборот. И получается так, что, проектируя тот или иной сервис, то или иное приложение, люди проектируют и сам бизнес в масштабах отдельно взятой задачи. И речь уже идет не об угрозах кибербезопасности со стороны Agile, а об угрозах для бизнеса. Безусловно, такая ситуация недопустима.

– Каких результатов удалось добиться благодаря этому? – ИБ нашла свой путь в наших Agile-проектах. Получилось не только сместить ИБпроверки проектов на более ранние стадии и интегрировать их в процесс самой разработки, но еще и заинтересовать сам бизнес в повышении уровня ИБ в департаментах. Ключевой показатель – количество выкладок новой версии основного сайта – у нас может доходить до трех в неделю.

• 7


reviashko 7/3/18 6:40 PM Page 8

В ФОКУСЕ

Во время трансформации департаментов перед нами стояла глобальная задача – воспитать новое поколение сотрудников, которые представляли бы из себя некий симбиоз бизнес + разработчик + безопасник. Понимание должно было прийти к каждому из участников: бизнес должен был понять, что такое разработка (включая моменты и ограничения ИБ), а разработка – научиться понимать бизнес и его бизнес-процессы.

– Многие руководители ИТ- и ИБ-подразделений отмечают нехватку квалифицированных кадров. Как в WILDBERRIES вы решаете эту проблему? – Не хватает – это правда. И беда здесь не в отсутствии или плохой доступности информации об ИБ, а, с одной стороны, в отсутствии в ряде случаев должного желания и стремления самих специалистов развиваться. С другой стороны, количество изменений, которые претерпевают современные и быстрорастущие информационные системы, настолько велико, что нереально содержать такое количество ИБ-специалистов, чтобы успевать за этими изменениями. Для себя мы нашли выход в том, чтобы делегировать ИБпроверку конечного продукта на более ранних стадиях. К примеру, на стадии разработки, если говорить о Webприложении. Это становится возможным за счет постоянной и системной кооперации с разработчиками в области безопасной разработки, а также с отделом глобальных ресурсов и отделом администрирования. На наших встречах с новыми ИТ-сотрудниками компании мы делимся информацией о собственных внутренних стандартах безопасного взаимодействия с внешними сервисами. Разбираем случаи неправильных подходов с объяснением, почему так нельзя и к чему это может привести. Данный подход не ликвидирует позицию ИБ-специалиста в компании, он в значительной мере помогает. – Человеческий фактор по-прежнему остается одним из самых сложно контролируемых элементов в ИБ. Как вы решили проблему осведомленности сотрудников по части информационной безопасности? Удалось ли вам превратить сотрудников в сознательных пользователей, которые не создают лишних проблем безопасникам? – Человеческий фактор, к сожалению, есть и будет. Поэтому хочется сказать, что в стенах нашей компании, несмотря на прилагаемые уси-

8 •

лия, этот вопрос не закрыт: появляются новые сотрудники, новые технологии, новые внешние партнеры и т.д. Для нас вопрос человеческого фактора – это постоянная работа, он постоянно открыт. Ставим своей целью донести до людей, как сотрудников, так и клиентов, информацию о базовых вещах: социальная инженерия, "торговля страхом". Считаю, что смысл этих понятий, как самых распространенных, нужно более доходчиво доносить до сотрудников, чтобы они становились теми самыми сознательными пользователями. Мы идем этим путем, но не уверен, что проблем у безопасника станет меньше, ведь компания растет. Про человеческий фактор в разработке – OWASP, OWASP и еще раз OWASP.

– Работаете ли вы над повышением грамотности в области информационной безопасности с вашими клиентами? Как вы это делаете? – Да, такая работа в стенах компании проводится. Так уж сложилось, что информации по повышению уровня осведомленности в области ИБ много, а время на ознакомление и готовность к восприятию этой информации у клиентов не всегда имеются в том объеме, в котором нам бы хотелось. Но мы не отступаем. Помимо стихийных e-mail-рассылок с предупреждениями о возможных угрозах мы завели специальный раздел о ИБ на нашем сайте. В данном разделе стараемся коротко и по делу донести до людей информацию о мерах предосторожности. Кроме того, планируем запуск подсказок в стиле "знаете ли вы", которые будут появляться при входе в личный кабинет, так как привод людей на страничку по ИБ – это особая история. В первую очередь обращаем внимание клиентов на то, что использование одинаковых паролей на разных ресурсах, к примеру на нашем сайте и на серверах e-mail, может привести к доступу к их личному кабинету различного рода хулиганов, и это произойдет не по нашей вине. Ведь дело в том, что не все операторы сторонних сервисов (e-mail-

операторы, интернет-сообщества, различные форумы) пришли к тому, чтобы хранить не пароли клиентов, а, к примеру, результаты выполнения хешфункций от пароля. В результате такого подхода в сеть уходят, в частности, авторизационные данные. Совсем необязательно, что данные ушли по причине кибератаки на подобного рода ресурс, – это вполне мог сделать нечистый на руку администратор. Стараемся находиться в постоянном контакте с нашими клиентами, в частности, по вопросам информационной безопасности. Принимаем пожелания. Так, на нашем сайте в какой-то момент появилась двухфакторная авторизация – по связке логин/пароль + код из СМС.

– Какие рекомендации вы можете дать нашим читателям по обеспечению ИБ в ритейле? – Не ленитесь проводить работу по повышению уровня осведомленности в области ИБ для своих клиентов. Обращайте внимание ваших Webразработчиков на проект OWASP – даже сегодня не все опытные разработчики знают о существовании этого проекта, а зря. Не подвергайте бизнес опасности – проверяйте своих партнеров. К примеру, у нас есть история взаимодействия с одним крупным отечественным оператором постоматов, который сэкономил на информационной безопасности, в результате чего произошли потери. Как выяснилось, даже связку логин/пароль своих партнеров оператор хранил в открытом виде в своей системе, к которой имели доступ все менеджеры по продажам. Наряду с предоставлением API по HTTPS была доступна версия API с использованием протокола HTTP. Как позже выяснили, выданный нам пароль со строчными и заглавными буквами с цифрами оказался регистронезависимым, что существенно сокращало количество комбинаций для перебора со стороны потенциальных вредителей. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


zemkov 6/29/18 7:19 PM Page 9

www.itsec.ru

В ФОКУСЕ

Хакеры заставили бизнес платить за безопасность

В

прошлом году “Лаборатория Касперского” провела опрос среди российских компаний. Результаты оказались неутешительными: каждая из компаний хотя бы раз сталкивалась с тем или иным видом киберугроз.

По результатам опроса 41% компаний пострадали от вредоносной программы в инфраструктуре и 32% – от DDoSатак. 35% респондентов отметили, что их сотрудники использовали зараженные устройства, а в 30% случаев теряли электронные носители с корпоративной информацией. 33% компаний сталкивались с ненадлежащим использованием ИTресурсов сотрудниками. Специалисты связывают рост покушений на систему безопасности с переходом экономики на цифровой формат. Чтобы избежать финансовых потерь из-за хакерских атак, бизнесмены готовы вкладывать все больше и больше средств на инфобезопасность. В ближайшие три года 33% респондентов планируют увеличить бюджет на ИТ до 10–29%. 24% компаний поднимут финансирование этой сферы на 1–9%, а 8% признались, что вдвое увеличат расходы на безопасность. У 35% компаний затраты будут связаны с усложнением ИТинфраструктуры, 33% повысят профессиональный уровень сотрудников, а 30% считают, что им необходимо соответствовать требованиям регуляторов. При этом только 27% организаций увеличат бюджет на безопасность из-за недавних кибератак. От шпионажа, взлома сетей, целевых и DDoS-атак страдают предприятия всего мира. Под прицелом преступников все чаще оказываются нефтеперерабатывающие заводы и газопроводы. Сбой в их работе влечет за собой значительные последствия для большого числа заинтересованных лиц.

Кибератаки на финансовые предприятия Нередко с кибератаками сталкиваются и предприятия финансовой сферы. В мире 40% таких компаний пострадали от DDoS-

и 39% – от целевых атак. Атакам на интернет-банкинг подверглись 21% респодентов, 45% опрошенных использовали зараженные устройства. У 41% банков клиенты становились жертвами фишинга и социальной инженерии. В России эта проблема актуальна для сферы здравоохранения, производства и промышленности, розничной торговли и ритейла. Как отмечают эксперты, проблема крупного бизнеса – в управлении работой разрозненных команд, сложная гетерогенная среда и защита распределенного периметра ИБ.

Переход от массовых атак к таргетированным Традиционные средства безопасности больше не работают: опытные хакеры без труда справляются с ними. Чтобы противостоять мошенникам, специалистам российского бизнеса необходим высокий уровень знаний в сфере ИT, умение своевременно распознать такие кибератаки. "Становится крайне важным использование современных технологий и знаний, а также комплексный подход к построению системы ИБ, – подчеркнул Сергей Земков. – В первую очередь нужно уделять большее внимание технологиям обнаружения активного заражения, в то время как современные средства защиты нацелены на предотвращение заражения, и в случае, если оно произошло, не способны обнаруживать его в динамике. В целом движение идет в сторону специализированной комплексной защиты, включающей в себя технологии искусственного интеллекта и машинного обучения. И именно это направление будет активно развиваться в ближайшее время". Среди опрошенных организаций 23% считают, что недостаточно защищены программным обеспечением от сложных атак,

а 23% недостаточно оснащены, чтобы обеспечить защиту данных и требования регуляторов. Предприятиям – операторам критической инфраструктуры нужно использовать решения для ее защиты именно от киберугроз. Для крупных компаний актуальны традиционная защита конечных станций и периметра сети, развитие решений по борьбе с таргетированными атаками (и использование ряда таких дополнительных сервисов, как ИБ-аудит, тестирование на проникновение, тестирование безопасности приложений, расследования инцидентов ИБ и др.), защита виртуализации и решения для ЦОД, решения для защиты устройств вне периметра сети – мобильных, рабочих ноутбуков, планшетов (Mobile Device Management (MDM) и Enterprise Mobility Management (EMM), управление мобильными устройствами. При комплексном подходе необходимо повышать уровень специалистов, не пренебрегать образовательными программами для сотрудников в сфере информационной безопасности. Тенденции развития российского рынка и подход к информационной безопасности схожи с мировыми, а рост главным образом связан с деятельностью регуляторов и принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (№ 187-ФЗ). Значительный вклад внесли крупные эпидемии шифровальщиков, таких как Wanna Cry, ExPetr, Bad Rabbit, а также продолжающиеся проекты в рамках импортозамещения. Немаловажным фактором в развитии информационных технологий и ИБ стала программа "Цифровая экономика". l Ваше мнение и вопросы присылайте по адресу

"Ущерб от инцидентов кибербезопасности постоянно растет: компаниям приходится иметь дело со множеством последствий – от дополнительной работы с общественностью до найма новых сотрудников, – рассказал управляющий директор "Лаборатории Касперского" в России и СНГ Сергей Земков. – В этом году также продолжается рост финансовых потерь в случае возникновения киберинцидентов. Это не может не повлечь за собой эволюцию взглядов: компании перестают видеть в затратах на ИБ необходимое зло и начинают рассматривать их как инвестиции, которые позволят избежать значительных денежных потерь от действий киберпреступников. Средний ущерб от успешной атаки для крупных предприятий оценивается в 14 млн руб. В эту сумму включается и упущенная выгода, и затраты на наем новых сотрудников/дополнительные выплаты текущим сотрудникам, и расходы на привлечение сторонних экспертов и обучение сотрудников информационной безопасности, и инвестиции в дополнительное оборудование".

"Сегодня крупные предприятия должны окончательно отказаться от возведения "нерушимых" периметров безопасности и выстраивать комплексную адаптивную защиту", – полагает Сергей Земков.

is@groteck.ru

• 9


komarov 6/29/18 7:19 PM Page 10

ПРАВО И НОРМАТИВЫ

Уголовно-правовые риски субъектов КИИ Валерий Комаров, аудитор ИБ, отдел методологии информационной безопасности, управление информационной безопасности, ДИТ города Москвы

В

Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.

Законодательством Российской Федерации с 01.01.2018 для субъектов КИИ предусмотрена административная ответственность за несоответствующее обеспечение безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – значимые ОКИИ) и уголовная ответственность за нарушение установленных правил эксплуатации объектов критической информационной инфраструктуры Российской Федерации (далее – ОКИИ), если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации (см. табл. 1). При этом субъектам КИИ необходимо помнить о сроках давности по таким преступлениям. Важно также отметить, что основным надзорным органом, привлекающим субъектов КИИ к уголовной ответственности, является ФСБ России1. ФСТЭК России уполномочен в проведении государственного контроля в отношении субъектов КИИ, владеющих значимыми ОКИИ [2]. Отдельно выделим риск дисквалифика1

2

10 •

статье анализируются особенности привлечения к уголовноправовой ответственности организаций, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности (далее – субъекты КИИ). ции должностных лиц субъектов КИИ, владеющих значимыми ОКИИ, за невыполнение в срок законного предписания ФСТЭК России об устранении нарушений законодательства2. Интересный нюанс: руководители субъекта КИИ привлекаются к административной ответственности за нарушения на значимых ОКИИ, а к уголовной ответственности привлекаются технические специалисты любого субъекта КИИ. Важной особенностью является тот факт,

что требования к защите информации законодательно установлены только для значимых ОКИИ [3]. Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по пп. 3–5 ст. 274.1 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации,

Наибольшую озабоченность у субъекта КИИ вызывает угроза уголовной ответственности по пп. 3–5 ст. 274.1 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационнотелекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации" [1]. Прецеденты возбуждения уголовных дел по данной статье УК РФ в средствах массовой информации не опубликованы.

Ст. 151. Подследственность. Предварительное следствие производится: следователями органов федеральной службы безопасности – по уголовным делам о преступлениях, предусмотренных ст. 189, 200.1 ч. 2, 205, 205.1, 205.2, 205.3, 205.4, 205.5, 208, 211, 215.4 ч. 2 п. “б", 217.1, 226.1, 229.1, 274.1, 275 – 281, 283, 283.1, 284, 322 ч. 3, 322.1 ч. 2, 323 ч. 2, 355, 359 и 361 Уголовного кодекса Российской Федерации [1]. Ст. 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), организации, уполномоченной в соответствии с федеральными законами на осуществление государственного надзора (должностного лица), органа (должностного лица), осуществляющего муниципальный контроль [4].


komarov 6/29/18 7:19 PM Page 11

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Таблица 1. Уголовно-правовые риски субъекта КИИ или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации" [1]. Прецеденты возбуждения уголовных дел по данной статье УК РФ в средствах массовой информации не опубликованы. К попыткам прогнозирования применения пп. 3–5. ст. 274.1 УК РФ на основе правоприменительной практики ст. 274 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей", введенной в Уголовный кодекс еще в 1996 г. в формулировке "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети", следует относится очень осторожно. Вероятнее всего будут распространены на пп. 3 – п. 5 ст. 274.1 УК РФ следующие позиции надзорных органов ст. 274 УК РФ [6]: 1. Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и

Ответственность

Наказание

Срок дав- Тип ОКИИ ности, лет

Административная, Штраф от 2 до 4 тыс. руб.

1

Значимый

1

Значимые

1

Значимый

10

Все

10

Все

10

Все

КоАП РФ ст. 19.4. п.1 [4] Административная, Штраф от 3 до 5 тыс. руб. КоАП РФ ст. 19.7 [4] Административная, Штраф от 10 до 15 тыс. руб. КоАП РФ ст. 13.12. п. 6 [4] Уголовная, за

Принудительные работы на срок до 5 лет

тяжкое преступ-

с лишением права занимать определенные

ление, УК РФ

должности или заниматься определенной

ст. 274.1 ч.3 [5]

деятельностью на срок до 3 лет или без такового либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового

Уголовная, за

Лишение свободы на срок от 3 до 8 лет

тяжкое преступ-

с лишением права занимать определенные

ление, УК РФ

должности или заниматься определенной

Ст. 274.1 ч.4 [5]

деятельностью на срок до 3 лет или без такового

Уголовная, за

Лишение свободы на срок от 5 до 10 лет

тяжкое преступ-

с лишением права занимать определенные

ление, УК РФ

должности или заниматься определенной

ст. 274.1 ч.5 [5]

деятельностью на срок до 5 лет или без такового

оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информацион-

ную систему, договорах, соглашениях и иных официальных документах. 2. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными другими статьями УК РФ. 3. Субъективная сторона состава данного преступления

• 11


komarov 6/29/18 7:19 PM Page 12

ПРАВО И НОРМАТИВЫ Таблица 2. Особенности применения ст. 274.1 УК РФ Особенность

Ст. 274

Ст. 274.1

Порог ущерба для

Более 1 000 000

Более 0

наступления ответственности, руб. Объективная сторона

Нарушение правил эксплуатации,

Любое нарушение правил

преступления

повлекшее уничтожение, блокиро-

эксплуатации, повлекшее

вание, модификацию либо копиро-

нанесение вреда КИИ

вание компьютерной информации Срок давности, лет

2

До 10

Мера пресечения

Подписка о невыезде

Помещение под арест в СИЗО

Органы следствия

МВД

ФСБ

Объект преступления

Информация

Инфраструктура + информация

на период следствия

характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, Мероприятия по минимизации рисков для организации: 1. Внеплановую классификацию информационных систем для всех организаций – владельцев информационных систем. Необходимо документально зафиксировать, что конкретная информационная система не является ОКИИ. 2. Минимизировать количество оборудования, входящего в состав ОКИИ. 3. Актуализировать инструкции по эксплуатации оборудования ОКИИ, с целью минимизации рисков по привлечению к уголовной ответственности за ее нарушение. 4. Следует очень аккуратно подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.

работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы). Отличия применения статей УК РФ за нарушение правил эксплуатации информационной системы и правил эксплуатации ОКИИ (отличие ст. 274 от пп. 3–5 ст. 274.1 УК РФ) приведены в табл. 2. Ключевые особенности применения пп. 3–5. ст. 274.1 УК РФ:

12 •

1. Нет исключений применения статьи для ОКИИ, которым не присвоена категория значимости. По сути, уже сейчас ее можно применять к любому субъекту КИИ, даже если он не провел категорирования объектов. Достаточно будет экспертного заключения от ФСБ, что поврежденная ИС организации функционирует в сферах деятельности из 187-ФЗ. 2. Расследовать будет следственное управление ФСБ России. 3. Суды предпочитают не отказывать следователем ФСБ, на это есть отдельные объективные причины. 4. Так как прописано нанесение вреда "критической инфраструктуре РФ", а не "компьютерной информации", размер вреда легко рассчитывается следователем и доказывается в суде. 5. Создание системы безопасности (не только информации, но и физической/промышленной и т.д.) по требованиям ФСТЭК России [4] усугубляет ситуацию для субъекта КИИ, так как нарушение правил эксплуатации на оборудовании из ее состава, повлекшее нанесение вреда, – это те же пп. 3–5 ст. 274.1 УК РФ. 6. Статья очень удобная для следователя: большой срок давности позволяет не спешить с следственными действиями, есть возможность "надавить" на подозреваемого путем помещения его в СИЗО, наказание серьезное – отличная отчетность и показатели. Учитывая вышесказанное, рекомендуется провести следующие мероприятия по минимизации рисков для организации: 1. Внеплановую классификацию информационных систем

для всех организаций – владельцев информационных систем. Необходимо документально зафиксировать, что конкретная информационная система не является ОКИИ. 2. Минимизировать количество оборудования, входящего в состав ОКИИ. 3. Актуализировать инструкции по эксплуатации оборудования ОКИИ, с целью минимизации рисков по привлечению к уголовной ответственности за ее нарушение. 4. Следует очень аккуратно подходить к проведению внутренних служебных расследований инфраструктурных инцидентов и инцидентов информационной безопасности. Необходимо понимать, что отчетные документы по результатам таких проверок могут использоваться правоохранительными органами для возбуждения уголовного дела в течение последующих 10 лет.

Литература [1] Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 № 174-ФЗ (ред. от 23.04.2018). [2] Постановление Правительства РФ от 17.02.2018 № 162 "Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". [3] Приказ ФСТЭК России от 25.12.2017 № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" (зарегистрировано в Минюсте России 26.03.2018 № 50524). [4] Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 31.12.2017). [5] Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 31.12.2017). [6] Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России). l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


samatov 7/3/18 6:40 PM Page 13

www.itsec.ru

ПРАВО И НОРМАТИВЫ

Правовые аспекты защиты коммерческой тайны на практике Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

И

нформация, составляющая коммерческую тайну, является одним из наиболее распространенных видов информации ограниченного доступа. В процессе установления режима коммерческой тайны обладатели информации нередко сталкиваются со значительным количеством проблем, успешное решение которых оказывает существенное влияние на эффективность защиты своих прав, в том числе в судебном порядке. Как правильно установить режим коммерческой тайны и как эффективно защищать права обладателя информации, автор расскажет в данной статье.

Что такое коммерческая тайна? Определения "коммерческая тайна" и "информация, составляющая коммерческую тайну" содержатся в ст. 3 Федерального закона от 29.07.2004 г. № 98ФЗ "О коммерческой тайне", в соответствии с которой: l коммерческая тайна (далее по тексту – КТ) – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; l информация, составляющая коммерческую тайну, – сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Таким образом, проанализировав определения, можно выделить следующие важные моменты, характерные для КТ:

1. КТ – это режим (некий установленный порядок) организации обработки информации ограниченного доступа. Отсюда вывод: если режим не установлен, значит нет и КТ. Пример из судебной практики. Определение Московского городского суда от 12 августа 2011 г. по делу № 33-23113: "К. обратился с иском к ООО "…" об изменении формулировки увольнения, взыскании заработной платы, обязывании выдать дубликат трудовой книжки, указывая на то, что был уволен без законного основания с нарушением установленной законом процедуры. В оспариваемом приказе от <...> года N <...> основание увольнения К. работодателем указано не было. Кроме того, сведения о том, что в соответствии с ч. 1 ст. 10 Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" работодателем были приняты меры по охране конфиденциальности информации в отношении B2B-системы, также не были представлены. В соответствии со ст. 10 Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" работодателем должны быть предприняты следующие меры: определение перечня информации, составляющей коммерческую тайну, ограничение доступа к информации, составляющей коммерческую тайну, учет лиц, получивших доступ к информации, составляющей коммерческую тайну,

регулирование отношений по использованию такой информации, нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна". При таких данных суд первой инстанции пришел к обоснованному выводу о том, что в соответствии со ст. 394 ТК РФ увольнение К. с должности <...> ООО "…" в соответствии с пп. "в" п. 6 ч. 1 ст. 81 ТК РФ следует признать незаконным, изменить формулировку увольнения на увольнение по собственному желанию и взыскать средний заработок за период вынужденного прогула". 2. Информация, составляющая коммерческую тайну, – сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность. Таким образом, обладатель информации вправе относить к информации, составляющей КТ, практически любые сведения, составляющие потенциальную коммерческую ценность, за исключением сведений, перечисленных в ст. 5 Федерального закона "О коммерческой тайне" и постановлении Правительства РСФСР от 05.12.1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну". Понятие коммерческой ценности в действующем законодательстве не определено, одна-

КТ – это режим (некий установленный порядок) организации обработки информации ограниченного доступа. Отсюда вывод: если режим не установлен, значит нет и КТ.

Информация, составляющая коммерческую тайну, может иметь ценность только в силу неизвестности ее третьим лицам и при условии, что у третьих лиц нет свободного к ней доступа, т.е. обладатель принимает меры ограничения доступа к информации.

• 13


samatov 6/29/18 7:19 PM Page 14

ПРАВО И НОРМАТИВЫ

Информация, составляющая коммерческую тайну, – сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность.

Информация, составляющая коммерческую тайну, – сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности

ко если проанализировать сущность ст. 50 Гражданского кодекса РФ и само определение КТ, то можно сделать вывод о том, что под коммерческой ценностью следует понимать прежде всего возможность получения дохода (прибыли), а также возможность избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг. Однако данный перечень не является исчерпывающим, под коммерческой ценностью можно понимать и возможность получения иной коммерческой выгоды, при условии ее надлежащего обоснования. Именно поэтому режим конфиденциальности информации, составляющей коммерческую тайну, можно ввести и в некоммерческой организации, вопреки распространенному мнению о парадоксальности наличия "коммерческой" тайны у "некоммерческого" хозяйствующего субъекта, т.к. ч. 4 ст. 50 Гражданского кодекса РФ установлено, что некоммерческие организации могут осуществлять приносящую доход деятельность, если это предусмотрено их уставами. 3. Информация, составляющая коммерческую тайну, может иметь ценность только в силу неизвестности ее третьим лицам и при условии, что у третьих лиц нет свободного к ней доступа, т.е. обладатель принимает меры ограничения доступа к информации. Меры ограничения доступа к информации как раз и образуют режим КТ.

их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

Особенности установления режима коммерческой тайны В соответствии с ч. 2 ст. 10 Федерального закона "О коммерческой тайне" режим КТ считается установленным после принятия обладателем информации, составляющей коммерческую тайну, нижеследующих мер.

Определение перечня информации, составляющей коммерческую тайну Одна из самых проблемных на практике мер. Поскольку к информации, составляющей КТ, можно относить любые сведения, за исключением прописанного в законодательстве перечня, обладатели информации нередко пытаются относить к ней максимально возможный

14 •

объем имеющейся в организации информации – так называемый тотальный подход. По мнению автора, "тотальный" подход, хотя и вполне имеет право на существование, несет в себе проблемы сложности "разумной достаточности" мер обеспечения конфиденциальности информации, составляющей КТ. Так, в соответствии с ч. 5 ст. 10 Федерального закона "О коммерческой тайне" меры по охране конфиденциальности информации признаются разумно достаточными, если: l исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; l обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны. Соответственно, при большом объеме разнородной информации и большом количестве мест ее хранения возникают следующие проблемы: 1. Как обеспечить достаточную защиту от несанкционированного доступа к такому большому объему информации, хранящейся в разных местах (на разных объектах), а также разграничить права доступа к ней работникам? 2. Как передавать информацию контрагентам, с учетом того, что включение оговорки о конфиденциальности "тотально" во все договоры может создавать проблемы при работе с теми контрагентами, у которых введен иной режим конфиденциальности информации (например, служебная тайна) или вообще никакого режима нет? В этой связи автор рекомендует использовать "тотальный" метод определения информации, составляющей КТ, только в исключительных случаях. В качестве альтернативных "тотальному" можно использовать следующие методы определения информации, составляющей КТ: l "бэнчмаркинговый" – данный метод базируется на классическом используемом в менеджменте методе "бэнчмаркинга", т.е. необходимо определить, какую информацию относят к составляющей КТ другие, схожие по профилю деятельности организации; l "метод моделирования" – моделируется поведение кон-

курентов и потенциальных нарушителей (в том числе из числа работников), выявляются их потенциальные интересы, определяется, какого рода сведения могут их заинтересовать; l "экспертный" – может быть двух видов, в первом случае эксперты выделяются из наиболее квалифицированных работников, которые проводят оценку всех информационных потоков, по итогам которой определяют перечень критичной информации; во втором случае приглашают независимых экспертов.

Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка Данный порядок должен быть установлен в утвержденном руководителем организации Положении о коммерческой тайне (впрочем, название может быть и другим). Относительно структуры Положения – автор рекомендует в обязательном порядке предусматривать в нем следующие разделы: l порядок обращения с информацией, составляющей КТ; l порядок доступа к информации, составляющей КТ, и учет лиц, получивших к ней доступ; l порядок нанесения на информацию, составляющую КТ, грифа "Коммерческая тайна"; l контроль за соблюдением порядка обращения с информацией, составляющей КТ. Непосредственно сама процедура ограничения доступа к сведениям, составляющим КТ, в законодательстве не регламентирована, поэтому обладатель информации может установить любой порядок. Единственной проблемой в части исполнения данного пункта является все та же "разумная достаточность", сформулированная в ч. 5 ст. 10 Федерального закона "О коммерческой тайне". Как на практике подтвердить, что обладателем информации предпринят "разумно достаточный" набор мер? По мнению автора, обладатель информации может считаться принявшим "разумно достаточный" набор мер, когда предусмотренная в Положении о коммерческой тайне система мер по охране конфиденциальности информации: l обеспечивает возможность санкционированного использо-


samatov 6/29/18 7:19 PM Page 15

www.itsec.ru

ПРАВО И НОРМАТИВЫ

вания информации, составляющей КТ, работниками и (или) контрагентами; l исключает несанкционированный доступ к информации, составляющей КТ, т.е. доступ к ней любым путем как со стороны постороннего лица, так и со стороны работника, не допущенного к информации, составляющей КТ. Иными словами, при разглашении, например, работником, информации, составляющей КТ, важным является вопрос: являлся ли он допущенным к указанным сведениям, есть ли он в соответствующем списке лиц, получивших доступ? В случае если работника в этом списке нет, работодатель не принял достаточный набор мер для исключения несанкционированного доступа к информации.

Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана Учет лиц, получивших доступ к информации, и (или) лиц, которым такая информация была предоставлена (передана), по сути, представляет собой процедуру фиксации факта ознакомления того или иного лица со сведениями, составляющими КТ. Процедура учета в законодательстве не регламентирована, поэтому обладатель информации должен предусмотреть ее в локальном нормативном акте, например, в Положении о коммерческой тайне. В указанном документе рекомендуется детально расписать процедуру ведения перечней работников, допущенных к информации, составляющей КТ, и журналов передачи (предоставления) информации третьим лицам. Ведение указанных журналов и перечней можно осуществлять как на бумажном носителе, так и в электронной форме, в зависимости от предпочтений. Единственное условие – форма и порядок их ведения должны быть прописаны в локальном нормативном акте.

Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров В трудовом договоре с работником должна быть предусмот-

рена его обязанность не разглашать полученные в процессе работы сведения, составляющие КТ. В противном случае привлечь его к дисциплинарной ответственности будет невозможно. Судебная практика. П. 43 Постановления Пленума Верховного Суда Российской Федерации от 17 марта 2004 г. № 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации": "В случае оспаривания работником увольнения по подпункту "в" п. 6 ч. 1 ст. 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения". При взаимодействии с контрагентами также необходимо предусматривать их обязательства по соблюдению коммерческой тайны в заключаемых с ними гражданско-правовых договорах. При этом следует отметить, что в ряде случаев у контрагента может и не быть режима КТ в силу как объективных причин (например, государственный орган), так и субъективных (ранее не было потребности в установлении режима КТ). Как быть в этой ситуации? По мнению автора, в случае если у контрагента не установлен режим КТ, необходимо либо пересмотреть перечень информации, составляющей КТ, и отказаться от включения в него указанной информации (например, утрата значимости), либо отказаться от услуг контрагента до тех пор, пока он не установит режим КТ. В случае если введен другой режим ограничения доступа к информации, например служебная тайна, предусмотреть в соглашении, что контрагент обязан обеспечивать меры по охране конфиденциальности информации в рамках установленного у него режима.

Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации В теории защиты информации принято считать, что основной целью нанесения на материальный носитель ограничительного грифа является информирование пользователя о характере содержащейся на носителе информации. Однако в судебной практике имеются диаметрально противоположные примеры. Пример из судебной практики. Апелляционное определение Московского городского суда от 26.11.2015 г. по делу № 33-44248/2015. Суд указал, что само по себе отсутствие на информации грифа "Коммерческая тайна" не освобождает работника от ответственности за разглашение информации, поскольку отсутствие грифа не означает, что в сведениях не содержится информация, составляющая коммерческую тайну. Работник имел возможность установить, что информация является коммерческой тайной, руководствуясь соответствующим локальным актом, с которым его ознакомили при приеме на работу.

Режим конфиденциальности информации, составляющей коммерческую тайну, можно ввести и в некоммерческой организации, вопреки распространенному мнению о парадоксальности наличия "коммерческой" тайны у "некоммерческого" хозяйствующего субъекта, т.к. ч. 4 ст. 50 Гражданского кодекса РФ установлено, что некоммерческие организации могут осуществлять приносящую доход деятельность, если это предусмотрено их уставами.

Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием облада-

Заключение В данной статье автор постарался изложить свое видение решения ряда спорных вопросов, связанных с определением информации, составляющей коммерческую тайну, и введением режима КТ в организации. Безусловно, в силу ограниченности объема статьи рассмотреть и проиллюстрировать примерами из судебной практики все спорные моменты не представлялось возможным, однако автор надеется, что изложенные проблемные вопросы и способы их решения помогут читателю при установлении режима коммерческой тайны в процессе практической деятельности. l

теля такой информации (для юридических лиц – полное наименование и место нахождения, для индивидуальных предпринимателей – фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 15


novoselov 6/29/18 7:19 PM Page 16

БЛОКЧЕЙН И КРИПТОВАЛЮТА

$2 млрд для криптовалют Николай Новоселов, CEO, WhiteChain

Б Во многих юрисдикциях (Япония, Евросоюз) криптовалютные операции легали-

локчейн является часто обсуждаемой темой, особенно технология и регулирование цифровых валют. Что же может дать экономике легализация криптовалют?

Производитель суперкаров Lamborghini сообщил, что благодаря энтузиастам, разбогатевшим на криптовалюте, 2017 г. стал рекордным по продажам люксовых автомобилей. 35летний программист Питер Сэддингтон приобрел Lamborghini Huracan за $200 тыс., заплатив 45 "монет", которые несколько лет назад обошлись ему в $115.

зованы, в других развитых странах платежам в криптовалюте по крайней мере не препятствуют. В США в 2016 г. было вынесено заключение Верховного суда, где прямо сказано: "Биткоин – это денежные средства". Швеция и Германия неформально признают криптовалюты, облагая налогами операции с ними.

Ключевой особенностью технологии является то, что собранная информация должна соответствовать нормам и правилам банковской работы. В такой логике как раз и работает проект WhiteChain. Общая техноло-

Что мешает компаниям получать больше прибыли от владельцев криптовалют? Узким местом является возможность доказать происхождение биткоинов, и это ограничивает потенциальный объем сделок, особенно при трансграничных операциях. Наши исследования показали, что для решения данной задачи наиболее перспективной является централизация процесса идентификации с помощью технологических платформ для сбора и контроля информации об операциях. Интеграция таких платформ с финансовыми инструментами и адаптация в разных юрисдикциях позволит ввести в "белое" правовое поле огромное количество криптовалют и клиентов, а также привлечь большие инвестиции.

гия работы кросс-чейна (блокчейна, соединяющего внутри себя публичные блокчейны, связанные с ними криптовалюты и финансовые процессинги) заключается в том, что система автоматически "собирает" из блокчейнов и финансовых компаний все события, связанные с клиентами. Потом данная информация "пересобирается" согласно стандартам и децентрализованно сохраняется в системе.

16 •

Зажатый потенциал На рынке криптовалют скрыт огромный потенциал – более 25 тыс. криптомиллионеров (по данным bitinfocharts.com). Только в биткоине эта аудитория обладает суммой более чем $100 млрд; примерно столько же распределено и по другим криптовалютам. А это больше половины объема капитализации всего крипторынка. Здесь проходят миллиарды операций, которые невозможно обрабатывать в ручном режиме.

Целевой рынок Где могут быть использованы эти $200 млрд? Давайте посчитаем наиболее "горящие" рынки: 1. FinTech/blockchain, $130 млрд: l частные расчеты между пользователями. В случае мошеннических действий клиент может доказать, что конкретная криптовалюта (вплоть до блока) принадлежала ему; l P2P-торговля: возможность доказать факт криптосделки регулирует и автоматизирует маркетплейсы и частные продажи. Особенно это важно для удаленной работы, где нет возможности составления бумажного документа, а услуги эксроу-посредника дороги; l фиатные смарт-контракты. Мир программируемых и автоматизируемых действий, который активно развивается в криптовалютах, будет востребован и в классической финансовой сфере. 2. LegalTech, источник KYCинформации, $640 млрд: l для участников рынка. Без KYC/AML-процедур в реальном времени невозможно идентифицировать клиента и проводить комплайнс его активов, что не дает возможность создать полностью криптовалютные финансовые организации; l для сторонних систем и сервисов это становится инструментом улучшения модели скоринга и, как следствие, уменьшения рисков. 3. Real Estate and private equety $1394 млрд: l инвестиции из криптовалюты в частные активы (в т.ч. для получения гражданства или ПМЖ). Для проведения данного класса операций клиент должен пройти глубокий анализ, в т.ч. и с точки зрения происхождения собственных средств;

l совместное инвестирование в различные виды активов, особенно в случае трансграничных приобретений. Здесь важно прохождение AML, которое также включает в себя анализ происхождения средств клиента.

Всего более $2 млрд! Тот, кто пользуется электронными деньгами, всегда может предоставить выписку из онлайн-банка о переводе денег по тому или иному адресу. А происхождение средств часто доказывается простой справкой из банка. В криптовалютах такой возможности практически не существует, и даже одно небольшое нововведение открывает новые горизонты ее использования. Для раскрытия этого рынка нужно всего лишь высвободить уже существующий потенциал. И все.

Что дальше? Общий объем транзакций в криптовалютах в мире пока составляет сотые доли процента от объемов, которые проходят через традиционные платежные системы. Объем платежей по карте Visa в 2017 г. увеличился на 41% ($7,3 трлн), MasterCard только за один квартал прошлого года увеличил объем транзакций на 10% ($1,4 трлн). Крупнейший поставщик биткоин-платежей в мире – американская компания BitPay за 2017 г. доросла лишь до оборота в $1 млрд. Таким образом, создание простого и защищенного способа использования криптовалют и диджитал-активов многократно увеличит количество активных клиентов и даст возможность действительно широкого использования криптовалют. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


IB_Monitor 6/29/18 7:20 PM Page 17


skorodumov 7/3/18 7:09 PM Page 18

СПЕЦПРОЕКТ

Роль DLP-системы при реализации комплексной защиты от утечки данных Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), Банк “Санкт-Петербург”

“К

Исторически одной из основных функций DLPсистемы является защита от утечек через конкретные каналы утечки данных: электронную почту, Web-доступ, мессенджеры и т.д. Проблема в том, что ни одна DLP не способна обеспечить защиту от утечек через все возможные каналы. Человек может информацию сфотографировать на личное мобильное устройство, записать, в крайнем случае – запомнить. Информация может быть вынесена прямо с носителем информации, например жестким диском или кассетами резервного копирования данных.

то владеет информацией, тот владеет миром”. Эта фраза Натана Ротшильда стала крылатой. Но в условиях современного общества, с учетом большого числа легкодоступных каналов обмена информацией, она может быть легко разглашена или похищена. Одной из основных задач службы ИБ является защита значимой для организации информации от ее утечки.

Построение системы защиты от утечек – это сложная комплексная задача, включающая в себя различные направления информационной безопасности – от управления уязвимостями, через которые организация может быть атакована в целях похищения конфиденциальных данных, до повышения осведомленности сотрудников в области ИБ. Одним из ключевых звеньев комплекса защиты от утечек является система Data Leak Protection (DLP). Именно ее использование я и хотел бы обсудить в данной статье. Хранителями значительной части ключевой информации организации являются ее топменеджеры. И довольно часто случается, что разглашение информации происходит в рамках их выступлений и интервью. Если организация атакована через какую-то уязвимость, использование которой позволяет осуществлять копирование данных, то с большой долей вероятности DLP-система вам в этом случае тоже не поможет. Отдельная тема – правильная организация разработки и тестирования систем. Зачастую в этих процессах используются реальные данные без обеспечения необходимого уровня разграничения доступа и контроля, что может привести к утечке информации.

DLP – не панацея С учетом развития современных технологий защищать информацию от возможной утечки, особенно от умышлен-

18 •

ного копирования, становится все сложнее. Важно четко понимать, что DLP-система – это не панацея, это инструмент для решения конкретных задач в рамках большого комплекса мероприятий по защите от утечки данных. При принятии решения о внедрении DLP-системы и ее выборе стоит сразу определить для себя, для защиты от утечки данных через какие каналы вы планируете ее использовать. Еще лет 5–7 назад можно было рассуждать о том, какую реализацию защиты от утечки выбрать: периметровую, когда модули DLP-системы устанавливаются на периметре сети организации, или агентскую, когда агенты DLP-системы устанавливаются на конечные рабочие станции. В настоящее время практически все современные DLP-системы имеют и те и другие модули, и для обеспечения эффективной системы защиты от утечек внедрять следует весь комплекс средств защиты.

Классические DLP Хочу заострить внимание еще на одном моменте. Классические DLP-системы – это системы именно предотвращения утечки данных. Их задача не просто зафиксировать утечку данных через какой-то канал, а предотвратить ее. По факту во многих организациях DLPсистемы внедряются в режиме обнаружения утечки (Detection), а не в режиме предотвращения. Понятно, почему. В таком режиме DLP-система не может оказать никакого негативного влияния на ИТ-сервисы, на работу той же электронной почты или Web-доступа в Интернет.

Внедрить DLP-систему в этом варианте значительно проще, не надо думать о производительности сервисов и резервировании компонентов. Кроме того, нет рисков заблокировать легальные сообщения, если вдруг правила, реализованные в DLP-системе, начали давать большое количество ложных срабатываний. Но следует понимать, что гарантированно удалить информацию, которая попала в сеть Интернет, практически невозможно. Кроме того, такой вариант более трудозатратный для службы ИБ, т.к. анализ событий и реагирование на них полностью ложится на сотрудников информационной безопасности, и это требует достаточно существенных людских ресурсов. Режим предотвращения дает вам значительно больше гибкости. Вы можете настроить систему так, чтобы пользователь сам дополнительно подтверждал необходимость отправки данных, несмотря на то, что DLP-система откатегорировала их как конфиденциальные. Можете делегировать такое право руководителю сотрудника, что соответствует политике ИБ, т.к. за правильность обработки информации в конкретном подразделении ответственность несет его руководитель. В каких-то случаях можно оставить окончательное решение о возможности отправки за службой безопасности. По своему усмотрению вы можете организовать любой микс из предоставляемых системой возможностей для принятия обоснованного решения об


skorodumov 7/3/18 7:09 PM Page 19

www.itsec.ru

DLP

отправке или блокировке отправляемых данных. Кроме того, не используя DLP-систему в режиме предотвращения, вы не сможете использовать ее воспитательную роль. Когда работник организации начинает получать предупреждения о том, что в нарушение действующих требований ИБ он пытается отправить вовне конфиденциальную информацию, он поневоле начинает более осознанно подходить к своим действиям. Когда руководитель является ответственным за обработку информации в подразделении не просто на бумаге, а ежедневно принимает решения о допустимости или недопустимости отправки той или иной информации вовне, осознание им своей ответственности существенно возрастает.

Что дальше? Итак, вы определили для себя необходимость и цели внедрения DLP-системы. Необходимо определиться с функционалом системы и критериями выбора. В своей организации мы давно пришли к мнению, что покупать систему защиты без полноценного ее пилотирования внутри организации нельзя. Но полноценный пилот решения – это довольно длительная и трудоемкая задача. Поэтому реально пилотировать следует одно-два, максимум три решения. Выделить эту пару наиболее подходящих вам решений из всего спектра, имеющегося на рынке ИБ, вам и должны помочь функциональные требования и критерии выбора (сравнения). Все современные DLPрешения достаточно функциональны. Но, несмотря на довольно длительный путь развития, все они далеки от совершенства.

Различия DLP-решений Надо учитывать, что есть довольно существенные различия между российскими и зарубежными DLP-решениями. Зарубежные решения "заточены" именно на предотвращение утечек в реальном режиме времени. Их хорошо использовать, когда вы точно знаете, какую именно информацию у себя в органи-

зации вы защищаете и каком виде она может быть представлена. В реальности зачастую понятны только категории защищаемой информации, при том что критерии отнесения информации к таким категориям достаточно расплывчаты. Плюс на это накладывается куча различных исключений, которые всегда есть в реальной жизни. Проводить же постфактум анализ данных в целях выявления, как могла утечь из организации та или иная информация, с использованием зарубежных систем затруднительно. Функционал этих систем по формированию единого архива всей исходящей информации, и особенно по гибкому интеллектуальному поиску конкретных данных в этом архиве, мягко говоря, "оставляет желать лучшего". Поэтому если такие задачи вам периодически приходится решать, рекомендую обратить внимание на DLP-системы российского производства. Безусловно, при выборе решения необходимо обратить внимание на политику лицензирования. Большинство решений имеют модульную архитектуру, и разные модули могут иметь разные схемы лицензирования даже в рамках одного решения. Если вы планируете использовать систему в активном режиме (предотвращения утечек), то она должна поддерживать современные механизмы резервирования, распределения нагрузки, быть масштабируемой. Немаловажным фактором успешности проведения проекта по внедрению в организации DLP-системы является выбор интегратора. Подобные проекты достаточно сложны в реализации. Предпочтение следует отдавать хорошо зарекомендовавшим себя на рынке ИБ-компаниям, имеющим значительный опыт работы по реализации подобных проектов. А еще лучше – по внедрению конкретного, выбранного вами решения. Пилотировать продукт стоит уже именно с тем интегратором, с которым вы планируете осуществлять его внедрение. Хорошо, если к моменту внедрения DLP-системы в вашей организации есть перечень конфиденциальных

• 19


skorodumov 7/3/18 7:09 PM Page 20

СПЕЦПРОЕКТ документов, которые требуют защиты. В противном случае формирование такого перечня необходимо закладывать в проект по внедрению.

Трудности внедрения Из функций, которые вам могут понадобиться при эксплуатации системы, стоит обратить внимание на следующие:

l возможности использования системы в режиме предотвращения утечек;

l наличие предустановленных политик по выявлению отправки персональных данных, финансовой информации, клиентских списков; l возможности гибкого

сквозного поиска по архиву сохраненных данных с учетом морфологии языка;

l возможность выявления заполненных форм стандартных для организации документов;

l умение работать с цифровыми отпечатками документов, с возможностью указания степени совпадения; l наличие модулей для мобильных устройств;

l контроль информации, отправляемой через мессенджеры;

l возможности гибкого создания исключений из правил;

l наличие "интеллекта" для анализа данных в агентах, устанавливаемых на конечные рабочие станции.

Агентские модули часто имеют функционал для управления записью данных на периферийные устройства, а также "шпионские штучки" типа кейлоггера, снимков экрана и т.п. вплоть до включения камеры (при наличии) и микрофона.

20 •

Итак, вы выбрали решение и интегратора, который поможет вам его внедрить. С какими трудностями обычно сталкиваются организации при внедрении DLP-системы? Их можно разделить на технические и технологические. Технические обычно связаны со встраиванием периметровых модулей в существующую ИТинфраструктуру. Тот же модуль для разбора почтовых сообщений по сути – дополнительный промежуточный почтовый сервер, и насколько логично он впишется в существующую систему электронной почты – большой вопрос. Определенные сложности могут возникать с балансировной нагрузки, особенно в пиковые периоды. Для корректного анализа Web-трафика требуется разрывать SSL-соединения, т.к. большинство современных интернет-сервисов и сайтов работают по защищенным протоколам. Это достаточно ресурсоемкая задача, особенно если вы обрабатываете информацию в режиме реального времени. В части рабочих станций технические проблемы могут заключаться в конфликтах агентов DLPсистемы с другим установленным на рабочей станции системным ПО, а также повышением нагрузки на рабочие станции и соответствующим "проседанием" их производительности. Кроме того, как и в любом "агентском" решении, возникают технические проблемы с установкой ПО на большое количество рабочих станций, контролем его работоспособности, актуальности версий и т.д. Технологические проблемы обычно связаны с наличием практически в любой организации неких устоявшихся технологий информационного обмена, не укладывающихся в стандартные политики DLPсистем. В качестве одного из примеров можно привести предварительное согласование с клиентом проектов заключаемых договоров и иных документов путем переписки по электрон-

ной почте. Другие технологические проблемы могут быть связаны с тем, что после внедрения DLP-системы все вложения в почтовые сообщения, которые она не может проанализировать, должны блокироваться. Например, если у вас в организации часто используются для взаимодействия с внешними клиентами и контрагентами архивы с паролем, это может стать проблемой, т.к. все эти архивы будут блокироваться системой.

Развитие DLP-систем По факту, теряя эффективность в части основного функционала, DLP-системы начинают обрастать дополнительными функциями, не свойственными данному классу систем. Сюда можно отнести так называемый модуль "краулер" – модуль поиска защищаемой информации на различных информационных ресурсах. Хотя в нашей организации мы большей частью его применяем для контроля отсутствия защищаемой информации на общедоступных информационных ресурсах, например на корпоративном портале. Агентские модули часто имеют функционал для управления записью данных на периферийные устройства, а также "шпионские штучки" типа кейлоггера, снимков экрана и т.п. вплоть до включения камеры (при наличии) и микрофона. Еще одним серьезным направлением развития DLPсистем в последние годы является формирование так называемых досье на субъектов системы, а проще говоря, на работников организации, и построения графов информационного взаимодействия между сотрудниками и сотрудников с внешними лицами. И это уже направление, совсем мало относящееся к защите от утечек. Скорее, это элемент системы фрод-анализа. Причем для использования DLPсистемы в таком качестве схема ее внедрения существенно отличается от классического внедрения DLP-системы, т.к. для получения максимальной эффективности вам надо завести в систему максимально возможное количество каналов информационного обмена, в т.ч. каналов информационного обмена внутри организации, а это уже совсем иные

объемы информации, для обработки которых требуются существенно большие ресурсы. Несмотря на то что DLPсистемы прошли длительный путь развития, на мой взгляд, им явно не хватает: 1. Глубокого понимания структуры организации. Они не могут вычислить непосредственного руководителя сотрудника, определить, что сотрудник принадлежит к руководству Банка. Что вы им дадите в части структуры из Active Directory, то DLP-система и будет использовать. На уровне самой DLP-системы нельзя подразделения разбить на бизнес-подразделения и обеспечивающие, работающие с клиентами и не работающие с клиентами. Это существенно сокращает возможности по анализу информационного взаимодействия как внутри организации, так и с внешними контактами. 2.Возможностей по выявлению аномалий. Интересно было бы строить профиль обычного поведения пользователя и отслеживать аномалии. Было бы также полезно иметь некий усредненный профиль по сотрудникам с одинаковым функционалом, чтобы имелась возможность отслеживать отклонения от этого усредненного профиля. 3. Отсутствие ИТ-зрелости. Прежде всего в части надежности работы, отказоустойчивости, масштабируемости, управляемости. Во многом изза этого ИТ-службы организаций неохотно соглашаются на включение модулей DLPсистем в разрыв в режиме предотвращения утечки. Есть еще одна проблема DLP-систем, которая в итоге может поставить крест на всей этой технологии в существующем сейчас варианте, – это отставание от современных ИТтехнологий. Есть существенное запоздание между появлением новых ИТ-технологий и их охватом системами DLP. И с течением времени данная проблема только нарастает. Поэтому использовать DLP-системы можно и нужно, но не стоит ждать от них чудес, особенно в современных условиях быстро появляющихся и изменяющихся ИТ-технологий. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


perimetrix 6/29/18 7:19 PM Page 21

www.itsec.ru

DLP

Предотвращение утечек данных средствами EDRM и DLP Андрей Рыбин, директор по развитию, PERIMETRIX

Г

лавный источник конкурентоспособности бизнеса сегодня – эффективное использование передовых технологий, создающих дополнительную ценность для клиентов, генерирующих новые потоки доходов. Для компаний, осознавших это, безопасность и конфиденциальность данных значит больше оптимизации затрат, поскольку становится драйвером дохода и роста бизнеса.

Постоянные утечки данных заставляют потребителей с сомнением относиться к бизнесам, пренебрегающим киберугрозами. Пытаясь защитить свои данные, компании приходят к пониманию, что основанный на защите сетевого периметра подход к безопасности PerimeterBased Security (PBS) уже не соответствует современным угрозам. С позиции PBS утечка происходит в тот момент, когда конфиденциальные данные покидают периметр компании. Поэтому системы предотвращения утечек первоначально фокусировались на контроле над каналами, по которым информация может покинуть корпоративный периметр. Но в цифровой организации подход PBS не способен защитить от нарушителей, действующих внутри доверенной сети, недобросовестных контрагентов, получивших доступ к конфиденциальным данным, противостоять угрозам, связанным с использованием технологий цифровой мобильности (BYOD, коворкинг, работа дома и т.п.). Отличным от Perimeter-Based Security и наиболее перспективным, на наш взгляд, является информационно-центричный подход к обеспечению безопасности (Data-Centric Security, DCS), при котором фокус контроля переносится c содержимого каналов передачи данных на действия, выполняемые с данными. Следование такому подходу позволяет идентифицировать и защитить все ценные информационные активы, строго контролировать доступ к конфиденциальным данным, обеспечить эффективное выполнение бизнес-процессов компании внутри защищенной цифровой экосистемы на протяжении всего жизненного цикла данных. DCS позволяет в полной мере использовать преимущества развитой логики ABAC (Attribute-Based Access Control), формулировать политики безопасности в терминах, понятных бизнес-владельцам данных. Использование DCS тре-

бует высокой степени осознанности бизнес-процессов и квалифицированного менеджмента информационной безопасности. Наиболее популярные сегодня технологии, решающие задачу предотвращения утечек данных двумя различными способами, – это DLP и IRM/EDRM. DLP-решения традиционно являются одним из компонентов подхода PBS. Блокировка нежелательной передачи данных на основе анализа содержимого каналов, реализуемая DLP, с определенной вероятностью позволяет предотвратить утечку, но может и помешать нормальному выполнению бизнес-процессов. Зачастую основной задачей, возлагаемой на DLP, становится мониторинг с целью проведения расследований. Основные ограничения DLP-систем связаны с невозможностью отслеживания всех возможных каналов утечки и форматов данных, а также с необходимостью соблюдения норм информационного права. Кроме того, при использовании DLP возникают серьезные проблемы при контроле шифрованного трафика, запароленных архивов, файлов, хранящихся в облаках и передаваемых контрагентам. Самое сложное при внедрении DLP – определение данных, которые необходимо защищать, и выявление всех возможных каналов утечки. Кроме того, приходится ограничивать использование программ, протоколов и типов данных, которые не обрабатываются DLP-решением. В основе решений класса EDRM (Enterprise Digital Rights Management), позволяющих контролировать действия с данными, находится сочетание нескольких технологических приемов: неотрывная классификация контента, шифрование защищаемых данных, обязательная аутентификация пользователя и гранулярные политики безопасности, определяющие допустимые действия с данными в зависимости от полномочий пользователей.

Благодаря использованию EDRM неавторизованные пользователи не смогут распорядиться защищаемой информацией, при этом все попытки доступа протоколируются. С помощью EDRM можно не только запретить или разрешить доступ пользователя к файлу, но и обеспечить контроль того, как именно пользователи работают с ценными цифровыми объектами – документами, письмами, чертежами, изображениями и т.д. С учетом сегодняшнего ландшафта угроз информационной безопасности речь не стоит о выборе между DLP и IRM/EDRM, наоборот, требуется их совместное применение в рамках подхода DCS. Интеграция DLP и EDRM – передовой метод борьбы с утечками данных. DLP – попрежнему хорошее решение для мониторинга коммуникаций, опознавания конфиденциального содержимого с последующим оповещением или блокировкой передачи данных, EDRM – для обеспечения безопасного документооборота, в который вовлечено ограниченное число ответственных сотрудников организации и, возможно, внешних контрагентов. Если использование DLP в российских компаниях уже стало обычной практикой, то готовность к внедрению EDRM показывают лишь флагманы цифрового бизнеса. В ближайшем будущем нас ждет рост количества инсталляций EDRM-систем и, с учетом импортозамещения, российским производителям этого ПО открываются возможности роста продаж. Потребителям и интеграторам российских EDRM-решений будет интересно наблюдать, как они начнут "обрастать" новым востребованным функционалом, который сейчас присутствует только в западных продуктах. l

Компания PERIMETRIX – российский разработчик информационно-центричных систем безопасности. Perimetrix SafeSpace™ – комплексное программное решение управления электронными данными, позволяющее обеспечить конфиденциальность и целостность электронной информации ограниченного доступа при ее хранении, обработке и передаче. В основе решения – концепция управления жизненным циклом информации ограниченного доступа и уникальная технология контроля перемещений электронной информации. Решение позволяет обеспечить защищенное исполнение пользователем и приложениями рабочего процесса, ограничивая при этом всю другую, не относящуюся к выполнению бизнес-процесса активность пользователей, приложений и процессов. Применение политик "режима" хранения, обработки и передачи классифицированных данных происходит динамически, в момент доступа к классифицированным электронным данным. Программный комплекс сертифицирован ФСТЭК России (сертификат № 3658 от 15.11.2016 г., действителен до 15.11.2019 г., соответствие РД, ТУ и НДВ4). Внедрение Perimetrix SafeSpace™ позволяет выполнять требования 149-ФЗ от 27.07.2006 г. "Об информации, информационных технологиях и защите информации" и 98-ФЗ от 29.07.2004 г. "О коммерческой тайне". Класс продукта – EDRM. Не DLP.

NM АДРЕСА И ТЕЛЕФОНЫ ООО "ПЕРИМЕТРИКС" см. стр. 52

• 21


smart 6/29/18 7:19 PM Page 22

СПЕЦПРОЕКТ

Контролируем печать документов. Угроза старая, но не устаревшая Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)

К

огда речь заходит об утечках данных в рамках DLP-тематики, считается, что наименее защищенными и, следовательно, наиболее опасными каналами утечки данных с ПК работников являются высокотехнологичные каналы – сетевые приложения, съемные USB-накопители, персональные мобильные устройства. Реагируя на интерес публики, производители средств ИБ спешат предложить рынку продукты защиты от утечки данных с компьютеров именно через эти высокотехнологичные каналы. Однако у медали есть и оборотная сторона – акцент на контроль высокотехнологичных каналов при игнорировании “давно забытого старого” делают и вендоры.

Хайп как критерий актуальности угрозы? Давно ли вы видели статьи и мнения отраслевых аналитиков о проблеме утечки информации через канал печати? Боюсь, что так давно, что и не вспомните. Последняя статья на тему контроля принтеров, что довелось видеть, была с акцентом на контроль количества страниц и экономии тонера. Увы, но сложилось впечатление, что даже в среде практиков-безопасников из департаментов ИБ бытует несколько неоправданное мнение о том, что "старые" каналы утечки данных уже давно и надежно контролируются разными продуктами и решениями. Второе впечатление – отсутствие дискуссий по проблемам защиты от давно известных типов угроз в отраслевой прессе, на специализированных форумах и конференциях приводит к ложному ощущению "если про угрозу никто не говорит – значит, угрозы нет". На самом деле используемые популярные системы зачастую лишь частично устраняют угрозу или решают проблему косвенным путем, если вообще не маскируют решение за имитацией бурной активности. Практикующие специалисты об этом хорошо осведомлены и учитывают в своих проектах и консалтинге, но напоминать об этом публично – или недосуг, или неинтересно. В свою очередь, пресса об этом не пишет, потому что тема не нова, хайп не поймать, а то и знаний не хватает.

22 •

При этом использование сетевых принтеров и МФУ, доступных одновременно многим подразделениям организаций, только повышает риски утечек через канал печати, сохраняя актуальность этой угрозы. Не случайно действующие нормативные государственные акты и отраслевые стандарты в области ИБ требуют защищать информацию в любой форме, включая, естественно, печатные документы. Именно документ на бумаге наиболее доступен для быстрого восприятия и понимания, легко копируется и идеален для скрытного перемещения за пределы организации, что означает преднамеренную утечку. В частности, отраслевой стандарт Банка России РС БР ИББС-2.9-2016 указывает, что утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ, среди наиболее значимых потенциальных каналов утечки информации не забыта и печать и (или) копирование информации на бумажные носители. Контроль печати документов – один из наиболее типичных примеров такого заблуждения на тему "устаревшей малоинтересной угрозы" в сочетании с недостаточностью знаний о задачах и возможностях контроля информации. В вышеупомянутой "свежей" статье на тему безопасности информации про контроль печати был всего лишь один абзац, но хотя бы был. Автор предложил использовать спе-

циализированные DLP-системы в сочетании со смарт-картами или другими средствами контроля доступа к печатной технике. Однако при этом автор называет DLP-системы средствами мониторинга печати и отчего-то уверен, что они не в состоянии пресечь несанкционированную распечатку, но хотя бы позволяют выявить ее спустя некоторое время Этого, как считает автор, достаточно, чтобы потенциальный инсайдер поостерегся посылать на принтер конфиденциальные документы. Это и есть то, что я называю недостатком знаний со стороны журналиста, которая вызвана, в свою очередь, имитацией бурной активности со стороны вендоров, производящих такие псевдо-DLPсистемы.

Защита информации при печати документов Обеспечение защиты информации в организациях при сетевой централизованной печати документов включает в себя целый спектр задач: обеспечение конфиденциальности информации, целостности, учета документов на всех этапах процесса печати, включая отправку с персональных компьютеров, обеспечение безопасной обработки и формирования задания на печать, обеспечение защищенной доставки задания на сетевой принтер. Рынок ИБ предлагает широкий ряд продуктов и технологий ИБ, включая шифрование документов перед отсылкой на печать; хранение образов печатаемых документов в памяти принтеров в


smart 6/29/18 7:19 PM Page 23

www.itsec.ru

DLP

зашифрованном виде вплоть до момента печати; разграничение доступа к принтерам на персональной основе; вывод документа на печать только после того, как его инициатор аутентифицировался локально; гарантированное удаление копий документов с принтеров после их печати; централизованную регистрацию событий печати и сохранение электронных копий отпечатанных документов в базе данных для целей анализа и аудита. Однако использование в организации одного или нескольких из перечисленных решений и технологий вовсе не означает, что проблема защиты информации при печати в корпоративной среде полностью решена. Помимо защиты процесса печати следует решать и другие задачи – прежде всего контроль доступа к принтерам для исключения и отслеживания попыток неавторизованной печати документов, например когда пользователь печатает документы в результате несанкционированного доступа к информации, с превышением своих служебных полномочий или после ошибки других сотрудников. Другой кейс – печать документов в режиме Home Office, на личной технике, или в офисе на неподконтрольных локальных или сетевых принтерах. Вышеперечисленные технологии защищенной централизованной сетевой печати документов не обеспечивают реального контроля за доступом пользователей к локальным принтерам. С точки зрения корпоративной ИБ – это, по сути, означает наличие неконтролируемого канала утечки информации при печати документов, когда максимум, что доступно, – зафиксировать факт печати, но без возможности выяснить, что именно печаталось, не говоря уже о заблокировке процесса печати и тем самым предотвращении утечки данных. Системы мониторинга пользовательской активности тоже в лучшем случае могут зафиксировать, что пользователь отправил на печать некий документ. Все вышеназванные проблемы относятся к категории защиты данных от утечки и решаются с помощью специализированных DLPсистем. Вопрос только в том, как решаются. Допустим, известна уязвимость в некоторых DLPсистемах, когда пользователь может бесконтрольно печатать данные, не сохраненные в виде

файла на жестком диске (например, новый документ Office с содержимым из буфера обмена, созданный без сохранения в файл). Если используемая в организации DLP-система не обладает функцией контроля доступа к принтерам, не говоря уже об анализе содержимого печатаемых документов до момента вывода на печать, т.е. контентной фильтрации потока печатаемых данных, распечатать можно будет попросту все, что угодно, включая документы, содержащие секретную информацию, и дальше останется только надеяться, что бумажные копии еще не попали "куда не надо", и уповать на страх пользователей быть наказанными.

Контроль канала печати в DeviceLock DLP – как не дать информации уйти через принтер Как же решать задачу контроля канала печати, чтобы эффективно предотвращать утечки информации? Конечно, с помощью DeviceLock DLP. DeviceLock DLP Suite предотвращает утечки данных при печати документов, инициированной любым приложением и на любом принтере, с помощью универсальной технологии фильтрации содержимого спулера печати. При этом независимо от форматов печатаемых документов их теневые копии сохраняются в пригодном для полнотекстового поиска формате PDF. Благодаря высокой гибкости DLP-политик DeviceLock DLP позволяет поставить под строгий централизованный контроль использование любых (локальных не зависимых от интерфейса подключения, сетевых, виртуальных, перенаправленных в терминальную сессию) принтеров. Уникальная особенность DeviceLock DLP, кардинально отличающая его от конкурентных DLP-систем, – поддержка контентной фильтрации для канала печати (и не только!), включая распознавание текста в графических изображениях, выполняемое в реальном времени. Анализ содержимого печатаемых документов позволяет детектировать совпадение текста документов с заданными словарями, регулярными выражениями, цифровыми отпечатками контролируемых образцов, с анализом и учетом метаданных документов (тип, размер, автор и т.д.).

Мониторинг без блокировки? Легко и в деталях Разумеется, наличие функции блокировки печати документов вовсе не означает, что она обязательно должна использоваться, это один из инструментов, которыми обладает DeviceLock DLP. Вторая важнейшая для DLPсистем задача – мониторинг событий печати и сбор доказательной базы для расследования инцидентов в области ИБ – также успешно решается. DeviceLock DLP протоколирует с очень высокой степенью детализации все связанные с процессами печати события и теневые копии посланных на печать документов, автоматически сохраняя их для целей аудита в централизованной базе данных. Правила мониторинга задаются по тем же гибким принципам, что и политика доступа к принтерам. Более того, благодаря механизмам контентного анализа в DeviceLock DLP есть возможность, например, избежать помещения в архив теневых копий документов, содержащих персональные данные сотрудников. Напомним также о возможности оперативной реакции на инциденты, предоставляемой DeviceLock DLP, – служба ИБ может реагировать на критические события (по факту попытки доступа к принтерам, по факту срабатывания правила анализа содержимого печатаемого документа) намного быстрее, нежели при работе с архивом теневых копий, благодаря функции тревожных оповещений в DeviceLock DLP. Важно отметить, что уникальные функциональные и административные характеристики DeviceLock DLP по контролю печати документов с рабочих станций не конкурируют, а, напротив, гармонично дополняют другие решения по защите процессов централизованной сетевой печати документов, что позволяет создавать комплексные системы обеспечения безопасности информации. l

NM АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 52

• 23


ZKS 6/29/18 7:19 PM Page 24

СПЕЦПРОЕКТ

Критерии выбора: что включает в себя эффективная DLP-система

К

огда перед человеком стоит выбор той или иной технологии, каким бы подкованным он в данном вопросе ни был, он обращается к отзывам и рекомендациям коллег, работающих с похожими задачами. Чтобы облегчить вопрос выбора, редакция опросила производителей, интеграторов и заказчиков DLP-систем: на что они рекомендуют обратить внимание, какие нюансы остаются вне поля их зрения и, конечно, о планах по развитию продуктов и ожиданиях конечных потребителей. Роман Ванерке, технический директор, АО “ДиалогНаука” Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”) Дмитрий Кандыбович, генеральный директор, StaffCop (ООО “Атом Безопасность”) Петр Ляпин, эксперт по информационной безопасности Алексей Парфентьев, ведущий аналитик, “СёрчИнформ” Алексей Плешков, эксперт по информационной безопасности Алексей Раевский, генеральный директор Zecurion Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова Анатолий Скородумов, заместитель директора, начальник отдела информационной безопасности (CISO), Банк “Санкт-Петербург”

– Выбор DLP-системы, ее возможности и эффективность предотвращения утечек – на что вы как разработчик (интегратор) рекомендуете обратить внимание? Что считаете самым важным?

Роман Ванерке – Мы как интеграторы рекомендуем сперва обратить внимание на границы проекта – другими словами, выполнить классификацию информации ограниченного доступа, проранжировать ее по степени важности, определить, в каких бизнес-процессах и как эта информация обрабатывается и хранится, и т.д. Без предварительной работы бессмысленно подходить к выбору системы защиты. Если же исходить из того, что подобная работа уже проведена и вы понимаете, что и как нужно защищать, то и выбирать становится гораздо проще. Так, например, в этом случае вы знаете, по каким каналам, кому и в каком виде передается информация ограниченного доступа. Отсюда уже вытекают и требования к DLP-системе: какие каналы должны контролироваться (Web, почта, съемные устройства, IM, печать, сетевые диски и т.д.), какие способы идентификации конфиденциальных документов

Партнер "Круглого стола" 24 •

(ключевые слова, словари, цифровые отпечатки, машинное обучение и т.п.) необходимы. Говоря о предотвращении, хочется отметить, что редко кто решается перейти с режима мониторинга на режим блокировки, т.к. всегда есть риск ошибок второго рода (когда мы легитимную операцию приняли за инцидент). Но если подойти к внедрению DLP-системы комплексно, выполнить обследование и понимать, что система требует ежедневной работы с ней, то можно переходить в проактивный режим. С другой стороны, в последнее время наблюдается обратная тенденция – отказ от режима блокировки. Это обусловлено тем, что затраты на поддержание системы в проактивном режиме существенно выше возможных потерь и куда эффективнее будет повысить качество мониторинга.

Сергей Вахонин – Первый вопрос, на который заказчику стоит ответить перед выбором DLP-системы: для какой цели приобретается DLP-решение, какую ключевую задачу оно должно выполнять? Говоря проще, надо решить, требуется ли предотвращать утечки данных (да, это ключевая задача для DLP-систем, но далеко не все пред-

ставленные на российском рынке продукты действительно решают эту задачу техническими способами) или достаточно пассивного наблюдения за перемещением информации наружу и расследования инцидентов по фактам состоявшихся утечек. Если требуется предотвращать утечки, то выбор DLP-систем будет весьма ограничен, а внимание стоит обратить на полноту и качество контроля над всеми каналами, интерфейсами и периферийными устройствами компьютера, а также возможности контентной фильтрации в режиме реального времени. Особенно это касается контроля сетевых коммуникаций, качество и полнота которого во многом определяются способностью DLP-решения перехватывать, прозрачно дешифровывать и фильтровать контент сетевых коммуникаций, защищенных стандартным SSL или проприетарным шифрованием. Функциональный арсенал DLPсистемы, решающей задачу предотвращения утечки информации, должен включать в себя способность с равным успехом функционировать внутри корпоративной сети и вне ее, возможность не допустить утечку данных ограниченного доступа при том, что предоставляется доступ для передачи для неконфиденциальных данных (это реализуется за счет контентной фильтрации в режиме реального времени), и т.д.

www.searchinform.ru


ZKS 6/29/18 7:20 PM Page 25

www.itsec.ru

DLP

Для пассивного наблюдения, в свою очередь, рынок предлагает довольно большой спектр продуктов в разных вариантах реализации и архитектуры. При этом стоит учесть, что DLP-системы, способные технически предотвращать утечку данных, также предоставляют инструменты событийного протоколирования, ведения архивов и расследования инцидентов. Особо подчеркну, что технические инструменты предотвращения утечки основываются на механизмах селективной блокировки доступа к устройствам, портам и каналам сетевых коммуникаций, в противовес специфической для российского рынка ИБ концепции неотвратимости наказания за выявленную утечку данных (которая, безусловно, должна иметь место, но не подменять собой принципы технического предотвращения утечек данных). Наконец, важно, чтобы все сформулированные клиентом основные функциональные требования к DLP-решению были полностью поддержаны в выбранном продукте, доступном на рынке в уже реализованном виде, а не в перспективе или с оговорками.

Дмитрий Кандыбович – Сейчас бизнес хочет получать не решение какой-то одной задачи, а комплексную ИТсистему, которая включает в себя DLP-систему и решает ряд задач для разных направлений. Заказчик смотрит на три основные вещи: универсальность, цену и возможность кастомизации. Если построить систему мониторинга на коммерческой файловой системе, то добавляются расходы на приобретение лицензии и обновления, не считая требований к оборудованию. А если основывать систему на Open Source, то она будет иметь нулевую стоимость владения. Что касается DLP, то она должна быть доступной по цене и легкой по инфраструктуре внедрения, должна иметь потенциал для интеграции с такими системами, как SIEM, "ГосСОПКА" и пр.

готовка и только потом реализация. Выбирать технологию нужно, исходя из реальной задачи. Например, потоковая блокировка хороша для предотвращения случайных утечек, но бесполезна для выявления групп риска на ранних стадиях. Подход также не дает комплексного понимания причин и следствий. В то же время инструменты прогнозирования хорошо работают только при скрытом режиме, они не пресекают нарушение в момент совершения.

Алексей Раевский – Все зависит от набора задач, которые планирует решать пользователь DLP. Для кого-то важным будет производительность системы, для кого-то – набор контролируемых каналов или удобная отчетность. Часто играет роль гибкость при внедрении и совместимость с различными компонентами инфраструктуры, например наличие собственного прокси-сервера, потому что не всегда есть возможность перестраивать архитектуру сети ради DLP-системы. В последнее время заказчики стали больше обращать внимание на наличие продвинутых возможностей, таких как поведенческий анализ пользователей (UBA) и аналитика с использованием технологий больших данных. – Ключевая задача DLP-системы – предотвращение утечки техническими методами. Какие способы обхода DLP-систем могут использовать инсайдеры и как им противостоять?

Алексей Парфентьев – Мы всегда стояли на том, что DLP – это инструмент, а не черный ящик, работающий сам по себе. И рынок, кажется, наконец согласился, что парадигма "Prevention = блокировка" не всегда оправданна. Ведь нарушение предваряет процесс, значит была идея, планирование, под-

Партнер "Круглого стола"

Роман Ванерке – В первую очередь стоит отметить, что традиционные DLP-системы – это прежде всего системы защиты от непреднамеренных утечек. По разным оценкам, общая доля непреднамеренных утечек составляет от 40 до 70%. Злоумышлен-

ник может использовать шифрование, различные скрытые каналы передачи данных (тот же DNS), свой телефон (фотографирование, видео, диктофон) или свою память. Очевидно, что защититься от последнего вряд ли возможно. В последнее время производители добавляют функционал, позволяющий выявлять факты утечек по косвенным признакам – с помощью предустановленных индикаторов компрометации (например, передача файлов, зашифрованных неизвестным типом шифрования) или функционала UEBA. Решения класса UEBA могут существенно помочь в выявлении внутренних злоумышленников.

Сергей Вахонин – Действительно, в мировой практике считается первичным именно решение задачи технической возможности предотвращения утечки, а не психологической, построенной на анализе журналов и расследовании инцидентов с последующим наказанием сотрудников. Соответственно, чем уже широта контроля потенциальных каналов утечки данных, тем шире возможности инсайдеров. Это означает, что попытки злоумышленников найти неконтролируемый канал для намеренного слива информации будут существенно ограничены при использовании полнофункционального DLP-решения, решающего все три основных задачи контроля Data-in-Use, Data-in-Motion и Data-at-Rest. ПсевдоDLP-система может собрать множество событий и теневых копий в архиве, но это не предотвратит намеренную утечку, особенно учитывая, что для выявления инцидента постфактум потребуется некоторое время. Грамотный подход к защите данных от утечки заключается в нейтрализации наиболее опасных векторов угроз утечки информации – тех, которые исходят от обычных инсайдеров или связаны с их поведением, в сочетании с мониторингом прочих потенциальных каналов утечки инфор-

www.searchinform.ru • 25


ZKS 6/29/18 7:20 PM Page 26

СПЕЦПРОЕКТ мации для снижения негативного влияния угроз. Кроме того, важным элементом противостояния злоумышленникам является надежность DLP-системы, которая в контексте DLP означает защищенность от вмешательства пользователя (и в особенности с правами локального администратора) в работу решения – т.е. защиту от преднамеренных или случайных действий пользователя, направленных на прекращение нормальной работы DLP-системы или изменение заданных службой ИБ политик контроля, а также отсутствие зависимости от типа и наличия сетевого подключения (а это, между прочим, самый простой способ обхода контроля сетецентричных DLP-систем).

Дмитрий Кандыбович – Если человек один раз увидел, что его действия привели к блокировке контента, то в следующий раз он приложит максимум усилий, чтобы его не вычислили. Самое простое – отфотографировать информацию телефоном. При этом нужно понимать, имеем мы дело с профессионалом, который пришел в компанию с целью получить информацию, или с обыкновенным сотрудником. Если это сотрудник, которого подкупили либо который не имеет умысла, то он будет пользоваться теми каналами связи, которые под контролем, и 90% нарушений можно отследить таким образом. Если речь идет о профессионале, то он имеет возможность обойти технические средства. Есть способы обнаруживать таких людей на ранних стадиях, например с помощью анализа поведенческих паттернов.

живают поведение пользователей. Это позволяет разоблачать мошеннические схемы на этапе планирования, видеть новые лазейки инсайдеров и совершенствовать систему безопасности в реальном времени.

Алексей Раевский – Мы в свое время проводили исследование методов, с помощью которых можно обмануть DLP-систему. В их числе как довольно простые, доступные практически любому, например "склеивание" файлов, так и такие экзотические, как стеганография. Многие из этих способов DLP-система может выявить, и надо это уточнять и проверять в ходе переговоров с вендором и пилотного проекта. Но надо понимать, что стопроцентно предотвратить все утечки невозможно и, например, всегда остается дыра, которую очень любят приводить в пример DLP-скептики – фотографирование экрана компьютера на мобильный телефон. Однако делать вывод о бесполезности DLP-системы из этого неправильно, поскольку ее задача не ликвидировать риски утечки полностью, а уменьшить их до приемлемого уровня и сделать так, чтобы затраты на приобретение и эксплуатацию системы были бы значительно меньше, чем потенциальный ущерб от утечки. – Многие российские DLP-вендоры делают акцент на инструментарии анализа событий и инцидентов при слабых возможностях недопущения утечки данных. В чем эффективность таких DLP-систем и какую реальную пользу они могут принести заказчикам?

Алексей Парфентьев – По иронии, способ обхода инсайдеру подсказывает базовый инструмент DLP – блокировка. Она раскрывает факт наличия DLP и тем самым вынуждает пользователя искать другие способы слить данные. По принципу "один канал закрыт – пробую другой". То есть, по сути, система сама учит, как ее можно обойти. Что касается решения этой проблемы: показательно, что всего несколько из более чем 2 тыс. наших клиентов используют блокировку. Вместо того чтобы оставлять инсайдерам способ обойти систему, они оставляют каналы открытыми и тщательно отсле-

Партнер "Круглого стола" 26 •

Роман Ванерке – Российские вендоры идут в правильном направлении. Изначально, позиционировав себя как средство архивации, они проигрывали, т.к. не обладали всеми возможностями зарубежных DLPсистем. Но в последнее время за счет использования решений Open Source, их возможностей по визуализации и обработке больших объемов данных, такие системы позволяют своим клиентам получить не только архив и инциденты, но и средство визуализации, анализа взаимосвязей и оценку величины риска по своим сотрудникам.

В итоге "наши" вендоры по сути комбинируют технологии DLP- и UEBAсистем.

Сергей Вахонин – Любой инструмент в DLP-решениях, даже вспомогательный, с канонической точки зрения на DLP-системы приносит пользу, если в конечном итоге он направлен на противодействие утечкам данных. Значимость и эффективность инструментария анализа событий определяется широтой охвата инспектируемых системой каналов передачи данных (здесь следует иметь в виду полный спектр потенциальных каналов утечки информации – сохранение информации на съемные накопители, печать документов, использование интернет-сервисов и сетевых протоколов). Если в решении сделан акцент на Post-DLP-арсенал возможностей, вендор предлагает прежде всего огромный набор красивых и быстрых отчетов, графов, карточек и т.п., но при этом состав отчетов формируется только на основании данных пассивного перехвата некоторых почтовых сетевых протоколов да пары мессенджеров, – значимость такого инструментария в плане борьбы с утечками данных сводится к нулю, а вендор ищет возможности интеграции с другими DLP-решениями.

Дмитрий Кандыбович – Только 10% заказчиков применяют в DLP блокировки. Для их использования нужен опыт и хороший регламент. Часто системы, настроенные на блокировки, дают ложные срабатывания. Блокировка не является фактом наказания. Для СБ этот факт скорее вреден, потому что это сигнал для нарушителя. Польза DLP-системы в том, что она оповестит СБ об инциденте, соберет исчерпывающий лот по всем действиям и можно будет проследить, кто еще втянут в инцидент, получить информацию более обширную, чем единичный сигнал. DLP-система контролирует только файлы, а система мониторинга – еще и метаданные, аудио, нажатие клавиш, посещения, взаимосвязи. При этом DLP может стоять на шлюзе и контролировать почту. Информацию надо пропускать, но широкий инструментарий работает лучше.

www.searchinform.ru


Реклама

zecurion 6/29/18 7:21 PM Page 27


ZKS 6/29/18 7:20 PM Page 28

СПЕЦПРОЕКТ Алексей Парфентьев – Большинство вендоров реализовали основные возможности блокировки, но проблемы остались. DLP блокируют подозрительные письма, но не могут распознать человека из группы риска, не могут вовремя разоблачить сговор, не дают комплексного понимания причин и следствий. К нам приходят компании и рассказывают: "Вот есть у меня нарушение из DLP по почте. Я вызываю человека и всегда слышу, мол, этого не делал, письмо вижу впервые. И мне нужно воссоздать нарушение по шагам, собрать доказательства". Поэтому возможности расследования предельно важны, без них СБ не сможет закрыть целый ряд задач. DLP не инструмент борьбы с техническими угрозами, как антивирус или файрвол, а средство защиты от человеческого фактора, где первостепенно важен контекст.

Алексей Раевский – Действительно, в последнее время получили распространение DLP-системы, которые имеют ограниченные возможности по предотвращению утечек. По отношению к ним даже использование термина DLP не очень корректно. Источник этой тенденции, на мой взгляд, лежит на стороне заказчика, который часто опасается, что в случае некорректной работы DLP-системы будет нарушено функционирование ИТ-служб. Например, заблокируется Интернет или не отправится важное письмо по электронной почте. Причиной таких сбоев может быть как не очень высокое качество некоторых DLP-систем, так и просчеты администратора DLP-системы при настройке правил и политик. Мы тоже часто сталкивались с тем, что заказчик не торопится переключать DLP-систему в режим блокировки, ограничиваясь пассивным перехватом трафика и реагированием на утечки постфактум, после того как они уже произошли. Возможно, на начальном этапе внедрения системы, в первые несколько месяцев, когда правила и политики только настраиваются, это оправданно. Однако, приобретая DLPсистему, в которой возможности по блокировке слабы или отсутствуют полностью, заказчик поступает крайне недальновидно. Так что сейчас нельзя делать акцент на чем-то одном, современное DLP-

Партнер "Круглого стола" 28 •

решение должно обеспечивать и блокировку подозрительных операций, и развитые возможности по анализу инцидентов. – Какие функциональные возможности DLP-системы являются для вас определяющими при выборе? На что рекомендуете обратить внимание тем, кто еще выбирает?

Петр Ляпин – Основной задачей DLP-систем является реализация автоматизированного контроля конечного множества информационных каналов (каналов утечки). Поэтому при выборе видится правильным рассматривать в первую очередь возможности системы по контролю тех каналов связи, которые используются в организации. Причем так, чтобы охват был если не полным, то максимальным, с компенсационными мерами в непокрытой части. Нюанс в том, что система (или система вкупе с компенсирующими мерами) должна покрывать все применимые каналы утечки, "лоскутный" метод здесь неприменим. Последующие факторы, которые следует учесть, – это доступные способы интеграции DLP с целевыми системами (снизить нагрузку на них до минимума), наличие подходящих заказчику сценариев использования, удобство интерфейсов и т.д.

Алексей Плешков – Не самыми основными, но востребованными функциями для DLP в настоящее время являются: интегрируемость/совместимость с продуктами и решениями по сбору и автоматическому анализу собранных/поступающих в DLP данных, а также возможность по желанию заказчика гибко/настраиваемо переключаться из режима избирательного сбора данных в режим сбора данных в полном объеме

и вытекающая из этого возможность выполнения анализа и тестирования работоспособности новых правил для DLP на ранее собранных архивах данных (ретроанализ). Все остальные функции стали уже типовыми для большинства решений, представленных на отечественном рынке DLP.

Константин Саматов – Если речь идет именно о системе класса DLP, то одной из важных характеристик должна выступать возможность блокировки исходящего за периметр организации трафика. Тем, кто выбирает, рекомендую четко определить класс системы, который им нужен. Я имею в виду то, что системы класса DLP часто путают с системами класса UAM (User Activity Monitoring), обеспечивающими мониторинг активности пользователей, но не защиту от утечки информации вовне. Большинство существующих решений представляют собой комплексные системы, сочетающие в себе возможности обеих систем, однако если речь идет о необходимости предотвращения утечек, то обязательной функциональной возможностью должна быть блокировка трафика.

Анатолий Скородумов – Наиболее важными для нас в DLP-системе являются охват системой максимально возможного спектра каналов утечки информации, возможность ее гибкой настройки в режиме предотвращения утечки данных, развитые возможности поиска по сохраненному архиву информации и наличие набора настроенных правил "из коробки". При выборе DLP-системы важно четко понимать ее место в комплексной защите данных в вашей организации от утечки, четко определить цели ее внедрения. В обязательном порядке стоит пропилотировать в организации то решение, которое вы выбрали.

www.searchinform.ru


ZKS 6/29/18 7:20 PM Page 29

www.itsec.ru

DLP

– В последнее время повышается значимость принципов невмешательства в личную переписку и личную жизнь, появляются новые законы (такие как GDPR). Учитывают ли разработчики DLP-систем, что в потоке данных могут попадаться личные данные, а их сбор и хранение в архивах может быть незаконным и привести к юридическим последствиям?

ративной информацией, например содержат определенные службой ИБ признаки, теги, ключевые слова и выражения. При корректном задании правил контентной фильтрации в реальном времени (разумеется, при наличии такой функции в DLP-решении) служба ИБ может контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, особенно когда контент фильтруется в момент передачи непосредственно на хосте.

Роман Ванерке – Определенно система DLP обладает всеми возможностями по перехвату данных, в которых могут быть и личные данные сотрудников. С одной стороны, зачем использовать корпоративные ресурсы для своих целей (и многие работодатели пользуются этим, утверждая, что все, что обрабатывается в их сети, не может быть личным и, соответственно, не подпадает под действие закона). С другой стороны, даже если система обрабатывает личные данные, то это автоматизированная обработка, которая не запрещена. DLPсистема обладает необходимым инструментарием по управлению доступом к накопленным данным, оповещению как офицеров ИБ, так и владельцев информации, а также и самих пользователей. Кроме этого, система должна выполнять обфускацию критичных данных.

Дмитрий Кандыбович – Практики применения европейского закона GDPR маловато. Согласно 152-ФЗ, вся информация, которая относится к персональным данным, и регламент ее использования описаны ФСТЭК. Компания имеет право контролировать информацию, касающуюся бизнеса. Но работников следует оповестить о том, что информация контролируется, и они должны подписать соответствующие документы. На крупном предприятии желательно ввести режим коммерческой тайны. Можно негласно собирать информацию, но с ней нельзя обратиться в суд. Оператор связи несет ответственность за сохранность передаваемых данных согласно ст. 138 УК. Мы даем инструмент с очень широким функционалом, а как его использовать – ответственность за это несет заказчик.

Сергей Вахонин – Принцип невмешательства в личную переписку на Западе является одним из основных факторов при выборе и внедрении DLP-систем. Для решения этой проблемы в DLP-решении должна быть предусмотрена техническая возможность обрабатывать только те персональные коммуникации, в которых выявлены конфиденциальные корпоративные данные, а также возможность собирать, обрабатывать и хранить только эту часть коммуникаций работника, исключив таким образом проблему сбора и хранения личных коммуникаций организацией. Это реализуется, если в полной мере использовать возможности контентной фильтрации, задать политики для детектирования только тех данных, которые непосредственно являются конфиденциальной корпо-

Партнер "Круглого стола"

Алексей Парфентьев – Мы учитываем Европейский регламент защиты данных и серьезно доработали свое решение под него. Вопервых, изолировали и дополнительно защитили хранение чувствительных пользовательских данных, сделали их аудит опциональным. К примеру, пароли для входа в личные кабинеты, клиентбанкинги и т.д. могут исключаться из теневого копирования либо храниться в особо защищенном виде и с отдельными настройками доступа даже для сотрудников ИБ. Во-вторых, расширили возможности инструментов аудита персональных данных внутри корпоративной инфраструктуры, чем закрыли одну из ключевых задач GDPR. Заказчикам доступно углубленное детектирование персональных данных, даже если компания исполь-

зует облачные сервисы СУБД, виртуализации или хранения.

Алексей Раевский – Ввод в действие GDPR, наоборот, должен позитивно повлиять на рынок DLP в Европе. Раньше внедрение DLP-систем в европейских странах осложнялось как раз тем, что там общество традиционно очень ревностно относится к приватности и анализ переписки сотрудника, даже на работе, воспринимался в штыки профсоюзами и общественными организациями. С принятием GDPR использование DLP-систем легитимизируется, поскольку без них выполнение ряда требований этого закона невозможно. Как при этом будет решаться проблема приватности самих сотрудников, пока непонятно. Скорее всего, им придется не использовать для решения личных вопросов рабочий компьютер, как это принято в других странах. – Как вы решаете проблему невмешательства в личную переписку своих сотрудников, используя DLP-системы со сплошным журналированием сетевого трафика?

Петр Ляпин – Не касаясь вопросов противодействия терроризму, ответ на этот вопрос следует искать на границе конституционного и трудового права. С одной стороны находятся гарантированные Конституцией РФ права граждан на неприкосновенность частной жизни, тайну переписки, телефонных переговоров и иных сообщений, а с другой – дисциплина труда и трудовой распорядок, в частности те его положения, которые касаются предоставления работодателем работнику инструментов и ресурсов для исполнения последним трудовой функции. Иными словами, работник в соответствии с установленной трудовой дисциплиной вправе использовать переданные ему и принадлежащие работодателю средства (информационные системы) исключительно для выполнения трудовых функций, а работодатель вправе устанавливать режим использования таких средств и осуществлять необходимый контроль.

www.searchinform.ru • 29


ZKS 6/29/18 7:20 PM Page 30

СПЕЦПРОЕКТ Алексей Плешков – Вмешательство в личную жизнь происходит только в тех случаях, когда личная переписка и личные материалы обрабатываются на тех же устройствах / в тех же каналах, работа которых контролируется DLP-решениями. Если организационно разделить все "личное" и "рабочее", установить правила работы сотрудников с конфиденциальной информацией, для всех работников организации определить уровни допуска к конфиденту, каскадировать ответственность и предоставить гибкие возможности для выполнения бизнес-функций без проникновения в личное пространство сотрудника, то проблема решится сама собой. Проверенным и действенным посылом для реализации предложенной выше модели является формирование у работника четкого понимания существования рядом с ним в организации "большого брата": наличия технического и организационного контроля (в т.ч. с применением DLP) со стороны работодателя за использованием предоставленных работнику инструментов без проникновения в его личную жизнь.

всем потоке именно ту информацию, разглашение которой может нанести ущерб организации. Аналогично поиски по архиву сохраненных данных осуществляются в части установления лиц, отправлявших конкретные банковские данные. Никто не сидит и "глазами" не читает обычную переписку сотрудников, на это не хватит никаких ресурсов. На личные мобильные устройства агенты DLP-системы не устанавливаются. Средствами MDM-системы на мобильном устройстве пользователя формируется среда, максимально препятствующая утечке банковской информации, к которой работник имеет доступ со своего мобильного устройства. – Почему большинство российских DLP-систем практически не используются на Западе? Существует ли принципиальная разница между DLP-системами российских и зарубежных вендоров? Что влияет на продажи больше всего – функциональные возможности, геополитические аспекты, легальность использования?

Роман Ванерке Константин Саматов – Данная проблема решается подготовкой и ознакомлением работников с организационнораспорядительной документацией, в которой отражается в том числе, что пользователям запрещается хранение личной информации на рабочих ресурсах, пользование личной почтой и иными сервисами, не относящимися к выполнению функциональных обязанностей; компания не является оператором связи и не гарантирует тайну связи; в целях обеспечения безопасности осуществляется контроль технических средств и информационных ресурсов компании, в том числе сетевого трафика.

Анатолий Скородумов – Все сотрудники организации официально предупреждены о недопустимости использования банковских компьютеров, банковской электронной почты и банковского канала Интернет в личных целях. Но даже если в переписке сотрудника проскочит какая-то информация личного характера, ничего страшного. Система срабатывает по определенным правилам, которые позволяют выявлять во

Партнер "Круглого стола" 30 •

– Основная разница заключается в том, что российские вендоры изначально отставали от своих западных коллег по технологиям выявления утечек конфиденциальной информации (цифровые отпечатки, машинное обучение, интеграция со сторонними решениями) и компенсировали ее за счет применения DLPсистемы как системы тотальной архивации. Архивация также упрощала внедрение системы, т.к. не требовала со стороны подразделения ИБ затрат на обследования, классификацию и т.п. Очевидно, что архивация несет в себе как преимущества, так и недостатки. К недостаткам можно отнести высокие требования к системе хранения данных, ограничения, накладываемые СУБД на объемы данных, и возможные юридические последствия из-за хранения всех данных.

Сергей Вахонин – Прежде всего отмечу, что наш продукт был изначально ориентирован на весь мировой рынок в целом, свою популярность приобрел вначале именно на Западе и более трети клиентов компании –

как раз организации Америки и Европы, при том что доля рынка СНГ для нашей компании также составляет менее половины общего объема продаж. Что касается большинства остальных российских вендоров, полагаю, что причины их незначительного присутствия на Западе – это изначальная ориентация на освоение домашнего рынка, специфически "домашняя" техника продажи с использованием административного ресурса и, что самое важное, недостаточный уровень решения ключевой для DLP-систем задачи предотвращения утечек данных с преобладанием функционала пассивного наблюдения, анализа поведения пользователей, расследования инцидентов. Зарубежные DLP-продукты, как правило, фокусированы на предотвращение утечки данных. Наши разработчики сталкиваются на Западе с тем фактом, что рынок уже активно освоен ведущими вендорами, а идеология Post-DLP мало востребована. Зарубежные заказчики зачастую предпочитают простые, надежные и гарантирующие защиту от утечки решения, а не аналитические инструменты для копания в архивах, да еще и требующие при этом значительных затрат на внедрение и поддержку. Активное развитие вспомогательных для DLP функций при отсутствии возможности избирательного контроля и анализа содержимого передаваемых данных существенно снижает и возможность легального применения такого ограниченного DLP-решения в глазах западного потребителя, поскольку нарушаются принципы невмешательства в личную переписку и личную жизнь.

Дмитрий Кандыбович – Есть ряд российских компаний, продукция которых продается на Западе и соответствует их стандартам. Западные законы жестче и ответственность выше, поэтому используется стандарт DLP, он более формализован. Контролируется только информация, ни в коем случае не метаданные или что-то еще. В западных компаниях более развита корпоративная культура, сотрудники более дисциплинированны. В России другой функционал, управление более слабое, масса нестандартных вариантов по поводу хищений, которые даже не связаны с информацией. У нас шире перечень задач и инструментарий и действительность суровее, и законы более расплывчаты. На продажи в России влияет административный ресурс, в мире – функциональные возможности.

www.searchinform.ru


IB_Jornal 6/29/18 7:20 PM Page 31

изДАниЯ По инФормАционной безоПАСноСти – вСегДА нА рАбочем СтоЛе

ПоДПиСКА нА ЖУрнАЛЫ: ВО ВСЕХ ОТДЕЛЕНИЯХ ПОЧТЫ РОССИИ оФиСнАЯ ПоДПиСКА: E-mail: monitor@groteck.ru Тел.: (495) 647-0442, доб. 22-82 Информационное агентство монитор ПОДПИСКА


ZKS 6/29/18 7:20 PM Page 32

СПЕЦПРОЕКТ Алексей Парфентьев – Да, разница между продуктами есть, но очевидно в пользу отечественных: функционал наших DLP развит куда больше. Например, возможности КИБ для рынков Латинской Америки, ЮАР и Ближнего Востока стали новым подходом к ИБ: защищать не только информацию, но и бизнес от всех видов мошенничества. Это нужно организациям на всех континентах, так что концепция получила название Money Loss Prevention и вызвала большой интерес. Но в некоторых странах проблемой стало российское происхождение. Так что единственная сложность присутствия отечественных продуктов за рубежом – в политике. И мы убедились в этом: когда один из партнеров прикрыл нас "белым лейблом", продукт стал продаваться.

Алексей Раевский – Российские ИБ- и ИТ-вендоры традиционно слабо продвигают себя на глобальном рынке. Обратных примеров буквально единицы, это исключения, которые лишь подтверждают правило. Тому есть несколько причин. Во-первых, если говорить о DLPсистемах, то западные и российские DLP принципиально отличаются. Западные направлены в первую очередь на решение проблемы Сompliance, т.е. соответствия требованиям законов и стандартов в области ИБ, поэтому их функционал довольно скромен, администрирование упрощено и эксплуатация системы возможна в полуавтоматическом режиме. Российские системы в большей степени ориентированы на задачи внутреннего контроля и защиты конфиденциальной информации, поэтому настройки в них более гибкие и сложные и они подразумевают постоянную работу с системой администратора безопасности или контролера. Но не на всех рынках такой расширенный функционал востребован, многих пользователей пугает сложность системы и необходимость содержать дополнительного сотрудника. Во-вторых, западные DLP предлагаются вендорами как компоненты более широкого, интегрированного решения, в которое входит антивирус, защита облачной инфраструктуры и

Партнер "Круглого стола" 32 •

многое другое. В-третьих, к российскому ПО всегда настороженно относились на Западе, а в последнее время, принимая во внимание известные политические события, ситуация еще сильнее ухудшилась. Тем не менее я считаю, что работа российских вендоров на зарубежных рынках обязательна для того, чтобы оставаться в тонусе, не замыкаться в одном сегменте рынка и развивать продукты и технологии. Поэтому и наша компания, и многие другие российские производители сейчас активно начинают продвигаться за рубежом, и это надо всячески приветствовать. – Импортозамещение в сегменте DLP-решений – оправданно ли, с точки зрения потребителя?

Петр Ляпин – Импортозамещение оправданно всегда (или почти всегда), когда речь идет о неприемлемости рисков, связанных с факторами, выходящими за пределы юрисдикции РФ, такими как внешнеполитические события и зависимость от иностранных поставщиков. В качестве примера можно привести объекты критической инфраструктуры. Что касается субъектов малого и среднего бизнеса, то в подавляющем большинстве случаев объективная оценка рисков уже будет содержать в себе нужный ответ.

Константин Саматов – С точки зрения потребителей, первичным должен быть не производитель, а функционал DLPсистемы и возможность ее интеграции в существующую инфраструктуру. По крайней мере, я бы рекомендовал именно на это обращать внимание. Кроме того, большинство исследований, проводимых разными компаниями и опубликованных в общедоступных источниках, свидетельствует о том, что российские аналоги не уступают зарубежным, а по опыту автора – пожалуй, даже превосходят их.

Анатолий Скородумов – Российские DLPрешения всегда были конкурентоспособны. В части формирования общего архива исходящей информации и поиска по этому архиву российские решения всегда были и остаются более функциональными, чем зарубежные. Другое дело, что полноценное внедрение DLP-системы – процесс довольно длительный и трудоемкий. Лицензии на DLPсистему в крупной организации – это серьезные инвестиции. Поэтому для принятия решения о замене уже работающей зарубежной DLP-системы на российскую нужны весомые основания.

Алексей Плешков – Сам по себе термин "импортозамещение" является сложно применимым к ИТ-решениям, поскольку при детальном рассмотрении степень замещения (полная или частичная) является поводом для дальнейшего экспертного обсуждения и споров. Тем не менее в контексте DLP замещение импорта, скорее, решение конкретного заказчика, чем вынужденная мера. Отечественные DLP-решения по праву являются одними из самых конкурентоспособных на российском и мировом рынке, не только благодаря привлекательной ценовой политике, но и в силу объективно высокого качества реализации отдельных функций и опережающих западные аналоги темпов внедрения в промышленную эксплуатацию новых фишек, возможностей и инструментов, в т.ч. составленных на базе анализа потребностей заказчиков.

– Какие новые функциональные возможности вы добавили в свое DLP-решение в прошлом году?

Роман Ванерке – Не могу говорить обо всех решениях, но западные решения идут в облака (поддержка Office 365), ведется внедрение контролей облачных сервисов и интеграция с решениями класса CASB.

Сергей Вахонин – За год, прошедший с момента последнего обзора, мы выпустили несколько обновлений предыдущей версии и в июне 2018 г. в свет вышла новая версия DeviceLock DLP Suite 8.3. Подчеркну, что обновления текущих версий в продукте DeviceLock DLP – это не только

www.searchinform.ru


ZKS 6/29/18 7:20 PM Page 33

www.itsec.ru

DLP

оптимизация и устранение выявленных проблем, но и добавление новых функций. Так, в течение года с момента выпуска версии 8.2 и до июня 2018 г. в нашем комплексе появился интерактивный граф связей, реализован контроль мессенджеров Viber, Telegram и WhatsApp, добавлена поддержка ряда сервисов Web-почты, социальных сетей и файлообменных сервисов, в комплект поставки включались новые словари и шаблоны регулярных выражений и многое другое. Новейшая версия DeviceLock DLP Suite 8.3 получила новый механизм контроля протокола SMB с возможностью контентной фильтрации исходящих файлов, поддержку меток классификатора Boldon James и давно ожидаемую нашими клиентами технологию детектирования данных по цифровым отпечаткам (фингерпринтам). Предмет особой гордости наших разработчиков – тот факт, что анализ по цифровым отпечаткам, как и другие технологии контентной фильтрации, реализованные в DeviceLock DLP, применяются для предотвращения утечек данных, обеспечивая инспекцию содержимого передаваемых, печатаемых и сохраняемых на внешние носители данных в режиме реального времени.

Дмитрий Кандыбович – Удаленный рабочий стол, видеозапись рабочего стола. Контроль и полная блокировка USB-устройств по классам устройств, возможность ограничения записи на USB- и CD-носители. Анализ содержимого и обнаружение зашифрованных архивов. Добавлена функция OCR – оптического распознавания символов на изображениях. Фиксирование фактов и продолжительности звонков с помощью IP-телефонии. Инвентаризация установленного оборудования и программного обеспечения на компьютерах сотрудников. Разработан функционал мониторинга действий сотрудников на GNU-/Linuxсистемах (в т.ч. российских системах специального назначения Astra Linux, Rosa и т.п.): отслеживание активности сотрудников, файловый мониторинг, мониторинг посещения сайтов, перехват печати, контроль командной строки в терминальном режиме, контроль логов, запись с микрофонов. Автоматический детектор аномалий – функция распознает неестественное поведение пользователей и возможные утечки данных. Имеет настройки чувствительности.

Партнер "Круглого стола"

Значительно доработаны статистические отчеты – они стали интерактивными, практически все отчеты используют технику Drill Down для быстрого перехода от общего к частному и расследований по цепочке. Появились новые отчеты – карточки измерений, они представляют собой агрегированную информацию по измерениям: пользователь, компьютер, файл, Web-сайт и т.п. Интеграция с СУБД ClickHouse, которая позволяет в десятки раз увеличить скорость обработки данных при больших объемах данных.

Алексей Парфентьев – За последний год выпустили консоль аналитика (она объединила SearchInform Client и ReportCenter), активно занимаемся разработкой Webинтерфейса, интегрировали КИБ со СКУД, ускорили работу системы, добавили поддержку Telegram, WhatsApp, контроль Web-камеры, усовершенствовали блокировки и технологии анализа аудиоканалов. И, конечно, нашим прорывом стал ProfileCenter – собственная разработка, позволяющая ИБ-специалистам профилировать пользователей и держать под контролем человеческий фактор.

Алексей Раевский – За последний год Zecurion DLP кардинально обновился. Можно сказать, что вышла не просто новая версия системы, а новое ее поколение. Во-первых, все модули теперь полностью интегрированы, их объединяют общие политики, общая консоль управления, единые отчеты и аналитика и т.д. В настоящее время многие DLP-решения не могут этим похвастаться. Во-вторых, серьезно переработан интерфейс системы, теперь она управляется через Web-консоль, добавлены элементы документооборота (Workflow) событий и инцидентов. В-третьих, появился собственный модуль поведенческого анализа пользователей (UBA), который выводит систему Zecurion DLP на новый уровень и ставит ее в один ряд с продуктами мировых лидеров. Наконец, для снижения зависимости от проприетарного ПО и платформ мы реализовали поддержку СУБД PostgreSQL из реестра российского программного обеспечения и сейчас готовим версию DLP-агента для нескольких дистрибутивов Linux.

– Чего вы ожидаете в будущем от DLP-решений? Чего не хватает DLPсистемам российских разработчиков?

Петр Ляпин – Не является секретом то, что среди сильнейших игроков на мировом рынке DLP-решений уже давно присутствуют российские разработчики. Технические возможности систем на текущем этапе идут в ногу со временем и соответствуют развитию контролируемой ими инфраструктуры. Практика использования ряда решений говорит о том, что сбор и фиксация первичных данных реализованы в достаточной мере практически во всех решениях, а вот функции управления нуждаются в определенном развитии. Среди текущих направлений – такие, как направленность на реализацию и автоматизацию реальных сценариев работы с событиями, их данными и интерфейсами, что моментально сделает работу с системой более удобной и, соответственно, эффективной. В перспективе видится целесообразным изучить возможности выявления связей между событиями, применения искусственного интеллекта и других доступных технологий.

Алексей Плешков – Одним из наиболее востребованных сейчас инструментов на рынке DLP являются мобильные DLP-агенты, совместимые с флагманскими версиями программного обеспечения ведущих производителей мобильных телефонов/планшетов/ноутбуков. Недостаточно разработать клиентское приложение, совместимое с текущей версией операционной системы на целевом телефоне, необходимо продумать жизненный цикл этого DLP-агента так, чтобы он позволял адекватно реагировать на инциденты, связанные с актуальными угрозами конфиденциальности информации, хранимой и обрабатываемой вне традиционного периметра безопасности. Теряет свою актуальность "заплаточный подход". Сегодня применять только MDM-решения и контейнеризацию в статическом исполнении уже неэффективно. Бизнес-пользователи требуют от информационной безопасности новые, более гибкие, но не менее защищенные продукты и решения, одним из которых является DLP.

www.searchinform.ru • 33


ZKS 6/29/18 7:20 PM Page 34

СПЕЦПРОЕКТ Константин Саматов – В настоящий момент большинство DLPсистем поддерживает работу агентской части, осуществляющей сбор информации и контроль каналов коммуникации на уровне хоста, только с операционными системами MS Windows. При этом все большее количество организаций переходит на операционные системы семейства Linux. Кроме того, в современных условиях мобильности рабочих процессов большое значение приобретает использование DLP-систем для контроля утечек информации с корпоративных мобильных устройств, работающих на мобильных операционных системах (iOS, Android и SailFish). Прогнозирую, что большинство производителей DLP в ближайшем будущем будет уделять внимание возможности использования своих решений на Unix-платформах.

Анатолий Скородумов – На наш взгляд, современным DLP-системам не хватает следующих вещей: l глубокого понимания структуры организации с возможностью построения правил обработки информации на основе этих данных; l возможностей по выявлению аномалий поведения пользователей; l отсутствие ИТ-зрелости, прежде всего в части надежности работы, отказоустойчивости, масштабируемости, управляемости. Еще одна проблема DLP-систем – это хроническое отставание от современных ИТ-технологий. Есть существенное запоздание между появлением новых ИТ-технологий и их охватом системами DLP. – Чего ждать от разработчиков DLPсистем в обозримом будущем, куда движется отрасль?

Роман Ванерке – Я выделяю два основных направления развития DLP-систем: все большая интеграция с различными облачными решениями и появление технологий выявления аномалий (UEBA). Очевидно, что не всегда есть возможность описать конфиденциальные данные заранее, и в этих случаях на помощь придут технологии

Партнер "Круглого стола" 34 •

UEBA. Например, использование агента на рабочей станции как сенсора, который обеспечит сбор необходимых данных для построения профиля поведения и выявление аномалий, когда сотрудник неожиданно стал копировать много различных документов, пытаться получить доступ к сетевым папкам, куда ранее доступ не запрашивал, и т.д.

Сергей Вахонин – Отрасль движется разнонаправленно, кто-то развивает свои продукты, стараясь обеспечить широту и качество контроля каналов передачи данных, кто-то акцентируется на поведенческом анализе и расследовании инцидентов… Однако, будучи убежденным сторонником концепции предотвращения утечек данных, не могу не отметить отрадную тенденцию появления в последние пару лет в ряде самых раскрученных на российском рынке DLPсистем функции блокировки доступа к USB-устройствам, принтерам и базовым почтовым протоколам. В стратегическом плане перспективы развития DLP-систем следует ожидать повышения уровня соответствия актуальным угрозам и рискам, дальнейшего усложнения аналитических инструментов вплоть до сращивания DLP с другими средствами инфобезопасности или их прозрачной интеграции.

Дмитрий Кандыбович – На первый план выходит честный функционал, который у всех систем сейчас примерно однотипный. Лидеры рынка обновляют свои решения, добавляют Web-интерфейсы. И, конечно, важна цена. Кроме того, обращают внимание на нижнюю часть айсберга: какое оборудование устанавливать, какова стоимость владения, какой будет результат и насколько система универсальна. Она сразу же должна иметь возможность интеграции в информационную инфраструктуру заказчика, а также интегрироваться с другими системами. Преимущество отдается простым, коротким проектам с быстрой отдачей. Нужно

взять коробочное решение, и чтобы оно сразу же заработало. Проект должен в разумные сроки решить поставленные задачи.

Алексей Парфентьев – Если говорить в общем – очевидна тенденция к расширению применения DLP под смежные задачи. Например, контроль эффективности пользователей, проведение расследований, PAM-/PUMконтроль, шифрование носителей, анализ аудиоканалов, eDiscovery. Все ключевые игроки так или иначе уже встали на эти рельсы: кто-то дорабатывает свои решения сам, кто-то заключает партнерские соглашения с узкоспециализированными вендорами. Если говорить о развитии именно инструментария DLP – решения становятся умнее, появляется сложный статистический анализ, элементы машинного обучения, распознавание речи в текст. В фокусе вендоров также UEBAтехнологии. Но мы пошли иным путем и стали автоматизировать профайлинг, поскольку считаем, что релевантную картину вероятных угроз скорее покажет работа с психологией инсайдера, нежели техническая статистика.

Алексей Раевский – Я бы выделил здесь две тенденции. Первая – это дальнейшее встраивание технологий анализа больших данных и искусственного интеллекта в DLP. DLPархив содержит огромный объем информации, и получение новых знаний из этого архива – вопрос времени и развития технологий. Вторая тенденция – это более полный контроль операций с облачными хранилищами. Сейчас происходит процесс размывания традиционного периметра сети организаций, многие операции переносятся в облако. И это будет фактором риска до тех пор, пока DLP-системы не научатся контролировать эти операции и эффективно предотвращать утечки независимо от того, где хранится и обрабатывается информация.

www.searchinform.ru


kandybovich 6/29/18 7:20 PM Page 35

www.itsec.ru

DLP

Как сделать ИБ доступным? Выбор DLP-систем в условиях ограниченного бюджета Дмитрий Кандыбович, генеральный директор компании StaffCop

В

современных экономических условиях компании стремятся сокращать бюджеты, при этом задач не становится меньше и все они должны выполняться. Как решить задачи информационной безопасности за разумные деньги?

DLP-системы по своему предназначению должны контролировать технические средства коммуникации на предмет утечек. Согласно современному подходу, набирающему популярность в России, DLP-система является частью информационной системы, которая решает административные, охранные, управленческие и другие задачи. Так что абстрактная статистика утечек, которая только пугает, но не решает проблемы, сейчас подкрепляется контролем за рабочим временем сотрудников, распределением задач, другими административными, управленческими, техническими и охранными функциями. И если раньше компании тратили много денег и времени, не очень понимая, что получат в результате, то сейчас эффективность инвестиций выходит на первый план, наряду с решением бизнес-задач.

Внедрение информационной системы Основные компоненты – информационная платформа, лицензии, труд разработчиков, дополнительное ПО, стоимость владения, техническая поддержка. Сейчас у руководителей нет охоты слепо доверять крупным брендам, хочется делать осознанный выбор. И сегодняшний рынок предоставляет такие возможности. Не секрет, что коммерческие ОС предъявляют жесткие требования к оборудованию. Если сравнить смету оборудования для коммерческой ОС и системы Open Source, разница может составлять 20–25%. Следует учитывать и клиентсерверную архитектуру. Традиционный подход (толстый клиент) состоит в том, чтобы всех внутренних пользователей объединить в локальную сеть, наделить их широким функционалом, при этом сервер в основном хранит информацию и мониторит рабочие станции. Это создает технические и финансовые сложности,

например, в условиях филиальной структуры. Альтернатива такому подходу – SaaS-технологии, дающие доступ к серверу из любой точки Интернета. При такой архитектуре пользователь получает доступ к функциям со своего клиентского устройства через Web-консоль, имеется возможность проводить анализ и работать с информацией, но большая часть задач по обработке информации выполняется на сервере. Это более современный подход, позволяющий экономить на оборудовании.

Кому доверить внедрение Поставщики информационных систем располагают большими возможностями, чем любой отдельно взятый специалист. Кроме того, они знают свою систему и понимают ее особенности. С другой стороны, любая подрядная организация будет стремиться сделать систему более дорогую, сложную и зависимую от поставщика. Для того чтобы минимизировать негативные последствия этого, необходимо, чтобы в команде внедрения был сотрудник клиента, а в случае большого проекта – два или три сотрудника, разбирающиеся в технических вопросах, знающие и разделяющие цели компании и не дающие "навесить лишнего". Отправляться в полностью "автономное плавание" с такой системой не рекомендуется, потому что, какой бы ни был грамотный сотрудник, разработчик знает свою систему лучше. Поэтому следует поинтересоваться, что будет, когда закончится год бесплатных обновлений, и не экономить на технической поддержке в долгосрочной перспективе. Что касается непосредственно работы с утечками информации, здесь также имеется два подхода. Традиционный – это блокировка контента в случае неправомочных действий с документами. Этот способ тормозит бизнес-процес-

сы, чреват ложными срабатываниями и, самое главное, не решает задачи: не дает руководителю инструменты наказания или доказательную базу для возмещения убытков. Гораздо эффективнее мониторинг ситуации, который позволяет собрать максимум информации, оценить наличие злого умысла в действиях сотрудников, а также не даст злоумышленнику возможности изменить тактику. Но для того чтобы использовать плюсы такого подхода, в организации должны быть соблюдены все процедуры, обеспечивающие режим коммерческой тайны и защиту персональных данных. Одно из важных требований к информационной системе – она должна иметь потенциал роста. Появятся новые продукты, которыми захочется дополнить имеющуюся систему без кардинальных переделок. Уже сейчас нужно, чтобы система безопасности интегрировалась с такими системами, как, например, SIEM-решения, "ГосСОПКА" и пр. С поставщиком нужно обсудить и этот вопрос. Современные требования к системам информационной безопасности – обработка больших массивов информации, интеграция со сторонними системами. Такая система должна иметь все преимущества коробочного решения (простота и быстрота внедрения, разумная цена), но иметь возможность доработки под заказчика. Если решение основано на современном стеке технологий, то заказчик получает гибкий и легко интегрируемый продукт, который доступен как для малых и средних, так и для крупных компаний. l

Если раньше ПО с открытым кодом занимались маргиналы-энтузиасты, то сейчас крупные компании разрабатывают продукты на платформах Open Source (в частности, Linux). Поэтому компания, приобретающая продукт, основанный на открытом коде, вполне защищена и избавлена от расходов на лицензирование.

Вендоры ИС безопасности заинтересованы в том, чтобы клиенты избежали юридических осложнений, поэтому с удовольствием окажут своим клиентам помощь в данном вопросе.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 35


tehoboz 6/29/18 7:20 PM Page 36

СПЕЦПРОЕКТ

Обзор DLP-решений Наименование продукта (системы)

StaffCop Enterprise

Гарда Предприятие

Компания-разработчик

ООО "Атом Безопасность"

Гарда Технологии

Страна происхождения

Россия

Россия

Год выпуска первой коммерческой версии

2014

Н/д

Наличие русскоязычной технической поддержки

+

+

Продукт собственной разработки/продукт OEM

Собственная разработка Собственная разработка

Ключевые возможности системы Возможность избирательного предоставления доступа (разрешение или блокировка) для устройств и локальных интерфейсов

+

+

Возможность избирательного предоставления доступа (разрешение или блокировка) для сетевых протоколов и сервисов

+

+

Реализация мониторинга для устройств и локальных интерфейсов

+

+

Реализация мониторинга для сетевых протоколов и сервисов

+

+

Возможность предоставления доступа (разрешение или блокировка) к устройствам на основании (по результатам) анализа содержимого данных (контентная фильтрация в реальном времени)

+

Возможность предоставления доступа (разрешение или блокировка) к сетевым протоколам и сервисам на основании (по результатам) анализа содержимого данных (контентная фильтрация в реальном времени)

-

-

Контроль терминальных сред, контроль устройств, перенаправленных в терминальные сессии

+

+

Наличие собственного анализа данных мониторинга (события и/или теневые копии данных) – полнотекстовый поиск, контентный анализ данных

+

+

Реализация контроля хранимых данных (Data-At-Rest) – сканирование рабочих станций и/или устройств сетевого хранения данных с обнаружением заданной информации

+

Реализация мониторинга рабочих мест и пользовательской активности

+

+

Реализация контроля приложений

+

+

Тип системы Специализированная DLP-система, система мониторинга пользовательской активности, система другого класса с встроенным DLP-модулем

Система мониторинга пользовательской активности с возможностью блокировки устройств, приложений, сетевых/веб-ресурсов

Специализированная DLP-система

Перехват сетевого трафика Сетецентричная DLP-система (перехват и анализ трафика на серверном уровне), Endpoint DLP (перехват и анализ трафика на агентах), система с перехватом трафика на агентах (сниферы) и анализом на серверном уровне, другие варианты

Перехват трафика на агентах, анализ на централизованном сервере

Гибрид (анализ трафика на уровне оборудования сети + частично на агентах)

Общее описание системы Архитектура

36 •


tehoboz 6/29/18 7:20 PM Page 37

www.itsec.ru

DLP

Business Guardian

DLP Solar Dozor 6.6

DLP-система "Контур DeviceLock DLP информационной Suite 8.3 безопасности Серчинформ", версия 5.0

Zecurion DLP

ООО "ИТЕРАНЕТ"

Ростелеком-Solar (OOO "СОЛАР СЕКЬЮРИТИ")

ООО "СерчИнформ"

АО "Смарт Лайн Инк"

Zecurion

Россия

Россия

Россия

Россия

Россия

2008

2000

2006

1997

2005

+

+

+

+

+

Собственная разработка Собственная разработка Собственная разработка

Собственная разработка Собственная разработка

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

-

+

-

+

+

+

+

SMTP, HTTP(s)

+

+

-

+

Для популярных средств виртуализации или удаленного доступа

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

В разработке

+

-

+

+

-

+

Специализированная DLP-система

Специализированная DLP-система корпоративного уровня

Сетевая и агентская DLP Специализированная + eDiscovery + система полнофункциональная контроля продуктивности DLP-система

Комплексная DLP-система с поддержкой контроля сетевых и локальных каналов утечек данных, Discovery-модулем и собственными решениями для проксирования, управления и защиты трафиком Enterprise-уровня, мониторинга пользовательской активности

Система с перехватом трафика на агентах (сниферы) и анализом на серверном уровне

Комплексная DLPсистема: сетевые (шлюзовые перехватчики) полнофункциональный EndPoint-агент, файловый и облачный краулер, интеграция с внешними системами

На уровне сети (SPAN), на уровне проксисервера (ICAP), на уровне агентов (Endpoint) для Windows или Linux

Сетецентричная гибридная шлюзово-агентская DLPсистема с поддержкой контентного анализа, шифрования и Discoveryмодулем для контроля информации в местах хранения с поддержкой собственных SWG-, PAMсервисов, а также модулей поведенческого анализа и классификации веб-ресурсов (1+ млрд сайтов)

Endpoint DLP, используются агенты со встроенным резидентным модулем, реализующим технологию глубокого анализа и фильтрации сетевых пакетов (Deep Packet Inspection, DPI) непосредственно на защищаемом компьютере

Полный вариант таблицы читайте в разделе "Материалы" на сайте: http://www.itsec.ru/articles2/dlp/obzor-0318

• 37


pryanikov 6/29/18 7:20 PM Page 38

УПРАВЛЕНИЕ

Формирование показателей уровня защищенности, методы и практики Андрей Пряников, заместитель директора по безопасности по защите информации, ООО ТД “УНКОМТЕХ”

Д

Для того чтобы уровень зрелости процесса вырос, необходимо: l

cоздать документацию с

четким описанием самого процесса; l

cформировать техниче-

ские требования для систем, которые необходимы для реализации процесса; l

сформировать команду

участников процесса и описать их зоны ответственности (идеальным инструментом тут является RACIматрица); l

запустить процесс соглас-

но описанию и всем требованиям к ресурсам.

38 •

ля того чтобы контролировать ту или иную деятельность в нашей жизни, необходимо измерять ее эффективность. А для измерения эффективности и контроля необходимо сформировать показатели (метрики).Таким образом, для контроля информационной безопасности необходимо сформировать показатели уровня защищенности. Но что же такое уровень защищенности и что может являться его показателем?

Как известно, обеспечение информационной безопасности, а в частности управление информационной безопасностью, – это макропроцесс (процесс обеспечения конфиденциальности, целостности и доступности информации), который, в свою очередь, состоит из множества отдельных процессов. Уровень зрелости процессов уже есть величина измеримая. Как правило, такой измеритель применяется в аудиторской практике, например на соответствие стандарту ISO 27001. Помимо описания и оценки зрелости самих процессов хорошими критериями для оценки уровня защищенности является оценка соответствия требованиям в более глобальном смысле. Каким требованиям – вопрос сугубо специфичный для конкретной организации. В частности, у нас имеется законодательство, которое необходимо выполнять, имеется множество рекомендаций как от технических вендоров, так и от регулирующих организаций. На базе всего этого можно разработать отдельные списки требований и в целом получить комплексную оценку уровня зрелости составных процессов ИБ и оценку соответствия требованиям. Такая оценка позволит нам контролировать текущий уровень зрелости функции ИБ и на базе этого планировать дальнейшее ее развитие. Проблема в том, что такой подход не позволит нам видеть текущую динамическую картину угроз. Для ее формирования необходим другой подход.

Начнем с процессов Широко используемой методологией оценки зрелости процесса является методология, базирующаяся на модели Capability Maturity Model Integration (CMMI). Для наглядности сведем значение, уровни и описание в таблицу. Рассмотрим простой пример на базе процесса управления инцидентами ИБ. Допустим, в инфраструктуре "упал" сервер базы данных (БД), в течение суток его восстановили и работающие на нем системы продолжили функционирование, руководству доложили: "Да, был сбой, но мы все починили". Кого-то после этого накажут. А сама БД, возможно, потом "всплывет" где-то в теневом Интернете. Это неконтролируемый процесс управления инцидентами, он же начальный (1). Для того чтобы уровень зрелости процесса вырос, необходимо: l cоздать документацию с четким описанием самого процесса; l cформировать технические требования для систем, которые необходимы для реализации процесса; l сформировать команду участников процесса и описать их зоны ответственности (идеальным инструментом тут является RACI-матрица); l запустить процесс согласно описанию и всем требованиям к ресурсам. Допустим, у нас имеется описание процесса, его постоянное выполнение и все необходимые для него средства и ресурсы. Тот же самый инцидент с "падением" сервера базы данных, но в тот самый момент,

когда в БД произошел сбой: сотрудник ИБ моментально получил сообщение от системы, уведомил всех участников процесса, получил всю цепочку событий, предшествующих инциденту, а по результатам был написан подробный отчет. Базу данных при этом удалось восстановить за пять минут, благодаря полученной цепочке событий. Все угрозы утечки БД удалось заранее заблокировать. А менеджмент получил полное понимание причинно-следственной связи. Такой процесс можно назвать управляемым (4) или даже оптимизируемым (5). Итак, что мы имеем. Если взять стандарт по ИБ (готовый, или разработанный внутри компании), расписать все процессы по нему и понять, на каком же уровне зрелости они находятся, мы можем получить некую оценку каждого процесса от 1 до 5, что позволит нам получить единоразовый срез уровня защищенности. Надеюсь, с процессами все более-менее понятно.

А что же с "требованиями"? Для начала надо определиться, какие требования нам необходимо обязательно выполнять, в первую очередь это относится к законодательству и сфере деятельности компании. Например, вы медицинское учреждение, наверное, тут будет особо важным соблюдение ФЗ-152 о персональных данных. Вы работаете с платежными картами? Будьте добры соответствовать PCI DSS. Во вторую очередь, нужно определиться, каким сторонним стандартам мы хотим соответствовать (например, в перспек-


pryanikov 6/29/18 7:20 PM Page 39

www.itsec.ru

УПРАВЛЕНИЕ

Таблица. Модель Capability Maturity Model Integration тиве рассчитываете сертифицироваться по ISO). В третью очередь, определить специфику используемых в компании средств и определить перечень рекомендаций для них. У той же всем известной компании Microsoft есть множество рекомендаций по всем их продуктам и инфраструктуре в целом. К сожалению, зачастую далеко не все они выполняются. Ярким примером тут может служить обеспечение безопасности привилегированного доступа1. Каждый уважающий себя вендор имеет рекомендации по обеспечению высокого уровня ИБ, и по ним можно сформировать целевые требования. Требования могут появиться и просто со стороны экспертизы и опыта конкретных людей. Важно найти грань детализации этих требований. Итого мы имеем понимание процессов ИБ и всех целевых требований, присущих нашей компании. Определив текущий уровень зрелости ИБ (процессы и соответствие требованиям), мы можем выбрать уровень, к которому нам необходимо стремиться, и составить план его достижения (т.е. получить корректную стратегию развития ИБ). Периодически перепроверяя выполнение этого плана по сформированным метрикам, мы сможем контролировать развитие функции в целом.

Динамика Вернемся ко второй составляющей аспекта оценки показателей уровня защищенности. Как же нам получать динамический срез того, что происходит в инфраструктуре, и как нам видеть динамические риски? Тут нам помогут технические средства, их события и системы отчетности. В частности, такими метриками могут быть отчеты периметрового межсетевого экрана/IPS/ NGFW/Proxy (с детализацией атак, статистикой посещений определенных категории сайтов, скачиваний, да и в целом использования сети Интернет), антивирусные средства с их отчетностью, срабатывания DLP-систем, периодические отчеты сканера уязвимостей, события с контроллера домена, события с конечных хостов в целом – примеров можно привести много. 1

https://aka.ms/privsec

Значение Уровень

Описание

1

Начальный

Процессы непредсказуемые, слабо контролируемые.

2

Повторяемый

Процессы определены на уровне проектов.

3

Определенный

Процессы определены на уровне всей организации.

4

Управляемый

Процессы измеряются и контролируются

5

Оптимизируемый Фокус на совершенствование процессов

процессы появляются в ответ на определенные события Зачастую процессы появляются в ответ на определенные события Процессы исполняются заблаговременно

При росте динамической составляющей оценки уровня защищенности приходит понимание, что за всеми источниками событий следить невозможно. И, как правило, это приводит к внедрению системы корреляции и управления событиями в инфраструктуре (aka SIEM). При должной настройке и понимании потребностей мы сможем получать картину до любого уровня погружения, удовлетворив уровень менеджмента компании (для которого важен лишь динамический интегральный показатель) и создав систему для детального анализа происходящего (для уровня инженеров). Допустим, нам удалось добиться необходимого уровня развитости ИБ, а динамические показатели работают так, как нами было задумано. Но как нам получить подтверждение того, что нам удалось достичь требуемого уровня? Тут нам поможет этичный хакинг или тестирование на проникновение (Pentest) в инфраструктуру компании. Это не что иное, как реальная проверка и демонстрация реализации рисков. Как правило, это комплексная задача, включающая проверку сотрудников компании и манипулирования ими (социальная инженерия), эксплуатацию технических уязвимостей и некорректных настроек (как внутри компании, так и за ее пределами), сбор открытых сведений, тестирование на Web-уязвимости и пр. Данный метод оценки уровня защищенности, с одной стороны, является самым показательным, с другой стороны, может вообще не отражать реальную составляющую ИБ. Тут все очень сильно зависит как от квалификации исполнителей, так и от возможностей и ограничений, которые были поставлены перед ними. Пожалуй, это тот вариант, который может не требовать перевода в

язык цифровых показателей. Скриншоты доступов к почте/конфиденциальной информации и системам иногда говорят лучше цифр, даже для руководства. Сам этичный хакинг можно использовать и до развития зрелости функции ИБ, чтобы дополнительно показать необходимость ее улучшения. Стоит отметить, что на самом деле формирование динамических показателей и проведение тестирований на проникновение – это тоже процессы ИБ. И для того, чтобы они стали рабочими инструментами, к ним так же нужен системный подход, о котором шла речь ранее.

При росте динамической составляющей оценки уровня защищенности приходит

Подведем итог В глобальном смысле формирование показателей уровня защищенности является частью большого и очень важного макропроцесса – управления информационной безопасностью, каждая часть которого имеет свое значение, но при этом повышая общий уровень прозрачности работы функции ИБ, возможности ее оценки и контроля, а также позволяя всем участникам находиться в едином информационном поле. Формирование показателей уровня зрелости конкретных процессов ИБ поможет стратегически отслеживать развитие функции. Формирование показателей соответствия требованиям позволит отслеживать выполняемость текущего заданного уровня обеспечения ИБ. Формирование конкретной динамической отчетности позволит контролировать и быстро реагировать на текущие угрозы и риски, а периодическое проведение тестирований на проникновение поможет убедиться в реальности полученных оценок. l

понимание, что за всеми источниками событий следить невозможно. И, как правило, это приводит к внедрению системы корреляции и управления событиями в инфраструктуре (aka SIEM). При должной настройке и понимании потребностей мы сможем получать картину до любого уровня погружения, удовлетворив уровень менеджмента компании (для которого важен лишь динамический интегральный показатель) и создав систему для детального анализа происходящего (для уровня инженеров).

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 39


pleshkov 6/29/18 7:20 PM Page 40

ТЕХНОЛОГИИ

Кибероружие будущего Алексей Плешков, эксперт по информационной безопасности

Р

Январь 2017 г. – утечка более 27 тыс. единиц данных в Princeton University изза уязвимостей в MongoDB. Апрель 2017 г. – компрометация мобильного приложения компании New York Posts и рассылка от ее имени недостоверных новостей и сообщений об угрозах. Август 2017 г. – массивная DDоS-атака на системы в центральном офисе Национальной почты Украины с целью остановки основных бизнес-процессов. Сентябрь 2017 г. – шокирующее сообщение о компрометации базы данных, содержащей информацию о 143 млн клиентов компании EQUIFAX, в т.ч. злоумышленниками были скомпрометированы номера полисов социального и медицинского страхования и реквизиты

убеж 2016–2017 годов в российском ИБ-сообществе запомнился прежде всего официальным принятием долгожданного и важного для многих отраслей документа “Доктрина информационной безопасности Российской Федерации”, утвержденного Указом Президента Российской Федерации от 5 декабря 2016 года № 646 (далее – доктрина), получившая в народе простое, но очень наукоемкое прозвище “Доктрина кибербезопасности”. Она представляет собой систему официальных взглядов, позиций и требований по обеспечению национальной безопасности России во всех плоскостях информационного пространства.

В доктрине представлены пять основных направлений, определяющих интересы России в информационной сфере, перечислены 10 новых (по состоянию на 2016 г.) информационных угроз для России как мощного игрока на международной киберарене и в сети Интернет, заданы цели и направления обеспечения информационной безопасности на ближайшие 10 лет. Примерно в это же время, судя по индексу популярности отечественных поисковых систем, в Интернете резко возрос интерес к модным, но непонятным на тот момент в России терминам с приставкой "кибер-" (от английского Cyber): кибербезопасность, киберспорт, киберпространство, киберорганизм, киберпреступление, кибермошенничество и т.д. Только ленивый маркетолог или неопытный сейл не включал в свою универсальную презентацию 1–2 слайда на тему современных киберугроз и, о чудо, имеющихся только у него в наличии решений класса "серебряная пуля", позволяющих раз и навсегда решить вопрос с кибератаками на целевые системы.

перечень наиболее резонансных кибератак в отношении объектов защиты разного уровня, разной природы и локации, реализованных злоумышленниками в 2017 г. Январь 2017 г. – утечка более 27 тыс. единиц данных в Princeton University из-за уязвимостей в MongoDB. Апрель 2017 г. – компрометация мобильного приложения компании New York Posts и рассылка от ее имени недостоверных новостей и сообщений об угрозах. Август 2017 г. – массивная DDоS-атака на системы в центральном офисе Национальной почты Украины с целью остановки основных бизнес-процессов. Сентябрь 2017 г. – шокирующее сообщение о компрометации базы данных, содержащей информацию о 143 млн клиентов компании EQUIFAX, в т. ч. злоумышленниками были

скомпрометированы номера полисов социального и медицинского страхования и реквизиты банковских платежных карт жителей США. И этот список громких киберпреступлений можно продолжать еще долго. Но действительно ли при их реализации использовалось современное кибероружие? Или это серия несвязных событий, которая иллюстрирует наличие реальных угроз и актуальность проблематики борьбы с кибер-атаками? Для понимания данного вопроса рассмотрим еще один пример. 22 июня 2017 г. в нейтральных водах Черного моря ВМФ США проводились учения отдельных подразделений по координации действий. В процессе выполнения упражнений технические офицеры на нескольких десятках кораблей

банковских платежных карт жителей США.

Кибероружие – маркетинг или реальность? По материалам выступлений на профильных мероприятиях экспертов компании Check Point может сложиться впечатление, что кибератаки с использованием современного кибероружия происходят с завидной регулярностью. Примером может служить

40 •

Рис. 1. Модель, демонстрирующая место атаки в координатах стоимости ресурсов, масштаба воздействия и фактическую разницу между целевыми атаками и кибероружием


pleshkov 6/29/18 7:20 PM Page 41

www.itsec.ru

ТЕХНОЛОГИИ

зафиксировали внезапный сбой системы GPS-навигации, о чем незамедлительно проинформировали штаб учений в США. В отчете сообщалось, что один из кораблей ВМС США, судя по системе GPSнавигации, очутился на суше: в 32 км от моря, в Геленджике, на территории Российской Федерации. Такие же странности были зафиксированы еще тремя десятками кораблей различного класса, находящимися в непосредственной близости от берегов РФ. Поведение системы навигации было признано непонятным, а учения временно (до выяснения причин и устранения последствий) были приостановлены, но вскоре продолжены. Первое сообщение в СМИ с громким заголовком "Запад шокирован новостью о том, что Россия провела испытания новейшего кибероружия над кораблями США в Черном море" появилось только в августе 2017 г., спустя полтора месяца после инцидента. Иностранные авторы статьи сделали акцент на том, что российские вооруженные силы успешно испытали неизвестное ранее кибероружие, действие которого не дает противнику отслеживать курс кораблей, путает GPS-навигаторы и сообщает недостоверную информацию о находящихся вблизи судах и подводных лодках. "… Теперь пилотам НАТО надо быть очень осторожными в полетах, так как их GPS могут привести самолеты совсем в другое место для выполнения боевых или учебных задач. Также внимательными стоит быть и при пусках ракет, ведь при наведении системы GPSнавигации тоже используются…" При этом никаких отчетов или экспертных заключений о результатах расследования в публикациях не приводится, но сделанный журналистами громкий вывод об использовании Россией новейшего кибероружия сам по себе дает пищу для размышления.

Что такое кибероружие? Два различных примера, два подхода к реализации кибер-атак, два уровня киберугрозы. Но действительно ли оба примера "про кибероружие"? И что вообще такое это

самое пресловутое "кибероружие": очередная "утка" в СМИ, чья-то PR-компания на технической неграмотности обывателей, маркетинговая акция очередного вендора по повышению продаж современных защитных систем? А может, кибероружие – это уже неактуальная новость из "вчерашней газеты", о которой все и всем известно? Или абстрактная плагиативная сущность, случайно или намеренно перекочевавшая со страниц фантастических книг и сценариев к фильмам? Для начала спросим об этом у самого осведомленного, независимого и не сгибаемого под гнетом блокировок источника – поисковой системы Google.

ОК, Google, что такое кибероружие? Если вопрос о кибероружии задает пользователь поисковой системы, физически расположенный/подключенный к Всемирной паутине с территории Российской Федерации (внутри RU-сегмента, согласно официальным данным регистратора), поисковик выдает более 100 тыс. результатов, которые прямо или косвенно связаны с ответом на заданный вопрос. Большинство ссылок – на материалы исследователей или технически подкованных авторов и журналистов, освещающих геополитические события в мире: "США наращивает киберсилы", "Как АНБ контролирует свое кибероружие?", "Кибероружие – страшнее атомной бомбы", "Использование кибероружия и риск Армагеддона в киберпространстве", "Кибероружие: пятое измерение современной войны", "Кибер-оружие страшнее ядерного", "Кибероружие США протестировано на Украине" и пр. Прочесть все материалы на тему кибероружия, появившиеся в последние несколько лет в Рунете, физически невозможно. Но бросается в глаза тот факт, что формального определения этому термину до настоящего времени не дано, публикации официальных органов и регуляторов по данной проблематике крайне скупы и однообразны, а комментарии по применению различных инструментов, классифицированных Западом как киберо-

ружие России, вообще отсутствуют. 100 тыс. – много это или мало? Об этом можно судить только в сравнении с отчетом того же поисковика, но сделанного по запросу за пределами Рунета, к примеру с территории и адресного пространства США. В этом нам сможет помочь VPN-сервис и/или сеть TOR. Такой же запрос к Google вне российского сегмента выдает более 137 тыс. иностранных публикаций и ссылок, большинство из которых – комментарии официальных лиц и публикации официального уполномоченного в США органа United States Cyber Command. Но встречаются и ссылки на статьи и блоки экспертов. Russia’s Cyber Weapons hit Ukraine, Russians stole NSA Cyber Weapons, Russia has developed a new cyber-weapons that …, U.S. Cyber Weapons used against Iran and North Korea, NATO just added Cyber Weapons to its armoury, 21st Century warfare with cyber Weapons, Cyberwarfare by Russia – Интернет-посты с подобными заголовками публикуются за пределами Рунета в противовес отечественным суждениям о природе и сущности современного кибер-оружия. Во многих из них фигурирует аббревиатура U.S.C.C. Созданная в 2010 г. по указу президента США Барака Обамы организация U.S. Cyber Command (U.S.C.C., USCYBERCOM) призвана обеспечить кибербезопасность цифровой инфраструктуры Америки, годом ранее названной Обамой "стратегическим национальным активом" и "основным объектом защиты от кибератак". USCYBERCOM, вследствие глубокого понимания правительством США проблематики и поддержки глобального обеспечения кибербезопасности, очень быстро получила финансирование и за 1–2 года смогла развиться как в области превентивной защиты, так и в области анализа стратегии и

Что вообще такое это самое пресловутое "кибероружие": очередная "утка" в СМИ, чья-то PR-компания на технической неграмотности обывателей, маркетинговая акция очередного вендора по повышения продаж современных защитных систем? А может, кибероружие – это уже неактуальная новость из "вчерашней газеты", о которой все и всем известно?

Прочесть все материалы на тему кибероружия, появившиеся в последние несколько лет в Рунете, физически невозможно. Но бросается в глаза тот факт, что формального определения этому термину до настоящего времени не дано, публикации официальных органов и регуляторов по данной проблематике крайне скупы и однообразны, а комментарии по применению различных инструментов, классифицированных Западом как кибероружие России, вообще отсутствуют.

• 41


pleshkov 6/29/18 7:20 PM Page 42

ТЕХНОЛОГИИ

В открытых источниках представлено множество псевдооригинальных определениий кибероружия, но ни одно из них не является официально принятым. Приведем три из них. Определение № 1. Кибероружие – это разнообразные технические и программные средства, направленные на эксплуатацию уязвимостей в системах передачи и обработки информации или программно-технических целевых системах противника.

Одним из примеров эффективной работы по созданию кибероружия является практика Китая. В 2015 г. в Интернете появилось долгожданное официальное подтверждение наличия в составе вооруженных сил и разведслужб Китая специализированных подразделений, основной деятельностью которых является "подрывная деятельность в киберпространстве". Фактическое подтверждение проведения со стороны Китая деструктивной киберактивности содержалось в документе "Наука военной стратегии", опубликованном Народно-освободительной армией Китая. Документ был фактически препарирован профильными подразделениями U.S.C.C., и в минимально короткие сроки появился опубликованный в Интернете анализ содержания. Согласно тексту документа, правительство Китая в 2005 г. инициировало создание и в дальнейшем разделило на три ключевых направления деятельности национальные кибервойска. В настоящее время созданы и успешно функционируют по всему миру штатные и нештатные подразделения трех типов: l первый тип – "специальные военизированные компьютерные войска", состоящие из оперативных военных отделов, основная задача которых – защита от внешних кибератак национальных активов и инфраструктуры; l второй тип – гражданские специалисты с правом выполнения "сетевых боевых действий"; l третий тип – не относящиеся к правительству "внешние элементы", которые могут быть мобилизованы для выполнения вредительских действий во внешних сетях. За период с 2005 по 2018 г. представители киберподразделений Народно-освободительной армии Китая регулярно совершали кибератаки за пределами своего сегмента сети Интернет, в т.ч. для проведения испытаний современного кибероружия. Так, по результатам 2016 г. в список самых разыскиваемых ФБР киберпреступников, опубликованный на сайте ведомства, попали сразу пять офицеров Народно-освободительной армии Китая.

Определение № 2. Под термином "кибероружие" понимается устройство или программно-техническое средство, изначально предназначенное для уничтожения либо нанесения существенного ущерба, поражения инфраструктуры противника. Определение № 3. Программное обеспечение или оборудование, предназначенное для нанесения ущерба в киберпространстве.

инструментов проведения кибератак со стороны групп злоумышленников на объекты, территориально расположенные в США. На рубеже 2011–2012 гг. руководство USCYBERCOM публично заявило о регулярных попытках применения более чем 140 странами по всему миру (в т.ч. Россией, Китаем, Германией, Великобританией, Индией, Ираном, Северной Кореей и пр.) в отношении объектов на территории США новейшего кибероружия и о готовности киберподразделений USCYBERCOM "практически в одиночку" дать адекватный отпор. Это косвенно совпадает с озвученной ранее Э. Сноуденом неформально функционирующей в профильных организациях в США концепцией превентивной кибербезопасности.

Киберподразделения России Подтвердить или опровергнуть наличие в российских вооруженных силах структуры, полностью аналогичной

42 •

американской USCYBERCOM, по состоянию на 2018 г. сложно. При этом в штатном расписании всех действующих организаций-регуляторов прямо или косвенно присутствуют подразделения, в чьи функциональные обязанности входит противодействие актуальным кибер-атакам: МВД – БСТМ, Управление К; ФСБ – 8-й центр; ЦБ – ФинЦЕРТ и др. Но даже на фоне явного понимания и поддержки со стороны исполнительной власти вопрос формализации и стандартизации в области кибербезопасности и кибероружия в настоящее время в России не закрыт. В открытых источниках представлено множество псевдооригинальных определений кибер-оружия, но ни одно из них не является официально принятым. Приведем три из них: l определение № 1. Кибероружие – это разнообразные технические и программные средства, направленные на эксплуатацию уязвимостей в системах передачи и обработки информации или в про-

граммно-технических целевых системах противника; l определение № 2. Под термином "кибероружие" понимается устройство или программно-техническое средство, изначально предназначенное для уничтожения либо нанесения существенного ущерба, поражения инфраструктуре противника; l определение № 3. Программное обеспечение или оборудование, предназначенное для нанесения ущерба в киберпространстве. Все определения схожи по следующим формальным чертам: наличие деструктивной цели (нанесение ущерба), фактическое присутствие противника и разрушительный характер воздействия. Но в таком виде определение кибероружия, с точностью до общности, совпадает с модным в настоящее время на российском рынке продуктов кибербезопасности маркетинговым термином "целевая атака" или "средство для проведения целевой атаки". В чем разница? Или это одно и то же, поданное/проданное различной аудитории под разным соусом?

Целевая атака vs кибероружие Разница между инструментом для проведения целевой атаки и кибероружием – в количестве ресурсов, необходимых для подготовки и проведения атаки. В случае с целевой атакой важным аспектом является стоимость проведения. Она существенно превышает затраты на массовые атаки, совершаемые хакерами начального уровня для повышения собственной квалификации, но в любом случае имеет некоторый лимит. Бесконечно вкладываться деньгами, временем, опытом и знаниями в целевую атаку, прибыль от которой не покроет


pleshkov 6/29/18 7:20 PM Page 43

www.itsec.ru

ТЕХНОЛОГИИ

затрат на ее проведение, способны далеко не многие злоумышленники (не берем в расчет совершение преступления по религиозным или социальным соображениям, так называеый хактевизм). При этом в случае с разработкой кибероружия самым важным является результат. Средства (ресурсы для его достижения) для заказчика и исполнителей не столь важны. Любыми способами получить желаемый инструмент и реализовать задуманный сценарий – это, по словам Э. Сноудена, основное стремление разработчиков кибероружия по всему миру. На рис. 1 приведена модель, демонстрирующая на известных типах сетевых атак место атаки в координатах стоимости ресурсов и масштаба воздействия и фактическую разницу между целевыми атаками и кибероружием.

Кибервойска темной стороны Согласно статистике лабораторий по расследованию компьютерных преступлений и опубликованным на закрытых форумах материалам отдельных экспертов, привлекаемых для расследований кибератак, чаще всего разработчиками вредоносного ПО и архитекторами кибероружия выступают молодые (до 30 лет) специалисты с профильным техническим образованием, оказавшиеся в сложной жизненной ситуации, получившие дополнительную мотивацию (различной природы) к сотрудничеству от представителей проправительственных организаций. По сути своей завербованные талантливые программисты, исследователи уязвимостей, вирусные аналитики и хакеры-любители составляют основной костяк иностранных виртуальных сообществ, больше известных как кибервойска. Не вдаваясь в доподлинно неизвестные подробности, аспекты и причины работы киберспециалистов на правительства иностранных государств, у российских экспертов по информационной безопасности вызывает отдельное уважение (в профессиональном плане) качество и объем работы, проделанный иностранными кибервойсками в минимальные сроки.

Колонка эксперта Специфика содержания термина "кибероружие" отсылает нас в область международного гуманитарного права. Но, как правильно обратил внимание автор, формальное определение термина на уровне международных соглашений отсутствует. Однако это не говорит о том, что вопросу не уделяется должного внимания. Профессор МГЮА В.А. Батырь1 определяет кибероружие как "технические и программные средства поражения (устройства, программные коды), созданные государственными структурами, которые конструктивно предназначены для воздействия на программируемые системы, эксплуатацию уязвимостей в системах передачи и обработки информации или программотехнических системах с целью уничтожения людей, нейтрализации техничеПетр Ляпин, ских средств либо разрушения объектов инфраструктуры проэксперт по тивника"2. Это определение видится наиболее удачным, так как информационной во многом соответствует объективной действительности. Похожей безопасности позиции придерживается ведущий эксперт Центра военно-политических исследований МГИМО В.В. Каберник в своей статье "Проблемы классификации кибероружия"3, но определения не приводит. Профессор университета Хопкинса Thomas Rid4 и профессор Королевского колледжа Лондона Peter McBurney5 определяют кибероружие как a computer code that is used, or designed to be used, with the aim of threatening or causing physical, functional, or mental harm to structures, systems, or living beings6. Отличие заключается в том, что определение ограничено лишь программным кодом. Формирование норм международного права – крайне длительная процедура. Позиции, предложенные экспертами в их научных работах, являются ее началом, фундаментальной отправной точкой, где в значительном объеме прорабатывается предметная область. В дальнейшем сформированная позиция предлагается для всеобщего рассмотрения. Однако такие факторы, как внешнеполитическая обстановка, способны оказывать значительное влияние и на предмет предложений, и на сроки принятия решений. Ярким примером является фактическая приостановка рассмотрения в рамках ООН7 предложенной Российской Федерацией еще в 2011 г. концепции конвенции ООН "Об обеспечении международной информационной безопасности"8. Этот проект в какой-то мере противопоставлен действующей Конвенции Совета Европы о киберпреступности9, которая активно поддерживается США. Предметная область достаточно сложна, и на текущий момент ни формальные определения, ни фактические разработки и применение кибероружия никак не регламентированы международными соглашениями, что справедливо вызывает обоснованные опасения. l 1

2

3

4 5 6 7 8

9

Профессор кафедры международного права Московского государственного юридического университета имени О.Е. Кутафина (МГЮА). См. статью В.А. Батыря в Евразийском юридическом журнале (2014, № 2) “Новые вызовы XXI века в сфере развития средств вооруженной борьбы". См. статью В.В. Каберника в журнале “Вестник МГИМО – Университета" (2013, № 2) “Проблемы классификации кибероружия". Professor of Strategic Studies at Johns Hopkins University. Professor of Computer Science of Kings College London. См. статью в журнале The Hacker New Magazine (2012, April Edition) “Cyber_Warfare”. Организации Объединенных Наций. См. текст документа [Электронный ресурс] – http://www.scrf.gov.ru/security/information/document112/ См. текст документа [Электронный ресурс] – http://conventions.coe.int/Treaty/en/ Treaties/Html/185.htm

Современные кибератаки Кейс № 1 7 сентября 2017 г. портал WikiLeaks опубликовал четыре секретных и 37 смежных документов различного уровня секретности из проекта Protego, реализованного спецподразделениями ЦРУ в 2014–2015 гг. Проект Protego – это не типовой проект ЦРУ по разработке внедоносных компонентов. Он

предполагал совместную с компанией Raytheon разработку ПО для управления крылатыми ракетами с PIC-микроконтроллерной архитектурой. В документации по проекту Protego указано, что целевой системой могут быть оснащены самолеты ВВС США Pratt & Whotney (PWA), которые в период боевых вылетов несут на борту ракеты класса "воздух – воздух" и "воздух – земля". В украденной из ЦРУ докумен-

• 43


pleshkov 6/29/18 7:20 PM Page 44

ТЕХНОЛОГИИ

Согласно статистике лабораторий по расследова-

тации содержится подробное описание архитектуры выбранного решения и способов обхода подсистемы шифрования и аутентификации. В документах под заголовками System HW Description, Build Procedure или Message Format содержится подробное описание работы логических компонентов решения. Появление данной информации в открытом доступе, при условии, что проект Protego завершен, а целевая система успешно внедрена и эксплуатируется в ВВС США и ряда стран партнеров, является примером разглашения технологических секретов производства, сопоставимым с применением в отношении США информационного и кибероружия.

нию компьютерных преступлений и опубликованным на

Кейс № 2

закрытых форумах материа-

31 августа 2017 г. портал WikiLeaks разместил в открытом доступа материалы по проекту Angelfire, выполненному ранее по заказу ЦРУ некой субподрядной ИТ-компанией в США. Суть проекта заключалась в разработке 5-компонентной программы-импланта для ОС линейки Microsoft Windows. Результатом успешной реализации проекта Angelfire стала разработка гибкого фреймворка, который достаточно легко можно загрузить на целевую систему с использованием уязвимостей нулевого дня и применять в дальнейшем в качестве платформы для выполнения других совместимых программ-закладок, нацеленных как на сбор конфиденциальной информации в процессе работы пользователя, так и на саботаж основных процессов посредством шифрования критичных файлов на файловой системе или в операционной памяти. Благодаря эксплуатации неизвестных ранее для Windows-платформы уязвимостей, связанных с утечками памяти и работой с загрузочным сектором файловой системы, вредоносные компоненты Angelfire не определялись средствами защиты и не оставляли видимых следов своего пребывания на целевой станции. Спектр применения подобных фреймворков огромен. Логика и архитектура, использованная субподрядчиком ЦРУ для реализации данного типа кибероружия, с успехом применялась создателями вредоносного программного обеспечения, исполь-

лам отдельных экспертов, привлекаемых для расследований кибератак, чаще всего разработчиками вредоносного ПО и архитекторами кибероружия выступают молодые (до 30 лет) специалисты с профильным техническим образованием, оказавшиеся в сложной жизненной ситуации, получившие дополнительную мотивацию (различной природы) к сотрудничеству от представителей проправительственных организаций. По сути своей завербованные талантливые программисты, исследователи уязвимостей, вирусные аналитики и хакеры-любители составляют основной костяк иностранных виртуальных сообществ, больше известных как кибервойска.

44 •

зованного в ходе кибератак на финансовые организации в России в 2015–2018 гг.

Кейс № 3 24 августа 2017 г. на WikiLeaks появилась информация о еще одном проекте ЦРУ под названием ExpressLane. В опубликованных документах содержатся отчеты ЦРУ о проведении операций с использованием новейшего кибероружия в отношении служб связи (в т. ч. на территории США). В список целей проекта среди прочего входят Агентство национальной безопасности (NSA), департамент внутренней безопасности (DHS) и Федеральное бюро расследований (ФБР) США. Суть проекта ExpressLane заключалась в скрытом использовании накопленных в системе биометрической идентификации и аутентификации данных. Скрытность процесса обеспечивалась маскировкой работы компонентов ExpressLane под стандартные программы заставки и системы обновления Windows-платформы и запускались в скрытом от пользователя режиме Web-камеры и системы биометрической аутентификации на мобильных устройствах с целью сбора и анализа информации о пользователе. Схожие подходы и алгоритмы использовались американскими военными в 2011 г. для скрытого выявления среди пользователей Windows-систем пособников пакистанский террористических организаций по всему миру. Данный проект был признан одним из самым высокоэффективных примеров применения кибероружия. Примерно с этого времени, в 2011–2012 гг., широкое распространение в среде пользователей мобильных устройств и ноутбуков в России получили шторки-наклейки на объективы Web-камер, гарантирующие невозможность скрытого видеонаблюдения с использованием программзакладок, разработанных по схемам ExpressLane.

Кейс № 4 Похожий на приведенный в третьем кейсе проект ЦРУ под названием Dumbo был рассекречен все тем же порталом WikiLeaks в начале августа 2017 г. Dumbo – это программа-закладка, попав в операционную систе-

му линейки Windows, она позволяет скрытно удаленно идентифицировать и управлять Webкамерами и микрофонами, подключенными к целевой системе как локально, так и по протоколам Bluetooth и Wi-Fi. Компоненты Dumbo могут работать под непосредственным управлением оператора в удаленном режиме и позволяют манипулировать записями сигналов, проходящих через скомпрометированные устройства. Это особенно актуально в том случае, если на целевой системе происходит регулярная обработка аудио- и видеосигналов, содержащих чувствительную информацию. Подобное кибероружие может применяться для манипуляции информацией, подготовленной к автоматической публикации в Интернете или на цифровых каналах общественного телевидения.

Заключение После ознакомления с данным материалом читателю должно стать более понятным определение кибероружия, варианты и примеры его применения, а также его место в линейке инструментов для проведения кибератак в современном цифровом мире. Но представленные выше примеры являются всего лишь вершиной информационного айсберга, основная часть которого всегда скрыта под толщей секретности. Порталы, подобные WikiLeaks, позволяют специалистам по информационной безопасности и кибераналитикам ознакомиться с материалами, которые ранее считались недоступными. Однако с таким же успехом эти материалы попадают в руки вирусописателей и киберпреступников. Как они применяют полученные знания на практике и как защитить себя от их злонамеренного воздействия, об этом и о многом другом предлагаю поговорить в следующей части серии статей, посвященной тематике кибероружия. l Ваше мнение и вопросы присылайте по адресу

is@groteck.ru


chaschin 6/29/18 7:19 PM Page 45

www.itsec.ru

КРИПТОГРАФИЯ

Что такое электронная подпись и почему она важна Павел Чащин, заместитель директора ФГБУ “ФКП Росреестра"

Э

лектронная подпись – это информация в электронной форме, которая используется для определения подписывающего лица. Она является реквизитом электронного документа. Электронная подпись значительно упрощает сотрудничество участников электронного взаимодействия, решающих различные бизнес-задачи. В зависимости от типа электронная подпись может быть использована для разных целей, например для гарантии защиты электронного документа от изменений после его подписания, определения лица, подписавшего документ (автора), отождествления подписанного электронной подписью документа с документом на бумажном носителе. Подделать электронную подпись гораздо сложнее, чем собственноручную.

Федеральный закон "Об электронной подписи" значительно расширил сферу ее применения, разрешил получение подписи юридическим лицам, закрепил систему аккредитации удостоверяющих центров. Одним из главных новшеств стало введение нескольких видов электронной подписи, простой и усиленной, тогда как Федеральный закон "Об электронной цифровой подписи" предусматривал только один ее вид – электронную цифровую подпись.

Как получить и где использовать? Для получения квалифицированного сертификата удостоверяющего центра Федеральной кадастровой палаты Росреестра необходимо зарегистрироваться на сайте https://uc.kadastr.ru/ и оформить заявку в личном кабинете. После подтверждения личности в одном из офисов удостоверяющего центра квалифицированный сертификат станет доступен в личном кабинете для последующей работы. Для зарегистрированных на сайте пользователей действует сервис обратной связи, с помощью которого можно обратиться в службу технической поддержки, получить консультацию, поставить оценку качества и направить предложения об улучшении сервиса. За последний год в удостоверяющий центр Федеральной кадастровой палаты обратилось

более 3 тыс. граждан, из которых около 800 – представители юридических лиц. Услуга оказывается более чем в 400 офисах во всех регионах России. Спектр использования ЭП достаточно широк. Обладатель квалифицированного сертификата в режиме онлайн может поставить объект на кадастровый учет, зарегистрировать права собственности на него, получить сведения из Единого государственного реестра недвижимости (ЕГРН), отследить санкции ГИБДД, поставить автомобиль на учет, направить таможенную декларацию, подать заявление для поступления в вуз, осуществить публикацию сведений о банкротстве, оформить больничный лист и другие документы. Чаще всего заказчиками услуг удостоверяющего центра Федеральной кадастровой палаты выступают кадастровые инженеры, арбитражные управляющие, нотариусы, судьи, субъекты, запрашивающие сведения из Единого государственного реестра недвижимости (ЕГРН) и имеющие право получать сведения из ЕГРН на безвозмездной основе в соответствии с 218-ФЗ. Во втором квар-

тале 2018 г. к ним присоединились индивидуальные предприниматели. Кроме того, граждане получили возможность воспользоваться услугами удостоверяющего центра по экстерриториальному принципу. Удостоверяющий центр Федеральной кадастровой палаты Росреестра упростил процедуру получения сертификата электронной подписи. Теперь заказчик может выбрать подходящий для него способ подтверждения личности как в офисе удостоверяющего центра, так и с помощью выездного обслуживания или у нотариуса. При выездном обслуживании процедура подтверждения личности проводится по адресу, указанному заказчиком. В случае получения услуги в нотариальной конторе нотариус проводит сверку документов и направляет в удостоверяющий центр заключение о подтверждении личности. Услуги предоставляются на всей территории РФ, кроме Республики Крым и города Севастополя. Там пока не реализованы возможности подтверждения личности в офисе удостоверяющего центра или с помощью выездного обслуживания.

Удостоверяющий центр гарантирует, что созданная электронная подпись принадлежит конкретному человеку, получившему квалифицированный сертификат, так как при выдаче сертификата в обязательном порядке осуществляется идентификация личности будущего владельца сертификата (физическое лицо, индивидуальный предприниматель или представитель юридического лица) по паспорту либо документу, его заменяющему, а также ряду обязательных документов, необходимых для получения квалифицированного сертификата электронной подписи.

Виды электронной подписи: l простая электронная подпись;

l усиленная электронная подпись;

l квалифицированная усиленная электронная подпись;

l усиленная неквалифицированная электронная подпись.

• 45


chaschin 6/29/18 7:19 PM Page 46

ТЕХНОЛОГИИ

Спектр использования ЭП достаточно широк. Обладатель квалифицированного сертификата в режиме онлайн может поставить объект на кадастровый учет, зарегистрировать права собственности на него, получить сведения из Единого государственного реестра недвижимости (ЕГРН), отследить санкции ГИБДД, поставить автомобиль на учет, направить таможенную декларацию, подать заявление для поступления в вуз, осуществить публикацию сведений о банкротстве, оформить больничный лист и другие документы.

Вместе с ростом числа лиц, использующих электронную подпись, увеличивается количество случаев выявления недостоверности сведений, заверенных электронной подписью или содержащихся в ней. Это происходит из-за того, что не все удостоверяющие центры продолжают добросовестно выполнять свои обязательства. За то, что содержится в заверенном документе, все-таки отвечает пользователь электронной подписи, а не удостоверяющий центр. А вот за сведения (при удостоверении личности), которые предоставлены физическим или юридическим лицом при получении этой самой подписи, отвечают УЦ.

Для обеспечения дополнительных мер безопасности при осуществлении возмездной деятельности удостоверяющего центра все адреса пунктов приема заявителей оборудованы Web-камерами для осуществления фотофиксации заявителей на этапе идентификации и удостоверения их личности перед получением услуги. Для удобства заявителей осуществлена интеграция с Федеральной информационной адресной системой (ФИАС) и введена возможность формирования единого сертификата, пригодного для одновременного использования в СМЭВ и портале Росреестра, что позволит заявителям приобрести один сертификат вместо двух, в отличие от приобретения в сторонних удостоверяющих центрах. С помощью квалифицированного сертификата можно не только подписывать различные документы в электронном виде, но и получать государственные услуги Росреестра и других ведомств. Удостоверяющий центр в числе прочих включен в список доверенных информационных систем Рособрнадзора, электронных паспортов транспортных средств, Единого федерального реестра юридически значимых сведений о фактах деятельности юридических лиц. Квалифицированные сертификаты применимы на порталах госуслуг, ФНС России, ФТС России, ФНП России и др.

Удостоверяющий центр: цели и задачи Проект по созданию собственного удостоверяющего

46 •

центра Федеральной кадастровой палаты был инициирован в 2015 г. Аккредитованный удостоверяющий центр изготавливает квалифицированный сертификат. Электронная подпись, созданная при помощи такого сертификата, отождествляется с документом на бумажном носителе, подписанным собственноручной подписью, и имеет равную с ним юридическую силу, без наличия соглашения взаимодействующих сторон. В 2017 г. удостоверяющий центр Кадастровой палаты выпустил в 2,5 раза больше сертификатов, чем в 2016 г. Этот рост явно демонстрирует неудовлетворенный спрос и желание граждан и предпринимателей быстро, комфортно и безопасно решать возникающие задачи. Именно удостоверяющий центр гарантирует, что созданная электронная подпись принадлежит конкретному человеку, получившему квалифицированный сертификат, так как при выдаче сертификата в обязательном порядке осуществляется идентификация личности будущего владельца сертификата (физическое лицо, индивидуальный предприниматель или представитель юридического лица) по паспорту либо документу, его заменяющему, а также ряду обязательных документов, необходимых для получения квалифицированного сертификата электронной подписи. Законодательством не ограничена возможность аннулирования или приостановления действия сертификатов электронных подписей. Это можно сделать по инициативе

владельца сертификата. В некоторых случаях сертификат может быть аннулирован или приостановлен по инициативе удостоверяющего центра. Для аннулирования сертификата владельцу необходимо подать заявление в УЦ, изготовивший сертификат, и дождаться его решения.

О безопасности и перспективах Вместе с ростом числа лиц, использующих электронную подпись, увеличивается количество случаев выявления недостоверности сведений, заверенных электронной подписью или содержащихся в ней. Это происходит из-за того, что не все удостоверяющие центры продолжают добросовестно выполнять свои обязательства. За то, что содержится в заверенном документе, все-таки отвечает пользователь электронной подписи, а не удостоверяющий центр. А вот за сведения (при удостоверении личности), которые предоставлены физическим или юридическим лицом при получении этой самой подписи, отвечают УЦ. Поэтому предлагается усилить регулирование отрасли (есть немало игроков, предлагающих электронную подпись, которые предъявляют слабые требования к удостоверению личности – это как раз краеугольный камень). Все-таки речь идет об аутентификации, проверке подлинности – это вопрос безопасности. Данную проблему предлагается решить путем усиления регулирования отрасли аккредитованных удостоверяющих центров, включая проработку вопросов юридической


chaschin 7/3/18 6:40 PM Page 47

www.itsec.ru

КРИПТОГРАФИЯ

ответственности аккредитованных УЦ, объективную систему контроля за ними и комплекс мер по унификации требований к составу квалифицированного сертификата. Если владелец ключа полагает, что конфиденциальность ключа электронной подписи нарушена, он обязан немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата. Удостоверяющий центр обязан обеспечить конфиденциальность ключа шифрования. В целях безопасности был установлен порядок проверки документов заявителей и правил выдачи изготовленных сертификатов. Сведения, пре-

доставленные заявителями, дополнительно проверяются в специальных реестрах на предмет соответствия предоставленным документам. Вместе с тем удостоверяющий центр может отказать в выдаче квалифицированного сертификата заявителю при подозрении его в недобросовестности, например когда человек приходит не со своим паспортом. За неисполнение или ненадлежащее исполнение своих обязанностей удостоверяющий центр несет гражданско-правовую и административную ответственность. Несмотря на все недостатки электронной подписи, доля услуг в электронном виде постоянно увеличивается как со стороны государственного сектора, так и коммерческого.

Применение электронной подписи в сфере взаимодействия государства с юридическими лицами достаточно частое и используется долгие годы. Физические же лица используют электронную подпись реже. Это связано с тем, что доля услуг, оказываемых в электронном виде, которые они могли бы получить удаленно с помощью квалифицированного сертификата, пока недостаточна, но с ростом их числа, а также развития и продвижения инициатив цифровой грамотности населения в рамках цифровой экономики многое может измениться. l

Чаще всего заказчиками услуг удостоверяющего центра Федеральной кадастровой палаты выступают кадастровые инженеры, арбитражные управляющие, нотариусы, судьи, субъекты, запрашивающие сведения из Единого государственного реестра недвижимости (ЕГРН) и имеющие право получать сведения из ЕГРН на безвозмездной основе в соответствии с 218-ФЗ.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

Новые перспективы для корпоративных заказчиков

К

омпания “ДиалогНаука”, системный интегратор в области информационной безопасности, получила статус 3DS Assessor от Совета PCI Security Standards Council. Этот факт подтверждает рост экспертизы “ДиалогНауки” в рамках направления PCI DSS и открывает новые перспективы в части оказания услуг для корпоративных заказчиков.

Совет по стандартам безопасности данных в индустрии платежных карт (Payment Card Industry Security Standards Council) – это открытое глобальное сообщество, в задачи которого входят постоянная разработка, совершенствование, хранение, распространение и практическое внедрение стандартов безопасности банковских данных. Миссия Совета состоит в повышении безопасности данных индустрии платежных карт посредством обучения и информирования о стандартах безопасности PCI. Организация была основана международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc. Компании со статусом 3DS Assessor аккредитуются PCI SSC для проведения аудитов

соответствия требованиям стандарта PCI 3DS Core Security Standard. Для получения данного статуса компания должна иметь аккредитацию QSA, а также удовлетворять дополнительным требованиям. В частности, консультанты с квалификацией 3DS Assessor должны пройти специальное обучение и сдать соответствующий экзамен по тематике PCI 3DS Core Security Standard. Статус 3DS Assessor предоставляет "ДиалогНауке" право проводить сертифицированный аудит участников платежного процесса, использующего банковские карты, защищенные с помощью технологии 3-D Secure (PCI 3DS), на соответствие стандарту безопасности PCI 3DS Core Security Standard. "За долгие годы работы в качестве аудитора PCI QSA и

ASV "ДиалогНаукой" был получен обширный опыт проведения сертификационных аудитов и ASV-сканирований, который продемонстрировал заинтересованность наших заказчиков в расширении данного направления, – отмечает Александр Печников, директор по маркетингу АО "ДиалогНаука". – Поэтому мы стремимся расширять нашу компетенцию в сфере PCI DSS. Для "ДиалогНауки" получение статуса 3DS Assessor является важным шагом в развитии направления услуг в области установления соответствия требованиям стандарта PCI DSS и открывает новые перспективы в части оказания услуг для корпоративных заказчиков". l

Компании со статусом 3DS Assessor аккредитуются PCI SSC для проведения аудитов соответствия требованиям стандарта PCI 3DS Core Security Standard. Для получения данного статуса компания должна иметь аккредитацию QSA, а также удовлетворять дополнительным требованиям. В частности, консультанты с квалификацией 3DS Assessor должны пройти специальное обучение и сдать соответствующий экзамен по тематике PCI 3DS Core Security Standard.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 47


gorkovaya 6/29/18 7:20 PM Page 48

JOB

Кто кого? Олесья Горьковая, генеральный директор HackerU в России

О

дним из значимых конфликтов на рынке труда в России попрежнему остается несоответствие уровня образования ИTспециалистов реальным требованиям работодателей. Положительная динамика развития отрасли ИТ выявляет ключевую проблему, без решения которой дальнейшее движение российской экономики вперед невозможно: развитие экономики все больше оказывается связанным с развитием ИT-сферы, а на кадровом рынке ИT ситуация сегодня не из легких.

С одной стороны, отрасль ИT нуждается в большом числе высококвалифицированных узкопрофильных специалистов, с другой – вузы выпускают их не в достаточном количестве, не по тем специальностям или не учитывают при подготовке выпускников современные тренды и запросы. Кто виноват и что делать в этой ситуации?

Кадры решают все

Несмотря на то, что среди незакрытых вакансий по-прежнему присутствуют разработчики ПО со знанием языков программирования Java, 1C, PHP, С/C++, С#, Python, JavaScript, рынок с каждым днем все сильнее заинтересован в обладателях совсем других специальностей: это прежде всего специалисты по информационной безопасности, блокчейну, IoT (в т.ч. биоIoT), работе с искусственным интеллектом и даже специалисты техподдержки.

48 •

В случае, когда речь идет об успехах технических вузов в подготовке ИТ-специалистов, обычно вспоминают два момента. Во-первых, российские команды традиционно занимают высокие места на международных олимпиадах, таких, например, как International Collegiate Programming Contest (ICPC), ACM ICPC и т.п. Во-вторых, российские ИТ все еще востребованы на мировом рынке. По данным ФРИИ, ежегодно из России эмигрируют около 4 тыс. специалистов, что составляет не менее 5% от их общего числа. При этом надо понимать, что официальные данные исследований не отражают реальные цифры: многие специалисты работают на западные компании, не отказываясь от российского паспорта, – их не учитывает никакая статистика. Однако успех отдельных команд, к сожалению, не позволяет говорить о качестве сегодняшнего вузовского образования по ИТ-специальностям. В большинстве технических вузов на первых курсах преобладает изучение фундаментальных теоретических дисциплин. И даже несмотря на то, что крупные компании сегодня открывают под свои задачи

собственные школы в вузах и пытаются "воспитывать" новые кадры в студенческой среде, участвуя в разработке учебных планов на базе ведущих вузов России, таких как МГТУ им. Баумана, МФТИ, ВШЭ, СПбГУ, получить специалиста с уникальными знаниями и навыками в условиях вуза удается далеко не всегда. Это связано в первую очередь с консерватизмом и забюрократизированностью системы российского высшего образования. Учебные планы в вузах проходят длительное согласование и к моменту запуска быстро устаревают. Проектным же курсам приходится с трудом искать место в ряду фундаментальных дисциплин. Даже самому продвинутому вузу, а в России таких меньшинство, сложно угнаться за новейшими технологиями из-за отсутствия эффективных систем переподготовки преподавательских кадров и устаревающей материальной базы, а также при наличии негибкой модели форми-

рования общеобразовательных программ.

Крушений иллюзий Студенты не могут не замечать тот факт, что образование, которое они получают, не позволяет им уверенно войти в ИТ-сферу. По данным исследования ВШЭ, 30% российских студентов, обучающихся по ИТспециальностям, считают, что знания, полученные в вузе, не пригодятся им в дальнейшем. Такое мнение складывается преимущественно у студентов 3–4 курса бакалавриата: именно в это время ребята впервые всерьез задумываются о трудоустройстве и впервые сталкиваются с ожиданиями и требованиями работодателей. Кроме отсутствия узких профессиональных навыков, работодатели отмечают у вчерашних студентов низкий уровень владения soft skills: неумение ставить цели, брать ответственность за работу, вести переговоры, планировать время, а все эти навыки необходимы совре-


gorkovaya 6/29/18 7:20 PM Page 49

www.itsec.ru

JOB

менному ИТ-cпециалисту, он должен продемонстрировать их уже на стартовом собеседовании. Кстати, по данным того же исследования, 76% студентов пугает необходимость проходить собеседование на английском языке – они попросту не могут этого сделать.

Растущая трещина На всех рекрутинговых порталах количество открытых вакансий в ИТ-сфере давно превышает аналогичные запросы остальных областей, а средний срок закрытия вакансий и подбора специалистов в ИТ – несколько месяцев. Тому есть несколько причин. Первая – уже упомянутая выше активность крупных компаний, которые "хантят" студентов еще на этапе обучения и ведут настоящую охоту за талантливыми выпускниками, обещая им социальные пакеты и переподготовку в образовательных центрах ком-

очаровываются в образовании, бросают вуз ради низкоквалифицированной работы в крупных компаниях и т.д. Таким образом, с каждым годом кадровый голод нарастает. "Сегодня доля ИТ-специалистов составляет 2,4% от всего занятого населения. Для сравнения: в странах-лидерах (США, Германия, Великобритания) этот показатель вдвое выше – 4,3%", – говорится в исследовании ФРИИ. Анализ рынка, выполненный фондом, свидетельствует о том, что рынку нужно вдвое больше ИТ-кадров для развития экономики. При сохранении сегодняшних трендов через десять лет дефицит составит уже 2 млн специалистов.

Востребованные специальности Несмотря на то что среди незакрытых вакансий по-прежнему присутствуют разработчики ПО со знанием языков про-

дом ума, вбрасываем их в решение готовой задачи. Если они способны справиться с установленным ПО, прочитать отчет, сделать грамотное серверное распределение, теребить техподдержку ПО и не конфликтовать с ней, этого уже достаточно", – рассказывает Вячеслав Кузнецов, ведущий специалист сектора кибербезопасности ДБ АО "Сбербанк" (Казахстан).

Выход есть По данным исследования ВШЭ, 30% российских студентов, обучающихся по ИТ-специальностям, считают, что знания, полученные в вузе, не пригодятся им в дальнейшем. Такое мнение складывается преимущественно у студентов 3–4 курса бакалавриата: именно в это время ребята впервые всерьез задумываются о трудоустройстве и впервые сталкиваются с ожиданиями и требованиями работодателей. Кроме отсутствия узких профессиональных навыков, работодатели отмечают у вчерашних студентов низкий уровень владения soft skills: неумение ставить цели, брать ответственность за работу, вести переговоры, планировать время, а все эти навыки необходимы современному ИТ-cпециалисту, он должен продемонстрировать их уже на стартовом собеседовании. Кстати, по данным того же исследования, 76% студентов пугает необходимость проходить собеседование на английском языке – они попросту не могут этого сделать.

паний. Западные компании на этой "охоте за головами" находятся в более выигрышном положении: сам рынок на Западе динамичнее, условия труда и его оплата в разы лучше, а перспектива переезда в страну, более стабильную с точки зрения социальных гарантий и неучастия в политических конфликтах, становится дополнительным стимулом для релокации не только отдельных специалистов, но и целых команд. Вторая причина – катастрофический разрыв между числом специалистов, необходимых рынку, и количеством выпускников вузов. Дисбаланс проявляется уже на входе: на ИТспециальности поступает гораздо меньше абитуриентов, чем нужно рынку. Значительный процент поступивших не доходит до финиша: студенты раз-

граммирования Java, 1C, PHP, С/C++, С#, Python, JavaScript, рынок с каждым днем все сильнее заинтересован в обладателях совсем других специальностей: это прежде всего специалисты по информационной безопасности, блокчейну, IoT (в т.ч. био-IoT), работе с искусственным интеллектом и даже специалисты техподдержки (именно такую программу обучения, актуальную для людей, мало знакомых со сферой ИТ, предлагает, к примеру, Google на платформе Сoursera). Что же делает бизнес? Готовит специалистов самостоятельно. "Да, потребность в специалистах по кибербезопасности растет, но спрогнозировать, какие навыки им понадобятся, не может никто. Мы берем в банк сообразительных программистов с аналитическим скла-

Итак, налицо кризис на рынке труда. Чтобы его ликвидировать, нужно уже сегодня активно работать по нескольким направлениям. Первый вектор – развитие программ дополнительного образования. По данным исследования ВШЭ, 43% студентов вузов, разочаровавшихся в образовательных программах, где добротная теория значительно преобладает над выработкой необходимых в профессии практических навыков, готовы платить за этот набор навыков, подтвержденный сертификатом. Это значительное число мотивированных людей, которые рано или поздно окажутся в центрах дополнительного образования, имеющих обратную связь с бизнесом и предлагающих гибкий набор программ по востребованным специальностям. Быстро скорректировать необходимые навыки с помощью подобных курсов – один из самых простых и продуктивных путей, но не единственный. Второй вектор – развитие сотрудничества бизнеса как с образовательными центрами, так и с вузами. Бизнес должен научиться транслировать образовательным структурам свои потребности и в тесном сотрудничестве с ними разрабатывать новые учебные программы. l

В большинстве технических вузов на первых курсах преобладает изучение фундаментальных теоретических дисциплин. И даже несмотря на то, что крупные компании сегодня открывают под свои задачи собственные школы в вузах и пытаются "воспитывать" новые кадры в студенческой среде, участвуя в разработке учебных планов на базе ведущих вузов России, таких как МГТУ им. Баумана, МФТИ, ВШЭ, СПбГУ, получить специалиста с уникальными знаниями и навыками в условиях вуза удается далеко не всегда. Это связано в первую очередь с консерватизмом и забюрократизированностью системы российского высшего образования.

Ваше мнение и вопросы присылайте по адресу

is@groteck.ru

• 49


PHD 7/3/18 7:09 PM Page 50

СОБЫТИЯ

Positive Hack Days 8: Digital Bet

15–16

мая 2018 года в ЦМТ в Москве состоялся международный форум по практической безопасности Positive Hack Days. Мероприятие традиционно объединило специалистов в области технологий, информационной безопасности, молодых ученых, представителей бизнеса и власти.

На PHDays 8 организаторы продемонстрировали возможные проблемы ИБ, с которыми придется столкнуться государству, бизнесу и частным лицам вследствие перехода на "цифру". Все должны осознать реальную опасность цифровой изнанки, которая скрывается за маркетинговым глянцем. Основные вопросы, которые обсуждались на PHDays 8: роль государства и регуляторов в цифровизации экономики, диджитализация финансовых технологий, безопасность критической информационной инфраструктуры, меры по снижению рисков и контролю ИБ, методы и средства обеспечения физической безопасности.

Практика для хакера Одна из самых интересных частей PHDays – хакерские конкурсы. В этом году на площадке форума развернулись бои по взлому сетей Smart Grid, поиску уязвимостей в смарт-контрактах блокчейна, прохождению лабиринта в умном доме, хакерские дуэли в формате "один на один" и другие онлайн-соревнования. В рамках главного противостояния форума The Standoff сразились команды нападающих и защитников. В этом году организаторы вывели конфликт на новый уровень – битва развернулась на макете города, вся экономика которого основывалась на блокчейн-технологиях. Командам атакующих удалось взломать некоторые объекты, но почти без борьбы: большинство из них не были защищены. Тем не менее битва между атакующими была горячей: турнирная таблица кардинально изменилась за полчаса до конца игры. К концу первого дня одной из атакующих команд удалось взломать незащищенный офис. Помимо этого были взломаны объекты городской инфраструктуры: атакующие нашли уязвимости в камерах и произвели атаку "отказ в обслуживании", а кто-то "поиграл" с системами отопления. Команда Jet Antifraud Team, которая защищала банк, зафиксировала массированную атаку в ночь с 15 на 16 мая с целью кражи денег со счетов жителей города. В течение дня было всего пять попыток переводов на сумму 140 публей (виртуальная валюта города). Вечером и ночью произошли три крупные атаки. Всего было около 20 тыс. попыток совершения мошеннических операций на 19 внешних счетов. Командам ЦАРКА и Sploit00n удалось взломать абонентов телеком-оператора: были перехвачены SMS-сообщения и найден автомобиль по GPS-координатам. В середине второго дня ЦАРКА также смогла сбросить пароли всех абонентов портала телеком-оператора и попыталась продать учетки покупателю на черном рынке, но он быстро заподозрил неладное и отказался от покупки. В это время телеком-оператор восстановил учетные записи из бэкапа после того, как получил жалобы от абонентов, и закрыл дыру в портале. Далее команда попыталась сдать учетки по программе Bug Bounty, но телеком заплатил за это копейки. Вот и будь после этого хорошим хакером. Позже еще несколько команд попытались сдать компромат на топ-менеджера страховой компании города. Покупатель на черном рынке, конечно же, заплатил и за эту информацию, но не так много, как ожидали атакующие. Также под конец второго дня еще одна команда смогла отследить машину через GSM. А вот промышленные объекты оказались для команд нелегкой задачей. Как рассказали команды SRV и "Перспективный мониторинг", одну линуксовую машину долго испытывали на

50 •

прочность перебором паролей. В итоге, воспользовавшись расширенным словарем, атакующим удалось взломать учетные записи. Злоумышленники пытались закрепиться в системе и атаковать внутренние сервисы в обход NGFW, но активность была пресечена. Защитники обнаружили и устранили майнер. Всего за два дня WAF команды защитников отбили около 1,5 млн атак и было заведено 30 инцидентов безопасности. К концу конкурса атакующим удалось сделать DDoS-атаку на контроллер и организовать разлив нефти, а команда True0xA3 уже на его последних минутах устроила блэкаут в городе. Досталось и железной дороге: неизвестные хакеры смогли получить управление локомотивом. За час до конца кибербитвы город решил отказаться от системы антифрода, чем и воспользовалась команда Hack.ERS, которой удалось обчистить банк. Это позволило ей подняться из подвала турнирной таблицы и выбраться в победители, выбив из лидеров команду ЦАРКА (победителей прошлого года).

И о машинах По прогнозу Gartner, к 2020 г. в мире будет насчитываться 250 млн автомобилей, подключенных к Интернету. Они будут обмениваться данными с сервисами умного города об авариях и заторах для снижения количества пробок, помогать диагностировать неисправности, предоставлять пассажирам информационно-развлекательные услуги. Такие системы делают поездки удобнее, но открывают новые возможности перед злоумышленниками. Штефан Танасе и Габриэль Чирлиг из Ixia (Keysight Technologies) исследовали автомобиль со встроенной информационно-развлекательной системой и нашли в нем множество уязвимостей. В ходе выступления "Умный автомобиль как оружие" исследователи показали, как киберпреступники могут использовать GPS-данные встроенных в автомобили компьютеров для слежки за их владельцами. Одна из слушательниц даже обратилась к Чирлигу с просьбой подключиться к системе развлечений ее угнанного авто, чтобы по логам GPS обнаружить свою машину. Надеемся, что у них все получилось.

PHDays как культурное событие "Модель для сборки" С 2014 г. на PHDays создатели культовой радиопередачи "Модель для сборки" читают киберпанковские рассказы. Все началось с классиков жанра – Брюса Стерлинга и Мерси Шелли. Тогда у организаторов и возникла идея конкурса. Первый раз конкурс рассказов "Взломанное будущее", посвященный непростой жизни человека в мире глобальных коммуникаций и цифровых суррогатов, прошел в 2015 г. В 2018 г. победили Game over Дмитрия Казакова и "Если я не дойду" Ирины Лазаренко. Именно эти рассказы зачитал "голос" проекта Владислав Копп.

Positive Hard Days В этом году культурная программа PHDays пополнилась музыкальным фестивалем – Positive Hard Days, в котором приняли участие шесть групп из ИT-компаний. Победителем конкурса стала Neo Stereo. Отдельный приз от "Гильдии Музыкантов", одного из партнеров и членов жюри конкурса, получили два музыкальных коллектива: Eden и Jack. l


NEW_PROD 6/29/18 7:20 PM Page 51

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

StaffCop Enterprise

Производитель: ООО "Атом Безопасность" Сертификат: получение сертификата ФСТЭК до конца 2018 г.; решение № 5884 Назначение: l защита от внутренних угроз информационной безопасности, выявление инсайдеров и нелояльных сотрудников, раннее обнаружение и предотвращение угроз ИБ l контроль дисциплины и продуктивности персонала, учет рабочего времени l удаленное администрирование рабочих станций, аудит состояния ИТ Особенности: l Endpoint-решение для Windows и GNU/Linux, в том числе Astra Linux l поддерживает работу в любых сетевых инфраструктурах, обеспечивающих подключение от клиента к серверу: через VPN, NAT и другие каналы подключения l обладает высокой скоростью анализа данных и генерации отчетов благодаря использованию OLAP-технологии на базе PostgreSQL и ClickHouse l кросс-платформенная Web-консоль администратора Возможности: l оповещения об утечках и инцидентах, нарушениях политик безопасности l детектор аномалий поведения пользователей l мониторинг активности пользователей l корреляция событий и перехваченных данных l файловый мониторинг l теневые копии файлов, отправляемых/копируемых за пределы компании l мониторинг коммуникаций сотрудников l мониторинг и блокировка USB-устройств l мониторинг и блокировка сетевой активности l мониторинг и блокировка работы приложений l контроль печати на принтерах l запись с микрофонов, скриншоты экрана, снимки с Web-камеры l удаленное подключение к рабочему столу, запись видео рабочего стола Характеристики: l полностью интегрированное решение, не требует приобретения лицензий на стороннее ПО l серверная часть может устанавливается на Ubuntu Server 16.04 LTS на физической, виртуальной машине или выделенном сервере. Программа агент поддерживает операционные системы: Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, а также операционные системы на базе GNU/Linux Ориентировочная цена: 4200 руб. за 1 рабочее место Время появления на российском рынке: 2014 г.

Подробная информация: https://www.staffcop.ru/ Фирма, предоставившая информацию: АТОМ БЕЗОПАСНОСТЬ, ООО См. стр. 19

"КИБ СерчИнформ ProfileCenter"

Производитель: ООО "СерчИнформ" Сертификат: изделие проходит сертификацию Назначение: формирование психологических профилей пользователей на основании глубокого анализа цифрового контента, который они создают Особенности: модуль DLP-системы Возможности: l построение профиля сотрудника на основании электронной корреспонденции и чатов сотрудников l оценка личностных качеств, определение сильных/слабых сторон, возможных криминальных тенденций и психотипа l формирование рекомендаций по взаимодействию с тем или иным сотрудником Характеристики: l получает данные из баз данных "КИБ СерчИнформ". Анализу подлежат исходящие письма пользователей, сообщения в Skype, Viber, WhatsApp, Lync, Telegram, других мессенджерах и социальных сетях l нормализует полученный массив данных, проводит статистический, лингвистический, семантический и другие виды анализа l визуализирует данные в виде наглядного и детального отчета по каждому сотруднику Ориентировочная цена: по запросу Время появления на российском рынке: апрель 2018 г. Подробная информация: https://searchinform.ru/products/kib/profilecenter/ Фирма, предоставившая информацию: СЁРЧИНФОРМ, ООО См. стр. 2, 24–26, 28–30, 32–34

Zecurion DLP

Производитель: Zecurion Сертификат: № 3399, выдан ФСТЭК России; № ГО00.RU.1113H00283, выдан "Газпромсерт" Назначение: Zecurion DLP (Data Loss Prevention) – комплексная система защиты от утечек корпоративной информации. Zecurion DLP включает в себя Zecurion Device Control для предотвращения утечек через периферийные устройства, Zecurion

журналы на сайте journal-off.info

www.itsec.ru

Traffic Control для защиты от утечек данных через сетевые каналы и Zecurion Discovery для обнаружения мест хранения конфиденциальной информации в корпоративной сети Особенности: l контроль всех наиболее опасных каналов утечки l гибридный анализ перехваченных данных (более 10 передовых технологий детектирования) l поддержка анализа более 500 типов файлов l возможность блокирования утечек в режиме реального времени l архивирование всей перехваченной информации l сканирование локальных, сетевых и облачных хранилищ для поиска файлов с конфиденциальной информацией l защита данных в местах хранения – на серверах и резервных носителях информации l централизованное управление всеми продуктами Zecurion l поддержка СУБД: Microsoft SQL Server и PostgreSQL, которая входит в реестр отечественного программного обеспечения Минкомсвязи l продвинутая аналитическая платформа Zecurion Reports для анализа связей сотрудников, расследования инцидентов и сбора доказательной базы l модуль Zecurion UBA (User Behavior Analytics) с помощью специально разработанных алгоритмов анализирует действия сотрудников и автоматически выявляет подозрительную активность пользователей l система совместной работы с событиями (Workflow) для поэтапного процесса обработки инцидентов l запись звука с микрофонов контролируемых компьютеров, в том числе разговоры через VoIP l отслеживание нажатия клавиш на клавиатуре пользователя (кейлогер) Возможности: l тотальный контроль каналов утечки. Основные каналы утечки информации составляют две большие группы: локальные (USB, принтеры, а также любые периферийные устройства, на которые можно скопировать конфиденциальную информацию) и сетевые каналы (такие как электронная почта, интернет-мессенджеры, социальные сети, сайты, форумы, блоги и т. п.) l анализ информации. DLP-система Zecurion перехватывает весь трафик, выходящий за пределы корпоративной сети предприятий, и анализирует его на предмет наличия конфиденциальной информации l блокирование утечек. На основании данных контентного анализа DLPсистема принимает решение согласно установленным политикам безопасности о разрешении или запрете передачи сообщения, записи или печати файла


NEW_PROD 6/29/18 7:20 PM Page 52

НОВЫЕ

ПРОДУКТЫ И УСЛУГИ

l архивирование информации. Весь пере-

l сообщения в мессенджерах – Skype,

l доступ к информации, хранящейся на

хватываемый трафик Zecurion DLP помещает в собственный архив, который создает полноценную базу для расследования инцидентов информационной безопасности Характеристики (контролирует): l переписку в корпоративной электронной почте l письма и вложения, отсылаемые через сервисы Web-почты l общение в социальных сетях, на форумах и блогах (HTTP-/HTTPS-трафик)

Mail.Ru Агент, QIP, Google Talk, ICQ и более десяти других систем l FTP, POP3, IMAP, SMTP и другие сетевые каналы l файлы, записываемые на USB-накопители, смартфоны, планшеты и любые внешние устройства l печать на локальных и сетевых принтерах l наличие конфиденциальных данных на компьютерах пользователей, серверах и в облачных сервисах

серверах, магнитных лентах и оптических дисках Ориентировочная цена: по запросу Время появления на российском рынке: февраль 2018 г. Подробная информация: http://www.zecurion.ru/press/10132/ Фирма, предоставившая информацию: ZECURION См. стр. 27

НЬЮС МЕЙКЕРЫ АТОМ БЕЗОПАСНОСТЬ, ООО (StaffCop) 630090, Новосибирск, просп. Коптюга, 4, офис 158 Тел.: +7 (499) 653-7152 Факс: +7 (499) 653-7152 E-mail: sales@staffcop.ru https://www.staffcop.ru/ См. стр. 19 ЛАБОРАТОРИЯ КАСПЕРСКОГО 125212, Москва, Ленинградское ш., 39А, стр. 3, БЦ "Олимпия Парк" Тел.: +7 (495) 797-8700 Факс: +7 (495) 797-8709 www.kaspersky.ru См. 4-ю обл.

ПЕРИМЕТРИКС, ООО 119607, Москва, Мичуринский просп., 45 Тел.: +7 (495) 011-0039 E-mail: info@perimetrix.ru www.perimetrix.ru См. ст. "Предотвращение утечек данных средствами EDRM и DLP" на стр. 21 СЁРЧИНФОРМ, ООО 121069, Москва, Скатертный пер., 8/1, стр. 1, этаж 2 Тел.: +7 (495) 721-8406 E-mail: info@searchinform.ru searchinform.ru См. стр. 2, 24–26, 28–30, 32–34

СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: +7 (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 11

ZECURION 129164, Москва, Ракетный бульвар, 16 СМАРТ ЛАЙН ИНК, АО 107140, Москва, 1-й Красносельский пер., 3, Тел.: +7 (495) 191-4169 E-mail: info@zecurion.com пом. 1, ком. 17 www.zecurion.ru Тел.: +7 (495) 647-9937 См. стр. 27 Факс: +7 (495) 647-9938

12-14 52 •

E-mail: ru.sales@devicelock.com devicelock.com/ru www.smartline.ru См. ст. "Контролируем печать документов. Угроза старая, но не устаревшая" на стр. 22, 23

2019


TB_Forum 6/29/18 7:20 PM Page cov3

12â&#x20AC;&#x201C;14 2019


kaspersky 6/29/18 7:21 PM Page cov4

InfoSec_03_2018  
InfoSec_03_2018  
Advertisement