- ЧОП / ЧОО
- Ассоциации / группы
- Центры подготовки/ лицензирование
- Пультовая охрана
- Детективные агентства
- Полиграфические агентства
- Экипировка и оснащение
- Видеонаблюдение
- СКУД
- Сигнализация
- Средства связи
- Справки 046-1
- Тендеры
- Маркетинг
- Вакансии
- Резюме
- Координационные советы
- ОЛРР
- Галерея эмблем
- Документы
- Наши партнеры
- Безопасность 21 век
- Фотогалерея
- Продажа ЧОП
Отчет «Безопасность бизнеса. Технологии 2012»
октября
2012
Отчёт:
Бесполезно ловить инсайдера в офисе, если он может из дома выложить в социальную сеть все то, что считается коммерческой тайной. Не менее опасны и внешние попытки доступа к приватным данным. В этой связи в выстраивании безопасности бизнеса все большую актуальность приобретает комплексный подход.
"В обеспечении безопасности в целом, и в криптографии в частности, главное – это доверие. Если клиент доверяет производителю, то и продукт будет востребован во всем мире", - задал тон конференции Анатолий Клепов, президент компании "Анкорт".
У доверия есть две стороны. Безопасность стоит денег, это весьма недешевое удовольствие. И, главное, ни одна система не может гарантировать абсолютной защиты. Но с другой стороны, у защищаемых активов тоже всегда своя есть цена. И для всех она разная.
Информационная война набирает обороты
В вооруженных силах и спецподразделениях цена компрометации данных - жизнь. Начиная с громкого инцидента 1914 года, закончившегося гибелью армии генерала Самсонова, с потери значительного числа шифр-блокнотов в 1941 на западном фронте СССР, с проблем в Афганистане - вплоть до событий наших дней, описанных в книге генерала Трошева "Моя война". Там он пишет, что "мы платили в Чечне кровью потому, что у нас не было обычных шифраторов…"
В государственном или финансовом секторах потери не меньше. Так, например, по данным г-на Клепова, только в 1992 из Центрального Банка РФ усилиями хакеров было похищена сумма, эквивалентная 200 млрд долларов. Как утверждают эксперты, не будь этой потери, курс рубля к доллару не превысил бы 5 рублей, а экономику страны не ждали бы годы столь серьезных потрясений. Примечательно, что после упоминаемых афер с авизо только компанией "Анкорт" для нужд ЦБ было подготовлено более 6 тыс. шифровальщиков, что больше чем за всю Великую Отечественную войну.
Страдают промышленные предприятия – достаточно вспомнить нашумевшую историю с атакой на иранские обогатительные установки, связанные с ядерной программой этой страны.
Отдельно Анатолий Клепов остановился на таком аспекте современных информационных войн, как сбор компрометирующих и персональных данных государственных служащих с использованием целого спектра технических средств.
Мобильность меняет вектор развития ИБ
Одной из основных целей кибершпионов всегда были системы связи и сети передачи данных. С развитием мобильной связи изменился и вектор атак. Соответственно, приоритеты производителей средств защиты также стали иными.
Поэтому в технической части своих докладов Анатолий Клепов и Александр Панин, технический директор группы компаний "Маском", очень подробно и обстоятельно описали особенности этого сегмента ИБ.
Представитель "Анкорт" сравнил безопасность мобильных телефонов с "хрустальным дворцом", который можно разбить одним ударом квалифицированного хакера. Действенной мерой защиты в компании видят создание устройств ИБ, которые находятся вне операционной системы смартфонов.
Одно из таких устройств - Stealthphone - было представлено на конференции. Это - стойкий шифратор голоса и данных с криптографическими функциями, реализованными на аппаратном уровне. Он подключается к любому современному мобильному телефону, планшетному ПК по Bluetooth или USB.
Криптографическая синхронизация между двумя Stealthphone происходит автоматически после набора номера вызываемого абонента. Разговор в защищенном виде осуществляется абонентами через Stealthphone, который используется как обычная телефонная трубка. SMS/MMS/E-mail набираются на мобильном телефоне (планшетнике или ПК) как обычно. Затем информация шифруется программным способом и отсылается на Stealthphone автоматически, где шифруется аппаратно. Только после этого сообщение уходит абоненту.
Александр Панин в своем докладе тоже презентовал перспективную разработку "Маском", предназначенную для использования в сотовых сетях стандарта GSM. Решение обеспечивает защиту от утечки речевой информации за счет несанкционированной удаленной активации штатного микрофона мобильного телефона. Тем не менее, в целом г-н Панин больше говорил о защите от промышленного шпионажа и конкурентной разведки.
Сотовая связь расширяет возможности инсайдеров
Из удобного средства связи телефон очень быстро и незаметно для хозяина и службы безопасности может стать элементом несанкционированного дистанционного съема акустической, а в некоторых случаях и видеоинформации. Кроме сотовых трубок, в арсенале инсайдера имеется целый набор технических средств сбора и передачи информации, использующих GSM-каналы, например, миниатюрные микрофоны.
Вся эта "экзотика" в огромных количествах открыто предлагается на специализированных сайтах в интернете. Ее функционал и возможности зависят исключительно от скорости мобильных каналов и толщины кошелька злоумышленника. "В расширенной комплектации" на сетях 4G предлагается возможность передачи высокоскоростных потоков данных в реальном режиме времени от нескольких источников. Например, видео со стереозвуком с заседания совета директоров…
Как с этим бороться? Эксперты "Маском" предложили два варианта технических средств подавления сотовой связи – интеллектуальный энергетический. Некоторые ограничения связаны с несовершенством существующего законодательства в этой сфере. Но ничего не мешает уменьшать риски, минимизируя человеческий фактор за счет организационных мероприятий.
Эту тему продолжил Лев Матвеев, генеральный директор SearchInform. В фокусе его внимания оказалась контентная фильтрация. Актуальность проблемы обусловлена все возрастающими требованиями ряда федеральных законов (например, "О персональных данных", "О защите детей от информации, причиняющей вред здоровью и развитию"), отраслевых стандартов и т.д.
Не мал и экономический ущерб. Так, аналитический центр компании Zecurion представил результаты ежегодного исследования об утечках конфиденциальной информации. Всего в 2011 году было зарегистрировано 819 инцидентов, а суммарный ущерб оценивается более чем в 20 млрд долл., из которых более 1 млрд долл. пришлось на российские компании.
Особенностью практического подхода SearchInform является постулат о том, что ИБ не должна мешать бизнесу. А успех достигается исключительно комплексными мерами, а не только запретительными. Например, при построении системы DLP у одного из крупных заказчиков были закуплены ноутбуки для всех пользователей информационной системы предприятия.
Ими было разрешено пользоваться вне офиса и дома, были открыты большинство протоколов и ресурсов, обычно закрытые службой безопасности. Естественно, что был установлен специальный скрытый программный агент, записывающий в закрытую область памяти логи.
В итоге после анализа этих логов руководство получило полную картину того, как происходят коммуникации сотрудников в рабочее и свободное время.
В свою очередь, Лев Матвеев, известный как критик ФЗ-152 "О персональных данных", в развернувшейся дискуссии о законности использования некоторых средств ИБ в очередной раз усомнился в целесообразности многих его положений. Наличие у него как оппонентов, так и сторонников в зале, предвещает жаркие дебаты по этому поводу на следующих форумах.
Угрозы перемещаются на уровень BIOS
Ренат Юсупов, старший вице-президент Kraftway, представлял на форуме тех, кто ведет борьбу с угрозами "глубже" всех. В компании Kraftway – производителе ПК и серверов, популярных в силовых структурах РФ – не понаслышке знают об "умельцах", способных обойти любую традиционную защиту.
Суть ноу-хау злоумышленников заключается в эксплуатации уязвимостей при инициализации процессора и BIOS еще задолго до того, как запустится операционная система и следом за ней - традиционное защитное ПО. В итоге оно просто не видит закладку, так как вирус находится вне зоны его досягаемости.
Не называя поименно примеры успешных атак на компьютеры и системы связи в РФ, г-н Юсупов признал, что таковые имели место быть, а вал хакерских атак в этой сравнительно молодой зоне ответственности ИБ продолжает нарастать. По его данным, в среднем за квартал появляется 150 тыс. новых экземпляров подобного программного кода.
Эффективное средство защиты здесь только одно – создавать оболочку безопасности BIOS и строить доверенную систему загрузки, которая интегрирует в себе разные средства безопасности.
При этом Ренат Юсупов не имел в виду далекое будущее. Уже сейчас Kraftway в партнерстве с ведущими отечественными ИБ-вендорами перешел от слов к делу. Одно из внешних его проявлений – альянс с Fujitsu и начало производства в России на базе платформ Fujitsu решений, защищенных в соответствии с нормативной базой РФ по информационной безопасности.
Банки не верят теоретическим расчетам
"Как бы кропотливо и тщательно вы ни готовили выборку, вам всегда могут сказать, что она неправильна и неприменима к данной проблеме", - такой эпиграф к своему докладу выбрал Павел Головлев. Будучи начальником управления безопасности Информационных технологий "СМП Банка", он перенес дискуссию в практическую плоскость. А именно – каков должен быть оптимальный бюджет на ИБ в отечественных банках.
Если взять на вооружение выкладки ИБ-теоретиков и перемножить с помощью нехитрой формулы элементы рисков, а потом получившуюся цифру принести руководству банка, то гарантированно можно услышать фразу "Не верю!" Все дело в сложности ИТ-инфраструктуры банка, динамике изменений ее самой и спектра окружающих ее угроз. А еще - в требованиях нормативных актов.
С фактами и цифрами на руках г-н Головлев попытался доказать альтернативную методологию расчета ИБ-бюджетов. Опирался при этом он на "Инструкцию Банка России №110-И", п.4.1 и 4.2 положения Банка России от 31 мая 2012г. №380-П "О порядке осуществления наблюдения в национальной платежной системе".
Используя цифры от ведущих аналитических агентств и требования нормативных актов, он вывел, что сумма в 10% от уровня покрытия операционного риска оптимальна и с точки зрения безопасников, и с точки зрения экономистов банка, оптимизирующих величины резервы банков.
Экономически выгодно опережать преступников
Артему Павлову, руководителю агентства экономической и кадровой безопасности D.I., нашлось, что ответить г-ну Головлеву. Действительно, будучи людьми технического склада, представители служб безопасности иногда упускают из виду малозатратные, но не менее эффективные средства.
Все дело в том, что ИБ – это лишь часть общего контура персональной, экономической и государственной безопасности. Она - их подсистема, причем самая дорогостоящая, часто на первый взгляд – затратная. В погоней за ней компании позабыли о людях и современных методах работы с ними.
Г-н Павлов призвал присутствующих не вязнуть в ортодоксальности, а также не забывать о разумном комбинировании всех методов защиты. Задача – опережать преступников, а для этого необходимо систематическое обобщение опыта работы профессионалов, формирование воедино лучших практик в отраслевые стандарты.
Кто сможет разграничить права регуляторов?
Последующие выступления Владимира Щербины, директора научно-исследовательского центра ВАНКБ, и Михаила Дубинина, президента Ассоциации "Национальный союз организаций в области обеспечения пожарной безопасности", стали поводом для диспута.
Владимир Щербина начал оптимистично. Он сообщил, что в Германии начата работа с привлечением Германской комиссии электротехники, электроники и информационных технологий (DKE) Германского института по стандартизации (DIN) и VDI по подготовке национальных немецких стандартов и проектов европейских стандартов CENELEC на основе положений серии российских стандартов серии ГОСТ Р 53195.
Тем не менее, по словам Дубинина, на фоне плачевной статистики, касающейся профилактики и борьбы с пожарами, два профильных надзорных органа долгие годы не могут решить дилемму двойного регулирования в области обеспечения пожарной безопасности. А это в свою очередь тянет целых шлейф проблем в смежных секторах.
Мелочей в работе служб безопасности не может быть
В финальной части форума Константин Сергеев, руководитель исполнительного комитета Союза руководителей служб безопасности Урала, остановился на новых трендах в подходах к безопасности компании. а примере провокации сотрудника охраны в одном из гипермаркетов Екатеринбурга г-н Сергеев наглядно показал, что повышение требований к профессиональной подготовке специалистов по безопасности становится сейчас архиважной задачей.
В их арсенале должны появиться инструменты раннего выявления информационных угроз для репутации компании и нивелирования их негативного воздействия. И только тесная интеграция всех контуров безопасности бизнеса может дать реальный результат.
Просмотры: 763 +1