Телекоммуникационные компании боятся инсайдеров
СТАТЬЯ ПОСВЯЩЕНА ПРОБЛЕМАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, КОТОРЫЕ ИСПЫТЫВАЮТ РОССИЙСКИЕ ОПЕРАТОРЫ СВЯЗИ. В КАЧЕСТВЕ БАЗЫ ДЛЯ ОСНОВНЫХ ВЫВОДОВ ИСПОЛЬЗУЕТСЯ ИССЛЕДОВАНИЕ ОТЕЧЕСТВЕННОЙ КОМПАНИИ 1ЫРОМАТСН "ВНУТРЕННИЕ ИТ-УГРОЗЫ В СЕКТОРЕ ТЕЛЕКОММУНИКАЦИЙ 2006". В РАМКАХ ИССЛЕДОВАНИЯ ЭКСПЕРТЫ 1ЫЮ\№АТСН ОПРОСИЛИ СОТРУДНИКОВ ИТ- И ИБ-ДЕПАРТАМЕНТОВ 300 РОССИЙСКИХ ТЕЛЕКОМ-КОМПАНИЙ.
Данил Анисимов,
Независимый эксперт по ИТ-безопасности
Не секрет, что тема информационной безопасности (ИБ) достаточно широко освещается в современных СМИ. Для этого сравнительно нового рынка характерно большое количество решений, разбивающихся на огромное количество классов. В ежегодном отчете американского института компьютерной безопасности (Computer Security Institute, CSI) "2007 CSI Computer Crime and Security Survey", рынок ИБ поделен на 19 (!) продуктовых сегментов, для каждого из которых существуют собственные технические решения. Как следствие, компаниям (в лице руководителей ИТ-департаментов или начальников служб информационной безопасности) крайне тяжело разобраться в таком многообразии и выявить те системы, внедрять которые критически необходимо.
В этом смысле, телекоммуникационным компаниям приходится вдвойне труднее. Их бизнес по определению завязан на информации, а значит — эту информацию необходимо качественно защищать. Подчеркнем, что операторам связи приходится думать не только о безопасности собственных корпоративных данных, но и о сохранности данных клиентов, идущих по принадлежащим оператору каналам. Другими словами, решать похожую задачу два раза подряд. Поэтому ошибка в выборе тех или иных средств обеспечения безопасности может привести оператора к двойным материальным потерям.
Внешние и внутренние угрозы информационной безопасности
Первый значимый вопрос исследования
Кража оборудования
10-W ЗУ\
Рис. 1. Наиболее опасные угрозы ИБ
InfoWatch касался наиболее опасных угроз в области ИБ. Приводимая ниже раскладка является упрощенной в том смысле, что одна и та же угроза (например, кража информации) может материализоваться в силу различных причин. Однако, исходя из полученных данных, можно сделать несколько интересных выводов.
Все угрозы, приведенные на рис. 1. можно разбить на три основные группы. Во-первых, существуют "чисто внешние" угрозы (вредоносные программы, хакерские атаки, спам), которые объясняются действиями внешних мошенников. Во вторую группу попадают "чисто внутренние" угрозы (прежде всего, халатность сотрудников и финансовое мошенничество), возникающие из-за случайных или злонамеренных действий сотрудников компании (инсайдеров). Наконец, смешанные угрозы (кража информации, сбои, кража оборудования), объясняются в каждом конкретном случае по-разному.
Легко видеть, что телеком-компании обеспокоены, прежде всего, внутренними угрозами. Угроза "кражи информации", расположенная на первом месте списка (71% голосов), обычно возникает именно из-за действий инсайдеров. Первая значимая внешняя угроза (вредоносные программы) беспокоит менее половины опрошенных респондентов.
Сравнивая полученные результаты с межотраслевым распределением (см. исследование InfoWatch "Внутренние ИТ-угрозы в России 2006"), можно увидеть еще одну интересную тенденцию. Телекоммуникационные компании опасаются практически всех типов угроз чуть больше, чем все компании по рынку в целом. Например, индекс популярности угрозы "кража информации" в секторе телекоммуникаций
на 5% опережает аналогичный показатель по всем отраслям (71% против 66%). Скорее всего, такое положение вещей объясняется более высоким профессионализмом операторов связи, которые гораздо глубже связаны с ИТ, чем другие организации.
Если исключить из рассмотрения смешанные угрозы и суммировать голоса, полученные "чисто внешними" и "чисто внутренними" вариантами ответа, то опасность внутренних угроз относится к опасности внешних примерно как 55:45. На самом деле, реальное соотношение даже больше, поскольку смешанные угрозы (кража информации, различные сбои и кража оборудования) чаще квалифицируются как внутренние.
Таким образом, российские операторы связи обеспокоены, прежде всего, действиями собственных сотрудников, а не внешних мошенников. Эта тенденция вполне логична и имеет сразу несколько основных предпосылок. Решения, предназначенные для защиты компании от внешних угроз, появились на рынке значительно раньше, они гораздо дольше эволюционировали и поэтому находятся на более высоком уровне зрелости. К тому же, сама проблематика внутренних угроз концептуально сложнее, нежели проблематика внешних. Если сравнить корпоративную сеть с просторным помещением, то "внешняя" безопасность аналогична установке мощного замка на дверь. А безопасность внутренняя — контролю легальных посетителей помещения, обладающих ключами к этому замку. Понятно, что вторая задача значительно сложнее и многограннее первой.
Следующий вопрос исследования InfoWatch касался опасности различных внутренних угроз. На первых двух местам в полученном рас-
пределении (рис. 3) находятся угрозы "утечки информации" (85%) и ее "искажения"(64%). А на третьем месте располагается мошенничество (49%) — и это достаточно необычно. Дело в том, что в целом по рынку эту угрозу отметили только 19% респондентов. По всей видимости, в высокой опасности мошенничества проявляется еще одна специфика телеком-компаний, которая объясняется широким применением информационных биллинговых систем.
Утечки данных: последствия, каналы и количество
Обобщая ответы на предыдущие вопросы, приходим к выводу о том, что угроза "утечки конфиденциальной информации" является наиболее опасным риском ИБ в целом (не только внутренней, но и внешней ИБ). В связи с этим возникает логичный вопрос — а чем же опасна эта угроза, и почему телекоммуникационные компании так сильно ее боятся? На рис. 4 приведены ответы респондентов на этот вопрос.
Как выяснилось, наиболее плачевным последствием утечки является удар по репутации компании (51% голосов). В России пока не существует законов, которые обязывают оповещать об утечке различные органы, однако если эта информация попадает в прессу, то репутация "отличившейся" компании мгновенно падает. Чтобы привести какую-то конкретику вспомним инцидент с компанией "Вэб Хостинг", предоставлявшей услуги хостинга под торговой марке Valuehost. Напомним, что в октябре прошлого года ряд интернет-магазинов выложили на свои прилавки "Базу данных Valuehost.ru со всеми логинами и паролями". Всего за 300 долларов любой желающий мог купить базу реквизитов 70 тыс. пользователей хостинг-оператора. Данный инцидент широко освящался в российский прессе и привел "Вэб Хостинг" к серьезным финансовым потерям.
Отметим, что для телекоммуникационных компаний репутация является весьма важным активом. Особенно если не рассматривать крупные общероссийские корпорации, контролирующие уникальные каналы связи. Абсолютное большинство операторов не могут похвастаться уникальным положением и, более того, им приходится играть на рынке с высоким уровнем конкуренции. В таких условиях репутация является одним из основных факторов успеха.
Второе "плачевное" последствие утечки неразрывно связано с первым. Понятно, что очевидным результатом ухудшившейся репутации является потеря потенциальных (а также вполне реальных) клиентов. Это последствие отметили 43% респондентов.
Нарушение
конфиденциальности
информации
Искажение информации
Мошенничество Саботаж. Утрата информации Сбои в работе I С Кра«а оборудования Др/гое
11%
7%
85%
64%
49%
Л 20% 404
Рис. 3. Наиболее опасные угрозы внутренней ИБ
Рис. 4. Наиболее затратные последствия утечки данных
На следующих позициях списка находятся "прямые финансовые убытки" (36%) и "снижение конкурентоспособности" (29%). Эти последствия имеют другую природу: они предполагают утечку интеллектуальной собственности, а не приватных данных клиентов (сотрудников) компании. Но, так или иначе, независимо от типа исчезнувших данных, последствия для компании будут весьма серьезными.
Добавим, что "юридические" последствия (преследование различными органами, а также судебные издержки) находятся в самом конце списка. Оно и понятно — государственное регулирование информационной безопасности в России находится пока на зачаточном уровне. Некоторые законы, правда, уже приняты, однако пока они носят рекомендательный характер или же просто не применяются на практике. Ниже мы расскажем о законодатель-
ном регулировании ИБ в телеком-компаниях более подробно.
Завершая разговор о последствиях утечек, приведем несколько цифр исследования американского института Ponemon Institute — . Аналитики Ponemon Institute попробовали посчитать, сколько же стоит утечка приватной записи всего одного клиента компании. Оказалось, что прямые издержки на ликвидацию утечки в среднем составляют примерно , а косвенные потери (удар по репутации и как следствие — потеря клиентов) — . Конечно, в России эти показатели заметно ниже, однако по ним можно понять порядок расходов на ликвидацию того или иного инцидента. Так, утечка всего 10 тыс. приватных записей в России (а это довольно частый случай) сопряжена с серьезными долларовыми потерями, которые измеряются шестизначной цифрой. Один такой инцидент спосо-
бен перебить все расходы, идущие на внедрение системы защиты.
Утечка конфиденциальных данных всегда происходит по некоторым каналам. Из списка наиболее опасных каналов утечки (рис. 5) следует один главный вывод. Легко увидеть, что практически все имеющиеся каналы действительно опасны (кроме, быть может, фото-принадлежностей), а значит — каждый из них требуется как-то контролировать. В этом смысле очевидное преимущество имеют комплексные системы, обеспечивающие защиту всех имеющихся каналов утечки, а не только какого-то подмножества из них.
Все разговоры о возможной опасности утечек были бы беспочвенны, если бы эти самые утечки не происходили. Согласно данным ПЬМЫсЬ (рис. 6) более половины телеком-компаний (47%) испытали за последний год хотя бы одну утечку данных, а еще 38% затруднились ответить на данный вопрос. Скорее всего, большинство организаций, входящих в эту долю, все же испытали утечки, однако просто от них не знают.
Добавим, что только 15% респондентов уверенно заявили, что их компании не допустили за прошедший год ни одной утечки данных. Несмотря на то, что этот показатель незначительно (на 1,3%) выше общеотраслевого, он все равно критически низок.
ИБ в телекоммуникационных компаниях и законодательство
Специфика телекоммуникационных компаний также проявляется в вопросах нормативного регулирования. На сегодняшний день существует два основных закона, оказывающих влияние на их деятельность.
Во-первых, операторы связи часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных граждан. Следовательно, руководству департаментов ИТ и ИБ необходимо обратить внимание на ФЗ "О персональных данных", который предъявляет целый ряд требований к безопасности приватных сведений граждан.
Вторым нормативным актом, который неизбежно повлияет на жизнь операторов, станет стандарт "Базовый уровень информационной безопасности операторов связи". Ряд положений этого документа напрямую адресует внутренние угрозы ИБ и проблему защиты персональных данных. Например, раздел 3.16 рекомендует оператору "обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных дан-
Другме | 2%
OS
Рис. 5. Опасность различных каналов утечки данных
Затрудняюсь ответить
(Л 5% 1<Л
Рис. 6. Количество утечек данных
ных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи". Согласно разделам 3.17 и 3.18, компания должна вести журналы регистрации событий ИБ и хранить их, исходя из сроков исковой давности (в России общий срок — 3 года). Более того, "для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности". Также нельзя обойти вниманием пункт 4.4: "Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих)операторов, рекомендуется информировать последних об этом в кратчайшие сроки". Таким образом, российский сектор телекоммуникаций становится все ближе к передовому опыту — ведь в США и Евросоюзе компании уже давно несут ответственность за утечку приватных данных. Более того, они не могут скрыть этот инцидент, так как по закону обязаны поставить пострадавших в известность об утечке. Судя по всему, со временем в России тоже появится такая норма.
На рис. 7 представлена ожидаемая степень влияния на отрасль двух описанных нормативов. Легко увидеть, что влияние "базового уровня", скорее всего, окажется заметно весомее. Сегодня в телекоммуникационной отрасли бытует мнение о том, что ФЗ "О персональных-данных" является практически беззубым нормативом.
Такая ситуация объясняется сразу рядом причин. Во-первых, данный нормативный акт выдвигает самые общие требования: операторы обязаны обеспечить конфиденциальность приватных сведений, но сделать это они должны по собственному разумению. Во-вторых, закон не предусматривает явной ответственности за утечку информации для руководства или бизнеса. В-третьих, федеральный орган, уполномоченный следить за выполнением закона (ФСТЭК России), до сих пор не выпустил стандарт безопасности персональных данных. Между тем, этот стандарт необходим, чтобы компании знали, какие меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Наконец, в-четвертых, в России отсутствует правопримени-
тельная практика в сфере борьбы с утечками: судьям, следователям и милиции необходим опыт борьбы с инсайдерами и продавцами приватных данных.
В отличие от Федерального закона "Базовый уровень" является всего лишь рекомендацией, а значит — соответствие этой рекомендации не является обязательным. Однако в некоторых случаях оно может оказаться критически важным. В частности, регуляторы могут сделать "Базовый уровень" важным условием для получения каких-либо лицензий. А крупные и серьезные операторы могут выдвигать похожие условия для более мелких игроков, желающих присоединиться к их сети. К тому же, соответствие стандарту является серьезным маркетинговым преимуществом, которое можно использовать для получения более высоких доходов. Если оператор соответствуют "Базовому уровню" он может продавать собственные услуги по более высокой стоимости — беря дополнительные деньги за гарантию безопасности клиентов.
Средства защиты
Заключительная часть исследования МоМЫсЬ была посвящена инструментам обеспечения безопасности в российских телеком-компаниях. На рис. 8 представлены технические средства, которые применяются операторами связи для защиты собственной инфраструктуры. Абсолютное большинство используемых инструментов (антивирусное ПО, межсетевые экраны, антиспам) по-прежнему связаны с внешними угрозами, а системы защиты от утечек данных внедрили только 8% респондентов. Казалось бы, этот показатель критически низок, если не учесть одно обстоятельство — еще в конце 2005 года доля таких компаний не превышала 2%. Таким образом, спрос на системы защиты от утечек вырос за год на космическую цифру в 400%. Можно смело утверждать, что в нынешнем году эта тенденция продолжилась, и доля защищенных компаний существенно выросла.
Однако, несмотря на очевидный рост интереса к теме внутренних угроз, имеется ряд препятствий, которые тормозят внедрение систем защиты (рис.9). Главным из них является отсутствие стандартов (30%) — далеко не все операторы понимают, как можно обезопасить себя от утечек. Похожее препятствие — нехватка квалифицированного персонала (15%) — оказалось на четвертом месте списка. 22% респондентов считают основным препятствием бюджетным ограничения, что также вполне объяснимо. Многие компании потратили существенные средства на безопасность в течение последних лет, и теперь им крайне трудно убедить руководство в важности дальнейших инвестиций.
Сильно Повлияет, но Вообще не
повлияет не сильно повлияет
Рис. 7. Влияние различных законов на бизнес телекоммуникационных компаний
Рис. 8. Используемые средства информационной безопасности
Рис 9. Препятствия внедрения системы защиты от утечки данных
Рис 10. Наиболее эффективные пути защиты от утечки данных
Полученные результаты интересно сравнить с общеотраслевыми. В опросе среди всех секторов экономики на первых позициях списка располагались психологические ограничения (25%), в то время как отсутствие стандартов находилось только на пятой строчке рейтинга (12%). Отсюда напрашивается вывод, что сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело, чем другие отрасли. Операторы связи уже перешагнули психологический барьер и активно присматриваются к внедрению систем защиты. Отметим, что такие системы уже доступны на рынке, поскольку отсутствие технологических решений отметили только 3% респондентов. Другое дело, что из-за отсутствия стандартов компании не понимают, каким образом надо эти системы внедрять.
На следующем этапе исследования респонденты попытались оценить эффективность различных подходов к защиты ИТ-инфраструктуры компаний от утечек данных (рис.10). Наиболее эффективным способом оказалось внедрение комплексных информационных систем — этот вариант отметили 49% респондентов. Следом располагаются организационные меры (27%), а также ограничение связи с внешними сетями (11%).
Таким образом, проблема утечек данных не решается только запретительными мерами. Если компания хочет обезопасить себя от утечек, не снизив при этом эффективность собственного бизнеса, ей придется внедрять комплексные системы. Банальное ограничение использования Интернета, электронной почты или ICQ сегодня уже, к сожалению, не работает.
Заключение
Несмотря на то, что российские телекоммуникационные компании довольно зрело относятся к ИБ в целом и внутренним угрозам в частности, им все равно еще есть, куда работать. Во-первых, уровень использования систем защиты от утечек в российских компаниях до сих пор крайне низок. И, во-вторых, существует ряд препятствий для массированного внедрения подобных систем.
С другой стороны, имеется и несколько противоположных предпосылок — как объективных (общие тенденции развития рынка ИБ), так и субъективных (нормативное регулирование). Но если сдерживающие факторы являются, скорее, временным явлением, то предпосылки, напротив, будут наблюдаться постоянно. Поэтому рискнем предположить, что телеком-компании будут активно внедрят системы внутренней защиты в собственную ИТ-инфаструктуру. И более того, это направление станет главным вектором развития ИБ на вертикальном рынке операторов связи.