 |
|
|
 |
|
|
|
| Статья Игоря Мельника в "Эксперт- Сибирь" |
|
Ride the lightning
Постов: 2245
Дата регистрации: 08.08.2006 |
В начале следующего года заработает закон «О персональных данных», который обязывает все компании обеспечить должный уровень защиты личной информации. Но не стоит обольщаться: человеческий фактор сильнее технических средств защиты
У старшего консультанта в области ИТ-безопасности и ИТ-рисков компании Ernst & Young прямо в ходе одной из интернет-дискуссий, посвященной информационной безопасности, взломали рабочий почтовый ящик. Никаких изощренных технических способов не применялось: «злоумышленник» просто попытался восстановить пароль на почтовый ящик специалиста через стандартную систему напоминания. Оказалось, что резервный
e-mail, на который высылается пароль, находился на бесплатном почтовом сервисе и был удален почтовой службой из-за неактивности. Зарегистрировать новый с тем же именем было делом двух секунд, что и было сделано. Спец по ИТ-безопасности просто забыл о резервном ящике. Схожими методами злоумышленники добывают нужную информацию по всему миру: способы, использующие приемы социальной инженерии, дают возможность получить несанкционированный доступ к чужим данным в 90% случаев. Довольно низкий уровень грамотности продвинутых и поголовная неграмотность рядовых пользователей делают корпоративную среду лакомым куском для конкурентов и просто киберпреступников. Страдают от этого обычные граждане, которые однажды обнаруживают, что их личные данные находятся в общем доступе.
О хакерах и дураках
У каждого предприятия есть свои понятия о том, что такое конфиденциальная информация. У большинства это базы данных по клиентам и поставщикам. У компаний, которые оказывают услуги широкому кругу населения — банков, операторов связи, органов ЖКХ, паспортных столов, — это личные данные пользователей, базы данных.
Существуют две категории угроз безопасности данных организации. Первой — внешним угрозам, как правило, уделяется значительно больше внимания. Они наиболее популяризованы: СМИ активно освещают атаки хакеров, практически все испытали на себе эпидемии вирусов и уже ощутили все прелести спам-рассылок, поэтому затраты на межсетевые экраны (файерволы) и антивирусы легко обосновываются руководству. Да и потери от таких воздействий легко возместить: в крайнем случае, можно восстановить стертые или поврежденные данные. По мнению большинства специалистов, такие угрозы, как вирусы, трояны, спам, сегодня не несут большой опасности и легко устраняются стандартными средствами.
Внутренние угрозы ощущаются менее явно, но они-то и являются самыми важными. Главные из них — забывчивость и банальность мышления сотрудников (либо руководства) самой организации, работающей с конфиденциальными данными. Из ста любых паролей примерно десять гарантированно состоят из даты рождения. Еще пять–шесть — из прямой или обратной последовательности цифр либо символов. Никакие сверхсовременные средства защиты информации не смогут помочь предотвратить утечку, если пароль доступа генерального директора будет состоять из шести знаков.
Человек — самое слабое звено в любой цепи. Наибольший ущерб компании наносят действия неграмотных пользователей, а не вирусов. Если в случае с вирусами информация просто теряется, то во втором убытки возникают именно от разглашения конфиденциальной коммерческой информации. Причем только
20–30% случаев, когда происходила утечка конфиденциальной информации, относятся к фактам промышленного шпионажа и целенаправленной передачи инсайдерской информации. Как правило, данные теряются или становятся известными сторонним лицам в результате ненамеренных действий сотрудников или бывших работников компании, проще говоря, халатности при работе с конфиденциальной информацией.
Все проблемы, как водится, кроются в менеджменте. До сих пор остается распространенным подход, когда внимание в первую очередь обращается на техническую составляющую информационной безопасности (ИБ): по ней, как уже говорилось выше, значительно проще отчитаться перед акционерами и освоить бюджеты. Так что нередки случаи, когда в компании установлена и успешно работает мощная комплексная система безопасности, данные между филиалами передаются по защищенному VPN-тоннелю, сигнал о том, что в компьютер вставлена флешка, тут же поступает в службу безопасности, используются мощные алгоритмы шифрования, но многосимвольный и сложный пароль от системы приклеен на стикере к монитору.
Очень часто утечка данных происходит через Интернет и электронную почту. В этих случаях все зависит в основном от степени доверчивости и неграмотности пользователей. Эти два фактора — основные причины потери данных. Существует такой термин, как фишинг: это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям. В письмах, обычно от имени администрации какого-либо ресурса или организации (банка, почтового сервиса, социальной сети), содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Единственное его отличие в том, что пароли к банковским счетам и аккаунтам попадают в базу данных злоумышленников. Эффективность такого метода сбора конфиденциальных данных близка к 70%. Пришедшие посредством интернет-пейджера ссылки от друзей «посмотри, какой классный видеоролик» эффективны в 30–40% случаев.
Второй по популярности канал утечки данных — это портативные накопители: карты памяти и флеш-карты. Отдельно идут распечатанные копии документов. Шредер в большинстве российских компаний до сих пор в диковинку, а культура обращения с копиями важных документов довольно низка, и очень часто можно увидеть конфиденциальные данные в мусорной корзине.
Недостаточная защищенность сибирских компаний проявляется в практически повсеместном отсутствии сколько-нибудь современных систем контроля доступа. Сегодня они есть только в некоторых крупных филиалах федеральных компаний и некоторых бизнес-центрах. В госструктурах, использующих персональные данные в большом количестве, контроль доступа номинально существует, но фактически его нет.
В общем, основная проблема в том, что политике информационной безопасности в большинстве средних и мелких компаний не уделяется достаточно внимания, а до сотрудников не доносятся правила безопасной работы с конфиденциальными данными, а понятие коммерческой тайны (что охраняем) не определено и не зафиксировано документально.
К закону не готовы
Сегодня порядок работы с персональными данными в России регулируют несколько десятков законов и подзаконных актов. Самый важный из них — Федеральный закон № 152 «О персональных данных», принятый еще 27 июля 2006 года. В рамках этого закона все компьютеры, в которых хранятся персональные данные (фамилия и имя субъекта, его отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и так далее), должны быть защищены сертифицированными средствами. Под это определение попадают и данные бухгалтерских программ, так что закон касается абсолютно всех юридических лиц. 1 января 2010 года заканчивается срок приведения в соответствие этому закону сотен тысяч информационных систем российских предприятий, содержащих персональные данные. Весь список юридических лиц и предпринимателей, которые согласно ФЗ-152 оперируют персональными данными и обязаны соответствовать его требованиям, составляет более пяти миллионов.
«Очень немного компаний подготовлены к закону о персональных данных, — оценивает готовность к новому закону руководитель новосибирского подразделения Softline Павел Баруткин. — Все организации только сейчас начинают задумываться о том, что нужно проводить аттестацию. Реальные действия начнутся, я думаю, в 2010 году, когда ФСТЭК (Федеральная служба по техническому и экспортному контролю) начнет взимать штрафы с организаций, которые не прошли аттестацию, либо забирать лицензии на основной вид деятельности. Пока что они знают, но ничего не делают».
На медлительность предприятий существенно повлиял кризис: возможно, собственники и хотели бы внедрить сертифицированные системы безопасности, но у многих на это сейчас нет свободных средств. Поэтому готовность регионов напрямую зависит от их специфики и уровня экономического развития. По мнению Павла Баруткина, лучше всего готовы к новому закону Новосибирск, Барнаул и Томск. Хуже всего обстоят дела в Омской и Кемеровской областях: омские крупные предприятия в основном входят в вертикально интегрированные холдинги, закупки идут из столицы, а средние и малые компании сегодня пострадали от кризиса и могут выделять значительно меньше денег на обеспечение информационной безопасности. В Кемерове и Новокузнецке собственных крупных налогоплательщиков больше, но угольные и металлургические предприятия из-за падения стоимости продукции на мировых рынках пострадали от кризиса очень сильно: им сегодня не до информационной безопасности.
Как защититься
Самое важное — правильно организовать процессы, которые бы определяли порядок работы сотрудников компании с учетом требований ИБ. Нужен регламент, четко определяющий, какие данные подлежат защите, какие усилия сотрудники должны прилагать, чтобы предотвратить утечку этих данных, и их ответственность. Разумеется, адекватной должна быть и оплата труда сотрудников, имеющих доступ к такой информации, чтобы не плодить инсайдеров внутри. Грамотные административные меры помогают отсечь до 80% утечек, связанных с неосторожностью или халатностью пользователей. Остальные 20% с успехом закрывают программные и аппаратные средства, которые позволяют проконтролировать обеспечение ИБ практически в любой области: электронная почта, Интернет, сменные носители. Они анализируют информацию, которая передается по каналам связи, и в случае обнаружения конфиденциальной информации, препятствуют ее утечке: такие средства защиты называются DLP-системами (Data Loss Prevention — предотвращение утечки данных).
Причем чаще всего достаточно только программных средств, аппаратные используются только в тех случаях, когда нужен большой запас по производительности.
Российский рынок ИБ пойдет в рост
Игроки предрекают рынку информационной безопасности большое будущее: причиной тому как постоянно увеличивающаяся вирусная и спам-активность, так и требования нового закона о защите персональных данных. Так что, несмотря на определенное затишье российского ИТ-рынка, бюджеты, которые выделялись на информационную безопасность, не только сохранятся, но и увеличатся.
«Разумеется, рынок среднего и малого бизнеса несколько ослаб, но очень сильно возрос спрос на ИБ-продукты со стороны крупного бизнеса (количество компьютеров от 250 и выше) и госкомпаний (от 100 и выше компьютеров). Как правило, они уже прошли этап первоначальной защиты периметра сети и уже начали задумываться о шифровании данных», — говорит Павел Баруткин.
Баруткин отмечает довольно важный тренд: сегодня компании переходят с импортного ПО на российские программные продукты. Стоимость ПО привязана к курсу доллара, поэтому обороты иностранных вендоров в последнее время уменьшаются в пользу отечественных.
http://www.expert.ru/printissues/siberia/2009/20/zakon_o_personalnyh_dannyh/ |
|
 |
0 |
 |
0 |
| Комментарий понравился? |
|
0 |
|
0 |
   30.05.2009 18:41 |  |
|
|
|
 | Только зарегистрированные пользователи могут оставлять сообщения в этом форуме |
|
|
|
|
|
© "ООО Состав.ру" 1998-2024
тел/факс: +7 495 225 1331 адрес: 109004, Москва, Пестовский пер., д. 16, стр. 2
При использовании материалов портала ссылка на Sostav.ru обязательна!
Администрация Sostav.ru просит Вас сообщать о всех замеченных технических неполадках на E-mail
|
|
|
|
