В своей работе я хотел бы затронуть тему, которую зачастую опускают при решении вопросов безопасности. Актуальность этой проблемы весьма велика, и я хочу раскрыть остроту этой проблемы и на ряде практических примеров показать, что необходимо построение «линии обороны» с учётом так называемых социальных и человеческих факторов.

Конечно, и корпорациям, и отдельным пользователям хорошо известны такие неприятности, как вирусные эпидемии, хакерские атаки и несанкционированные почтовые рассылки, однако от всех этих бед уже разработаны и применяются весьма действенные средства защиты. Иное дело – внутренние угрозы предприятиям. Их труднее выявить и с ними сложнее бороться. Лишь создание единой комплексной системы информационной безопасности, грамотный выбор поставщиков соответствующих решений, обучение сотрудников и некоторые другие меры позволяют повысить эффективность применяемых инструментов и при этом обеспечить возврат инвестиций.

Конечно, нельзя сказать, что DDoS-атаки, замыслова­тые вирусы и спам в стиле «Центра американского английского проходят незаметно и безболезненно, но приоритеты в системе ИТ-защиты несколько изменились. Ростислав Рыжков, директор по информационной безопасности компании «ФОРС-Центр разработки», называет причины таких изменений: «С внешними угрозами нача­ли бороться раньше, а потому многое в их отношении давно уж стало понятно и привычно техническим специалистам и руководству. В свою очередь, опыта борьбы с угрозами внутренними накоплено значительно меньше: продукты и технологии появились сравнительно недавно, бюджеты далеко не всех компаний содержат строки по финансированию работ, направленных на устранение внутренних угроз». Большая часть уязвимостей связана с человеческим фактором, неправильной организацией работ по защите, несвоевременным обновлением ПО и т.д. Эти проблемы существовали всегда, но, как правило, решались они организационными методами, явно недостаточными для защиты конфиденциальных данных.

Об угрозах информационной безопасности очень много говорит Кевин Митник. Лет десять назад этого человека арестовали и судили за хакерские преступления. Ему дали условный срок, а также запретили приближаться к компьютеру в течение пяти лет. Сейчас бывший хакер полностью исправился: покинул криминальный мир и занимается легальным бизнесом, возглавляя одну из самых процветающих консалтинговых фирм в области информационной безопасности – Mitnik Security. Пытаясь поставить свои преступные навыки на пользу обществу, Митник разъезжает по миру и устраивает настоящие шоу, демонстрирующие, как легко можно пострадать от информационной незащищенности. Например, он часто проделывает такие трюки: просит какого-либо зрителя назвать свой номер телефона. И буквально через несколько минут, покопавшись в подключенном к Интернету ноутбуке, сообщает имя, фамилию зрителя, номера его счетов, страховки…

На конференции в Москве Митник демонстративно тряс книгой, которую обнаружил в помойке близ здания одной крупной компании. В книге значатся телефонные номера всех сотрудников, их электронные адреса, должности и прочие данные. Эта информация, по словам бывшего хакера, представляет огромный интерес для злоумышленника, который, имея один только список электронных адресов сотрудников, может успешно взломать корпоративную сеть. Кевин Митник пропагандирует «социальную инженерию» – использование человеческого фактора для взлома информационной безопасности. Именно этот самый человеческий фактор, по словам бывшего хакера, является наиболее слабым звеном в системах защиты. Даже если они оснащены самой совершенной техникой и программным обеспечением, виновницей взлома может стать глупенькая новенькая секретарша компании.

Митник продемонстрировал множество подобных примеров. Самый простейший — когда по телефону какому-нибудь сотруднику, желательно новичку, звонит незнакомый человек, представляется системным администратором и, ссылаясь на известные работнику имена, просит назвать личный логин и пароль для входа в систему. Как ни странно, в большинстве случаев сотрудник сообщает хакеру секретные сведения.

Сценарий посложнее: обнаружив в той же найденной в помойке телефонной книжке список электронных адресов, хакер может разослать по ним, например, предложение о розыгрыше призов. Часть людей обязательно заинтересуются и, кликнув на ссылку, выйдут на ложный веб-сайт, где им предложат просто зарегистрироваться, занеся в специальную форму логин и пароль. Трюк в том, что многие люди, не желая забивать себе голову, часто в Интернете используют одни и те же пароли.

Поэтому велик шанс, что на ложном сайте они введут тот же пароль, который используют в корпоративной сети. Так хакер получит в нее доступ. Больше всего участникам конференции понравился такой пример: на полу в лифте офиса вдруг оказывается дискета с логотипом фирмы и надписью «Зарплаты сотрудников». Большинство работников компании, подобрав якобы случайно упавшую дискету, вставят ее в свой компьютер и, следуя природному любопытству, попробуют посмотреть, сколько получают его коллеги. Сделать это не удастся: компьютер ответит, что «приложение не может открыть файл». Но в память корпоративного компьютера уже будет запущена программа шпион, которая передаст своему создателю пароли входа в корпоративную сеть и всю ценную информацию.

Не смотря на то, что в систему безопасности вкладывается много финансовых средств, и технических новаций, вся система остаётся практически бесполезной без соотвествующей подготовки общества, кадров и работников. Необходимость научит людей правильно работать с информацией сейчас выходит на первое место во всей системе безопасности.

Но какие конкретно шаги делаются для устранения угроз и повышения степени защищенности информационных систем? В уже упомянутом исследовании компании InfoWatch говорится о том, что чаще всего предприятия прибегают к техническим средствам защиты (87 %), далее следуют организационные меры (24 %), ограничение связи с внешними сетями (17 %), обучение сотрудников (11 %) и иные способы. При этом большинство компаний практикует сразу несколько методов защиты в зависимости от доступности подходящих технологических решений, объема бюджета на решение соответствующих проблем, юридических препятствий, наличия необходимого персонала и т.п. Эксперты сходятся в том, что без применения современных технических средств надежную систему информационной безопасности, обеспечивающую приемлемый уровень защиты, создать невозможно, а в качестве иллюстрации этому называют хорошо знакомую многим парольную систему защиты. Как правило, для входа в информационную систему нужно указать имя (login) и пароль (password). Если одно и то же имя вполне допустимо использовать для входа в разные системы, то использование одинакового пароля не согласуется с базовыми принципами безопасности. Эти пароли записываются на бумажках и затем теряются, не меняются годами, легко подсматриваются или «вычисляются». Впрочем, даже из этой простейшей ситуа­ции есть выход: в информа­ционных системах и на Web-сайтах часто используется дополнительный цифровой или буквенный код, так называемые пин-коды, меняющиеся после каждого очередного сеанса, и т.п. Конечно, таких ситуаций на практике встречается много, и чтобы избежать спешного латания дыр, желательно сразу создавать комплексную систему информационной_защиты.

Максим Эмм выделяет несколько этапов построения «линии обороны» от внешних и внутренних уязвимостей: анализ угроз и рисков, специфичных для компании, определение требований к защите различных компонентов и, наконец, реализация комплекса защитных мер. Ведь даже самый совершенный межсетевой экран не спасет от заражения вирусами или троянцами, если он неправильно настроен. Главное при внедрении этих проектов — обеспечить адекватность защитных мер угрозам и по возможности свести к минимуму пресловутый человеческий фактор.

Д.С. Мочалов

литература

1. Профиль. – 2005. – № 12.
2. Сетевой журнал. – 2005. – № 3.
3. Митник К.Д. Искусство обмана. – ДМК Пресс, 2005. – 280 с.