Внутрішні IT-загрози в Росії 2007-2008: підсумки і прогнози

Аналітичний центр InfoWatch підводить підсумки минулого року і представляє чергове глобальне дослідження інцидентів у сфері внутрішньої інформаційної безпеки. Мета дослідження – аналіз всіх витоків конфіденційної інформації (в тому числі персональних даних), згадуваних у ЗМІ у 2007 році. Розглянуто були інциденти в різних галузях діяльності, що відбулися у багатьох країнах світу.


Ще в 2004 році аналітичний центр InfoWatch приступив до формування бази інцидентів. На сьогоднішній день вона містить кілька тисяч записів. Саме цей масив даних послужив основою для дослідження.


Звідки витікає інформація


Торік аналітики зійшлися на думці, що точних географічних закономірностей у витоках конфіденційної інформації виявити не вдасться. Якщо черпати інформацію з повідомлень ЗМІ, то вибірка по країнам вийде далекою від репрезентативності. У кожній конкретній країні свій склад мас-медіа, власні правила і традиції оприлюднення тієї чи іншої інформації, подекуди й мовний бар’єр.


На малюнку нижче представлено розподіл інцидентів за типом організацій, в яких вони відбувалися. У минулому році ми поділяли ці організації на державні та недержавні. Нині крім державних органів і недержавних комерційних підприємств виділені також недержавні некомерційні організації (в основному це навчальні заклади).


Розподіл інцидентів за типом організації


У 2006 році в аналогічному дослідженні InfoWatch з двома градаціями (державні та недержавні організації) спостерігалося розподіл 34% і 66% відповідно. У 2007 частка державних органів зменшилася до 22%. Оскільки інформація, що дозволяє припустити зміна політики оприлюднення витоків, відсутня, залишається зробити висновок, що в держорганах дали бпрольшие ефект вжиті заходи захисту.


Впровадити певні заходи в державній структурі дещо легше, оскільки простіше подолати законодавчі обмеження. Мається на увазі чинний майже у всіх країнах заборона на перлюстрацію повідомлень, переданих по різних каналах зв’язку. У різних країнах питання з обходу цієї заборони вирішується по-своєму. Цілком зрозуміло, що державні служби мають тут ряд переваг.


Іншою причиною зниження частки держсектора є те, що проблема захисту персональних даних стала вельми популярною. Увага громадськості та ЗМІ привертають не тільки дійсно небезпечні витоку конфіденційної інформації (часто з державних органів). Стало модним піднімати шум з приводу будь-яких витоків – навіть тих, які не можуть завдати фінансового та / або репутаційного збитку. Коло організацій, оброблювальних “Безпечні” дані, більш широкий. У нього входять в основному недержавні структури.


Слід зазначити, що частка учбових закладів досить велика. З одного боку, у них немає сильного комерційного стимулу захищати інформацію про клієнтів (учнів), з іншого – дисципліна їх співробітників, очевидно, нижче, ніж на державній службі. Обидва ці фактори не дозволяють сподіватися, що частка інцидентів у вузах в найближчі роки істотно зменшиться.


Аналітики InfoWatch вважають, що в найближчі 3 роки слід очікувати зростання абсолютної кількості інцидентів, пов’язаних з витоками приватних даних. А “державна” частка буде повільно знижуватися – у основному за рахунок збільшення числа організацій. Ступеня захищеності від витоків в державному і недержавному секторах зараз несильно розрізняються і навряд чи будуть суттєво відрізнятися в майбутньому.


Природа витоків


Нижче представлено розподіл витоків за типом інформації. Комерційна таємниця і “ноу-хау” (секрет виробництва) об’єднані в одну категорію, оскільки в більшості країн це одне й те ж. Хоча в Росії “Ноу-хау” формально відноситься до інтелектуальної власності, по суті це – інновація в законодавстві. Тим більше, подібні юридичні нюанси неможливо розрізнити при аналізі повідомлень ЗМІ. У категорію “Інше” потрапила державна таємниця, а також випадки, коли тип інформації не відомий.


Розподіл інцидентів за типом конфіденційної інформації


У 2006 році в аналогічному дослідженні InfoWatch частка персональних даних була нижчою – 81%. На нашу думку, збільшення показника на 12% протягом року перевищує статистичну похибку і відображає реальний зростання числа інцидентів з викраденням персональних даних. По мірі “віртуалізації” економіки, розвитку електронного бізнесу цінність конфіденційної інформації зростає, і з’являється все більше можливостей для шахрайства. Отже, розвивається попит на приватні дані. Цим і викликане збільшення числа витоків. Цінність же конфіденційної інформації іншого роду (державна таємниця, “ноу-хау”, комерційна таємниця) якщо і зростає, то не так швидко.


У найближчому майбутньому очікується подальше збільшення вартості персональних даних. Однак кількість випадків їх викрадення зросте навряд чи, оскільки у всіх країнах вводяться заходи щодо посилення контролю над ними.


Шляхи витоків


Для розробки організаційно-технічних засобів захисту від витоків надзвичайно важливо знати про канали, по яких несанкціоновано передається інформація.


На наступній діаграмі представлено розподіл витоків по виду носія, який використовувався для переміщення даних за межі інформаційної системи.


Розподіл витоків за типом носія


У порівнянні з 2006 роком частка мобільних пристроїв скоротилася на 11%, частка мережевих каналів зросла на 13%. Частки інших типів носіїв залишилися в межах статистичної похибки. Очевидно, що із зростанням витоків через Інтернет зростає актуальність систем захисту інформації.


Звертає на себе увагу майже повна відсутність витоків по електронній пошті (всього 1 випадок). Хоча, здавалося б, цей канал – найбільш доступний і зручний. Справа в тому, що зручний він не тільки для несанкціонованої передачі інформації, але і з точки зору контролю. Разом з серйозними системами захисту від інсайдерів на ринку багато примітивних, а часом і шарлатанських засобів. Як правило, вони орієнтовані на електронну пошту – її простіше всього перлюстрованих або архівувати. Очевидно, саме тому зловмисники побоюються передавати по ній викрадену інформацію. Випадкова ж відправка конфіденційних даних в електронному листі вельми малоймовірна.


При створенні і впровадженні засобів захисту від витоків слід враховувати, які саме канали (носії) користуються найбільшою популярністю у зловмисників.


Якщо підрахувати статистику окремо для організованих і випадкових витоків, то ми побачимо, що мобільні носії і мережеві канали є основними в другому випадку. Найчастіше відбувається крадіжка ноутбука без мети викрадення містяться в ньому даних або випадкове “расшаріваніє” файлу (надання загального доступу). Для навмисної крадіжки конфіденційних даних найбільш характерно викрадення стаціонарного комп’ютера або жорсткого диска (категорія “Інше”); сюди ж відносяться невстановлені канали витоків.



Розподіл випадкових (вгорі) і організованих (внизу)
витоків за типом носія


Поділ інцидентів на навмисні і ненавмисні можна зробити досить чітко. Невелику трудність викликають лише випадки крадіжки ПК. Якщо зловмисник мав на меті викрадення персональних даних, то витік відноситься до розряду організованих. Якщо ж його умисел був спрямований на комп’ютер як на дорогу техніку, то витік інформації вважається ненавмисної, що сталася в силу випадковості чи безтурботності. У повідомленнях преси зазвичай маються якщо не точні дані, то принаймні обгрунтовані припущення про цілі викрадачів.


На наступній діаграмі показано розподіл інцидентів на умисні й випадкові.


Співвідношення числа випадкових та організованих витоків


При введенні в організації системи захисту різниця між організованими і випадковими витоками буде відігравати важливу роль. Наприклад, при постановці на контроль онлайнового інтернет-трафіку система зможе запобігти всі 27% ненавмисних інцидентів, але набагато менше 18% умисних. Шахрай діє розумно і, як правило, знає про контролюючої системі. Тому він постарається скористатися іншим каналом – тим, який не контролюється. Оскільки експлуатувати системи контролю повністю приховано навряд чи можливо, ефективність запобігання навмисних інцидентів в реальності буде нижче, ніж показник на відповідній діаграмі.


У попередньому дослідженні відповідні показники були схожими: 23% проти 77%. Різницю між 2006 і 2007 роками можна пояснити статистичної флуктуацией. Ми не вбачаємо причин, по яких співвідношення між видами витоків могло змінитися.


Очевидно, що не тільки борючись з інсайдерами, але і уникаючи випадковостей і не допускаючи безпечності персоналу, можна істотно знизити кількість інцидентів, а значить, зменшити відповідні витрати. Для багатьох організацій хоча б запобігання випадкових витоків вже виправдовує витрати на систему безпеки.


Латентність


Більшість випадків, освітлюваних пресою, відносяться до передачі конфіденційних даних по каналах зв’язку, пересилання чи перевезення містять їх носіїв. У цьому випадку два або більше суб’єкта прагнуть перекласти відповідальність один на одного. Дуже значна частина інцидентів, при яких витік стає очевидна стороннім. Приміром, її помічають клієнти компанії, або приватна інформація опиняється проіндексованої пошуковими системами. Дуже мало випадків виявлення витоку даних усередині організацій.


Очевидна тенденція до загального приховуванню інцидентів. Коли в справу не замішані сторонні, це зробити легше. У деяких країнах організації зобов’язані повідомляти про витоки, навіть якщо шкідливі наслідки не є неминучими. Втім, замовчують про витоки і в цьому випадку.


Висновок: значна частина витоків конфіденційної інформації ховається, особливо коли про них відомо лише самим постраждалим підприємствам. Статистика по подібним випадкам, швидше за все, нерепрезентативна.


Тенденції


Нижче перераховані виявлені тенденції ринку виявлення і запобігання інформаційних витоків – ILDP (Information Leakage Detection and Prevention).


1. Відсутність стандартів та єдиного підходу.


Слід зазначити, що, хоча засоби захисту від витоків поставляються багатьма фірмами, досі не сформовані єдині стандарти захисту від них. Ні на рівні писаних правил, ні на рівні звичаїв ділового обороту. Серед споживачів ILDP-рішень також не відзначається єдності технічних вимог.


Втім, виникнення подібних стандартів і традицій для аналогічних систем – систем захисту від шкідливих програм і спаму – зайняло кілька років.


2. Неефективність чисто технічних рішень.


Кожна задача повинна вирішуватися адекватними методами. Оскільки проблема витоків конфіденційної інформації – це проблема соціально-економічна, то і кошти для її вирішення повинні бути такими ж. Застосування різних технічних засобів можливо, але лише в якості інструменту для проведення тієї чи іншої організаційної політики. Рішення проблеми виключно технічними засобами попросту неможливо. На кожне технічне рішення неодмінно знайдеться контррешеніе, і так далі.


Крім того, завдання ускладнюється юридичним аспектом. Таємниця зв’язку і таємниця приватного життя захищаються законом в усіх країнах. У багатьох державах (в тому числі в Росії) ці права є невідчужуваними, тобто відмова від права буде недійсним. Організувати захист від витоків таким чином, щоб вона не вступала в конфлікт з місцевим законодавством, непросто. Для цього над проектом повинні працювати не тільки інженери, але і юристи, причому починаючи з самого раннього етапу.


Тим не менш, багато хто з наявних на ринку продуктів являють собою лобове технічне рішення і передбачають, по суті, звичайну перлюстрацію або фільтрацію трафіку, що перетинає захищається периметр мережі. Зрозуміло, такі примітивні рішення долаються як зловмисниками, так і працівниками. До того ж вони зазвичай тягнуть порушення конституційних прав працівників і, отже, несуть додаткові правові ризики для підприємства. І нарешті, чисто технічні рішення викликають невдоволення і зниження лояльності працівників, шкода від чого може перевищити користь.


Організаційні, фінансові та правові питання можна вирішити тільки в тому випадку, якщо захист від витоків починається саме з їх розгляду. Якщо проект починають складати не “технарі”, а відповідні фахівці. Технічна сторона проекту при цьому повинна бути вторинною (якщо вона взагалі потрібна).


3. Відсутність комплексного підходу.


Необхідно відзначити, що виробники засобів протидії витокам майже не застосовують комплексного підходу. Як правило, пропоновані засоби контролюють тільки один канал, рідше – два. Найчастіше це електронна пошта або веб-трафік.


Якщо контроль пари каналів має якусь користь для боротьби з випадковими витоками, то проти організованих він абсолютно даремний.


4. Поглинання та інтеграція.


На перший погляд, інтеграція рішень по захисту від витоків в комунікаційну техніку і ПО вигідна. Але жодного подібного рішення досі не випущено. Максимум, до чого дійшли виробники, – програмний інтерфейс для підключення засобів захисту (в тому числі від витоків). Але і такі інтерфейси поки рідкість в міжмережевих екранах, маршрутизаторах, точках доступу і т.п.


Тим не менш, виробники активно просуваються в цьому напрямку. Вже мало місце придбання деякими виробниками засобів ILDP з метою їх використання в продуктах загального призначення.


У найближчі роки повна інтеграція навряд чи здійсниться. Приміром, аналогічні продукти – антивіруси та антиспам-системи – так і не інтегрувалися остаточно в поштові сервера і ОС.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*