Информационная безопасность на Secure World-2014, часть 1. Обеспечение ИБ в корпоративном секторе

Третья ежегодная конференция по информационной безопасности (ИБ) «Secure World», прошедшая в Петербурге 10 октября 2014 года, была организована межрегиональной общественной организацией АРСИБ («Ассоциация руководителей служб информационной безопасности») и группой компаний «В3» при поддержке Российского союза ИТ-директоров «СоДИТ», Санкт-Петербургского клуба ИТ-директоров «SPb CIO Club» и ассоциации RISSPA (Russian Information Systems Security Professional Association).

Постоянную актуальность темы информационной безопасности на уровне государства и бизнеса лишний раз доказывают исследования «Лаборатории Касперского»: в 2013 году 95% российских организаций как минимум один раз подверглись внешней атаке на свою ИТ-инфраструктуру. Лидерами среди внешних угроз остаются вредоносное ПО и спам-атаки, увеличивается  количество фишинговых атак. Велика доля корпоративного шпионажа, кража оборудования (ноутбуков, ПК) и утрата данных, связанная с кражей мобильного устройства. 87% организаций в течение 2013 года сталкивались в внутренними инцидентами информационной безопасности (из-за уязвимостей в ПО, случайной или намеренной утечки данных, потери мобильных устройств и др.). В «Лаборатории Касперского» подчеркивают, что внутренние угрозы приводят к потере данных не реже, чем внешние. Финансовый ущерб от одного серьезного инцидента, согласно опросу по всему миру, для крупной компании составляет в среднем $ 649 тыс., для SMB-компании – $ 50 тыс. (В России - $695 тыс. и $14 тыс. соответственно). Утечка данных приводит к нарушению бизнес-процессов и потере деловых контрактов, причиняет ущерб репутации компании. Бизнесу приходится задумываться о необходимости защиты от киберпреступников, инвестировать в развертывание дополнительных программных и аппаратных решений, в обучение персонала. Отдельное внимание уделяется контролю над мобильными устройствами.

Мероприятие началось с приветственных слов почетных гостей. Виктор Минин, председатель правления АРСИБ, напомнил, что в этом году в программе конференции «Secure World» три секции: первая затрагивает проблемы обеспечения ИБ в промышленном секторе, вторая —  государственное обеспечение ИБ, третья — безопасность на уровне отдельного человека. «Безусловно, в информационном пространстве, которое на сегодняшний день разрывается на части сообществами, государствами и иными политическими явлениями, так или иначе эта тема затрагивает интересы каждого из нас», заметил г-н Минин.

 

Главный редактор журнала IT-Manager Ольга Попова, руководитель представительства
«Лаборатории Касперского» в СЗФО Евгений Питолин и член правления СОДИТ
Юрий Шойдин открывают конференцию приветственными словами

 

Ольга Попова, главный редактор журнала IT-Manager, рассказала, что журнал, изначально ориентированный на ИТ-директоров и CIO, тем не менее не первый год поддерживает данное мероприятие: «Информационные технологии не бывают без безопасности. Одним из важных элементов является защита инфраструктуры, приложений, софта, бизнеса. Поэтому наши ИТ-директора с удовольствием читают материалы по ИБ».

Юрий Шойдин, член правления СОДИТ, пояснил, что АРСИБ, один из организаторов конференции, «вырос» из Комитета по ИБ Российского союза ИТ-директоров (СоДИТ).

Евгений Питолин, руководитель представительства «Лаборатории Касперского» в СЗФО, также подчеркнул важность конференции «Secure World» для своей компании, которая выступает одним из ее ключевых партнеров: «В нашей политике самым главным всегда было то знание, которым мы как один из крупнейших в мире вендоров в области ИБ, обладаем, и возможность делиться этим знанием. Кроме того, на Северо-Западе не так много крупных отраслевых мероприятий. Наша ключевая тема — информационная безопасность, мы профессионально этим занимаемся и нам важно говорить об этом с профессионалами рынка».

Юрий Васин, ведущий специалист Сектора информационно-компьютерной безопасности Комитета по информатизации и связи Санкт-Петербурга, огласил приветствие Председателя Комитета Ивана Громова: «Стремительное развитие систем телекоммуникаций, непрерывный рост объема обрабатываемой информации, а также повышение роли информационных ресурсов в процессе принятия решений делает эффективную защиту информации одним из ключевых факторов стабильного развития страны. Именно поэтому вопросы обеспечения безопасности государства и личности являются приоритетными на сегодняшний день для всего мирового сообщества. Комитет по информатизации и связи, проводя государственную политику в области управления информационными и телекоммуникационными ресурсами обеспечения информационной безопасности, выражает свою заинтересованность в проведении мероприятий, способствующих обсуждению ключевых вопросов защиты информации».

 

Обеспечение ИБ в промышленном секторе

Первая секция конференции освещала следующие вопросы: корпоративный фишинг и прочие угрозы экономической безопасности предприятия; защита от утечек данных; защита АСУТП ТП (автоматизированной системы управления технологическим процессом) и производственных систем в целом; непрофильные задачи ИБ; управление рисками в ИБ.

 

Председатель правления АРСИБ Виктор Минин и представитель Комитета
по информатизации и связи Санкт-Петербурга Юрий Васин: обеспечение
информационной безопасности — один из важнейших факторов развития страны

 

Председатель правления АРСИБ Виктор Минин, как первый спикер в секции, говорил об основных понятиях ИБ в промышленном секторе. Законодательство по обеспечению ИБ начало формироваться еще в начале прошлого десятилетия, когда появлялись законы, направленные на обеспечение ИБ на критически важных объектах. ИБ в промышленности регулируется своими законодательными актами и понятиями в каждой из отраслей. Например, существует целый законодательный акт о безопасности гидротехнических сооружений. «Нужно четко понимать всю эту инфраструктуру системы ИБ, принципы ее действия, способы пересечения информационных систем. Есть такие понятия, как двоирование и троирование каналов доступности информации к тем людям, которые управляют этой системой и принимают решения, направленные на производственную деятельность. Существует около десяти аспектов, которые влияют на обеспечение ИБ, и в каждом из них есть своя законодательная база… Угрозы, связанные с человеческим фактором, в сумме составляют около 80% общего числа угроз. Человеческий фактор может воздействовать на информационную систему даже в проектировании, а не только в режиме эксплуатации. Технологическая эффективность критических систем может свестись на нет ошибочными или несвоевременными действиями человека», - отметил г-н Минин. Он указал на то, что катализатор поиска уязвимостей, вирус Stuxnet, попал в сети через инсайдеров.

Разговор коснулся и системы SCADA (англ. supervisory control and data acquisition - диспетчерское управление и сбор данных) — части АСУ, которая на промышленных предприятиях собирает, обрабатывает информацию и предоставляет ее оператору для дальнейшего принятия решений.

«Информационная безопасность не может быть конечным продуктом. Безусловно, это процесс», подвел итог г-н Минин.

О требованиях нормативно-правовых актов к обеспечению защиты информации в автоматизированных системах на критически важных объектах рассказал заместитель руководителя отдела Управления ФСТЭК Владимир Ольховой.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) России разрабатывает нормативные и методические документы в области защиты информации в АСУ ТП, продвигает развитие правовой законодательной базы. На сегодняшний день единственным правовым документом, прошедшим согласование в Министерстве Юстиции России, остается Приказ ФСТЭК России от 14 марта 2014 года №31 «Об Утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Приказ вступил в действие 17 августа 2014 года. Его основные разделы: общее положение, требования к организации защиты информации и требования к мерам защиты информации непосредственно в системе управления. На сайте fstec.ru размещена вся правовая и методическая база, а также контакты должностных лиц, можно задать вопрос специалисту по электронной почте.

 

Региональный представитель InfoWatch в России Татьяна Ксюнина:
десять шагов к комплексной защите от утечек данных

 

Татьяна Ксюнина, региональный представитель InfoWatch в России, представила доклад «10 шагов по защите от утечек данных». Оказывается, за первое полугодие 2014 года произошло на 30% больше утечек информации, чем в аналогичном периоде 2013 года. Немаловажную роль в увеличении числа угроз играет повсеместное внедрение в компаниях электронного документооборота. Часто используется «кража личности» - когда злоумышленники используют персональные и платежные данные в личных целях. 70% инцидентов происходит по вине настоящих и будущих сотрудников, растет процент утечек, виновниками которых становятся  руководители компаний, высший менеджмент.

Комплексная защита от утечек данных включает в себя организационные меры (регламенты, политики, допустимое ПО, развитие культуры информационной безопасности), мониторинг и контроль (система DLP), использование криптографических средств шифрования, настройку систем и средств защиты (защита от таргетированых атак, контроль подключения к сетям, антивирусы, межсетевые экраны), обеспечение физической безопасности (например, защита устройств и носителей информации от краж).

Следующим прозвучал доклад «Новая планка информбезопасности корпоративных операционных систем» Андрея Маркелова, архитектора компании RedHat - мирового поставщика решений с открытым исходным кодом, который сотрудничает в том числе с СоДИТ и с АРСИБ: «Хотя RedHat — коммерческая организация, мы используем open source как способ разработки. Все наши продукты — это открытое ПО. Компания сотрудничает с сообществом разработчиков, в результате появляется основа для продуктов корпоративного уровня и инновационные идеи. Открытый код можно использовать по своему усмотрению. На наших продуктах можно построить весь спектр информационных технологий от операционной системы до программного обеспечения управления бизнес-процессами».

Наиболее известные продукты, в создании которых принимала участие Red Hat - дистрибутивы Red Hat Enterprise Linux и Fedora. Их отличает тесная интеграция с ОС и продуктами Microsoft.

Речь в докладе также шла о подходах к ограничению управления доступом к операционным системам. В отличие от традиционного DAC (избирательное управление доступом, англ. discretionary access control), в MAC (мандатное управление доступом, англ. mandatory access control) используются политики, не привязанные к пользователю или группе, а следовательно, программа меньше подвержена уязвимостям.

 

Архитектор компании RedHat Андрей Маркелов: говорим о продуктах open source

 

Экономическая безопасность и внутренний fraud стали темой выступления Евгения Климова, директора отдела по управлению рисками кибербезопасности российского представительства одной из крупнейших в мире аудиторских компаний KPMG. Он поделился опытом противодействия внутреннему фроду (англ. Fraud - мошенничество в области ИТ, в том числе несанкционированные действия и неправомочное пользование ресурсами и услугами) в KPMG. Так, на текущий момент ущерб от внешних хакерских невысок по сравнению с внутренними угрозами. Главный фактор, влияющий на уровень корпоративного мошенничества, - отсутствие внутреннего контроля. По западным исследованиям, основные мошенничества происходят в финансовом отделе. В России же, по опыту специалиста, основные риски — в отделах закупок и продаж. Задачи отдела экономической безопасности, касающиеся внутренних факторов риска — работа с поставщиками (проверка контрагентов, участников тендеров), наличие потенциальных конфликтов интересов, анализ финансовых транзакций организации. Многие разработчики сегодня предлагают продукты для оценки аффилированности (то есть наличия общих интересов, влияющих на коммерческую деятельность) контрагентов между собой.

Александр Котов, технический директор Veritech, говоря о защите телекоммуникационных систем на предприятии, привел несколько реальных примеров взломов АТС, вызвавших существенные финансовые убытки. «Настала эпоха VoIP, в которых используются общедоступные каналы. Здесь есть масса преимуществ, таких, как общедоступность и удобство. Но с этим связано и появление новых угроз», заметил он.

Среди таких угроз - перехват информации о сеансе, незаконный сбор информации о вызовах, хищение информации об учетных записях, кража или незаконное прослушивание разговоров, голосовой спам, DDos-атака, проникновение в сеть организации через уязвимости, несанкционированный вызов через DISA, прямые вызовы через взломанную IP-АТС, toll-fraud (перепродажа трафика).

Главные правила при взломе - никогда не поддаваться шантажу, связаться с оператором и правоохранительными органами.

Г-н Котов в очередной раз отметил, что «Подход к безопасности должен быть всегда комплексным, нужно выполнить целый ряд условий, чтобы обезопасить компанию от атаки злоумышленников».

Владимир Алешин, профессор школы ИТ-менеджмента Российской Академии народного хозяйства и государственной службы при Президенте РФ, обозначил принципы системного подхода к управлению ИТ в АСУ ТП. «Чтобы чем-то управлять, нужно всё систематизировать и понимать, что на каком этапе делается. Необходимо определить, где находится АСУ ТП в структуре систем автоматизации организации. Как правило, это взаимодействие на изолированной локальной сети», - сказал он. Акцент в докладе делался на тех аспектах, которые должны быть отражены в политиках безопасности.

 

Доклад профессора школы ИТ-менеджмента Владимира Алешина
«Системный подход к управлению ИТ в АСУ ТП» завершил первую секцию мероприятия»

 

Модератор секции Виктор Минин подвел итог: «Человек является ключевым звеном в реализации вопросов обеспечения ИБ. Средства защиты должны быть направлены на человека, а не на обеспечение безопасности собственно АСУ ТП. В системах АСУТП можно использовать все подходы, технологии и продукты современных систем защиты информации. Следует отметить при этом, что современные системы защиты информации не всегда эффективны на существующих системах, особенно тех, которые достались по наследству из советских времен. Наконец, обращаю внимание, что нужна современная нормативная база. Нужно более детально проработать вопросы обеспечения ИБ с учетом всех существующих факторов, особенно особенностей, связанных непосредственно с конкретными сферами промышленности».

См. продолжение обзора.

Автор: Андрей Блинов.

Тематики: Маркетинг, Безопасность

Ключевые слова: информационная безопасность