Информационная безопасность

Решения «СёрчИнформ»:

Предотвращение утечек Выявление угроз Контроль персонала

ИБ в России и в мире

Кибертерроризм и угрозы аналогичного характера стали серьезной проблемой для всей планеты. Задачи, стоящие в сфере информационной безопасности в России, являются только составной частью общемировых проблем и задач. Общее соотношение угроз в России и мире показывает, что наша страна пока находится в достаточно безопасной зоне, количество актов кибертерроризма и хакерских атак в процентном отношении у нас ниже, чем в США. По данным РБК в США совершается 41% всех хакерских атак в мире, в России – не более 10%. Это является одним из оснований воспользоваться относительно комфортным режимом и направить силы на повышение уровня защиты от предполагаемых угроз.

Информационная безопасность. Понятие и роль в современном мире

Под информационной безопасностью понимается комплекс организационных и технических мер, принимаемых для обеспечения защиты массивов информации, их целостности, доступности и управляемости. В рамках общей концепции безопасности государства информационная занимает особое место, так как обеспечивает связанное взаимодействие всех элементов системы. Выделяются следующие структурные элементы информационной безопасности на международном и внутригосударственном уровне:

  • защита самих сведений, содержащих государственную или коммерческую тайну;
  • защита серверов государственных учреждений и систем жизнеобеспечения;
  • компьютерная или безопасность данных, представляющая собой набор аппаратных и программных средств, обеспечивающих сохранность информации от доступа к ней неавторизированных субъектов, от разрушения, от затруднения доступа, от перепрограммирования;
  • информационно-психологическая, что подразумевает под собой реализацию системы мер, направленных на защиту от целенаправленного информационного воздействия на субъекта нападения, его психологическое состояние или имидж на международной арене.

Защита всех составляющих требует разработки методического аппарата и создания собственной инфраструктуры. Задачи обеспечения информационной безопасности осложняются тем, что информационное пространство не имеет границ. Особенности работы сети Интернет и возможности беспроводной связи создают предпосылки для бесконтрольного и беспрепятственного переноса через рубежи государств огромных массивов данных, часто содержащих сведения, оборот которых в мире или в отдельных странах запрещен или ограничен. Атакующие технологии развиваются быстрее защитных, поэтому даже государственные базы данных находятся в зоне риска. Для защиты государственной тайны применяются самые совершенные технологии. Но когда она выходит из наиболее охраняемого периметра в ситуациях взаимодействия государственных учреждений с коммерческими организациями или общественными институтами, степень защиты которых существенно ниже, она попадает в зону риска.

Как показывает практика, несовершенны и государственные защитные меры, о чем говорят участившиеся взломы серверов администрации и министерства обороны США. При этом преступники чаще всего не попадают под юрисдикцию государства, подвергшегося кибернападению, являясь иностранцами или лицами без гражданства, так называемыми гражданами мира. Все это вынуждает находить общемировой консенсус на почве борьбы с угрозами и создания общей системы информационной безопасности. Ведутся предварительные переговоры о возможности признания кибератак не только преступлениями, но в ряде случаев, когда их целью являются государственные институты, о возможности приравнять их к вооруженным нападениям. В качестве российского примера можно вспомнить атаки, совершаемые на систему WEB-трансляции голосования, призванную подтвердить отсутствие нарушений избирательного законодательства, во время президентских выборов 2012 года. Тогда на систему в течение одних суток было совершено до 1,2 миллиона атак. В этом же году информационные сети Израиля атаковались 44 миллиона раз, Ирана – 28, США – 12 миллионов раз. Для сравнения: за 2016 год в России на государственные и частные ресурсы было совершено уже 70 миллионов нападений, что говорит о скорости возрастания серьезности угрозы.

Одним из первых предложил приравнять кибератаки к вооруженным нападениям министр обороны США Леон Панчетта, который сравнил их с последствиями от возможного взлома или перепрограммирования компьютеров химических и ядерных предприятий, а также систем жизнеобеспечения городов, с последствиями ядерного взрыва на территории части США. Как будто услышав речь министра, кибертеррористы ответили разрушением банковской системы Южной Кореи и системы здравоохранения в Великобритании.

Конгресс на тот момент поддержал идею министра, но пока она не преобразовалась в нормы международного права. Новые конвенции должны создаваться на площадке ООН, но, как показывает практика, крупнейший игрок в сфере и угроз информационной безопасности, и защиты от них будет блокировать любую систематизацию норм на международном уровне или воспринимать их как необязательные для себя. Единственным значимым документом можно признать двустороннее соглашение между Россией и США, заключенное в 2013 году О сотрудничестве в научных разработках и разработках в ядерной и энергетической сфере. Оно включало некий список предполагаемых мер доверия и было направлено на предотвращение кибервойны и создание общей системы информационной безопасности.

Также предлагается идея сосредоточить усилия мирового сообщества на системе превентивных мер, одной из которых может стать криминализация деяния на максимально высоком уровне. Это поможет в борьбе с преступностью больше, чем преодоление последствий инцидентов.

Дополнительной основой для необходимости создания международной нормативно-правовой базы по борьбе с этими угрозами становится и имиджевый аспект. Использование информационных технологий в политической и экономической конкуренции стало общим правилом, и ущерб от него выражается не только в репутационных, но и в финансовых потерях ряда государств. Это также требует регламентации и введения мер ответственности. Информационная безопасность и защита репутации государства должны стать одним из инструментов в геополитическом противоборстве.

Использование информационных технологий для воздействия на психику применяется и при военных действиях, и в обычной жизни.

Информационная безопасность в России

В России все аспекты борьбы с угрозами такого масштаба рассматриваются на уровне Доктрины информационной безопасности, на основании которой принимаются ведомственные нормативные акты. Одним из вопросов, рассматриваемых доктриной, стала необходимость самостоятельного информационного присутствия России в международном сообществе и наличие каналов поставки достоверных данных и новостей, которые позволят снизить ущерб от дезинформационных атак.

Применительно к качеству государственного или корпоративного управления уровень информационной безопасности определяется способностью государства или субъекта предпринимательского оборота:

  • обеспечить функционирование информационных ресурсов и потоков, достаточное для нормальной жизнедеятельности и развития, в полном объеме защитить коммерческую или государственную тайну от незаконных посягательств;
  • противостоять техническим и психологическим угрозам, защитить систему и людей от негативного воздействия, осуществляемого с использованием информационных технологий;
  • поддерживать эффективность работы системы и персонала, ее адекватные реакции на все возрастающие вызовы и возможность саморазвития;
  • использовать такие методы и средства защиты информационного суверенитета государства или корпоративных ценностей, которые не посягали бы на целостность прав и свобод граждан.

Информационная безопасность государства складывается из нескольких факторов. Массивы информации являются одним из основных ресурсов, поддерживающих функционирование государства в политической, социальной, экономической и военной сферах. Основным приоритетом государственной политики становится выделение роли информационной безопасности и повышение ее значимости в качестве системообразующего элемента управления.

Сейчас за информационную безопасность России отвечают специализированные подразделения министерств и ведомств, а также межведомственная комиссия, созданная при Совете Безопасности РФ, но участники процесса борьбы с кибератаками считают, что на современном этапе этого недостаточно. Необходим собственный регулятор на уровне Федеральной Службы, обладающий самостоятельными ресурсами и значительными полномочиями.

Пока российская система не отвечает всем необходимым требованиям, позволяющим обеспечить ИБ в полном объеме. Их несколько.

Независимость

Независимость или степень локализации систем, жизненно необходимых для функционирования государства, многопланова. Она состоит из собственного программного обеспечения: операционных систем и систем защиты безопасности, в том числе SIEM-систем российских разработчиков, собственных каналов связи, делающих наиболее важные ресурсы независимыми от мировой сети Интернет, квалифицированных кадров. По подсчетам Минкомсвязи к 2020 году в России должно появиться до 350 тысяч квалифицированных специалистов в области информационной безопасности. Важным аспектом обеспечения независимости будет и создание самостоятельной структуры для управления рисками, опирающейся на нормативно-правовую базу, обеспечивающую ей полномочия и возможности для работы, а также выстроенную систему межведомственного взаимодействия. Существенной проблемой становится и отсутствие собственной аппаратной части, делающее систему ИБ России зависимой от иностранных поставщиков.

Защищенность финансовой системы

Безопасность финансовой системы России, по мнению специалистов, находится на очень низком уровне, что делает ее мишенью для кибератак. Нарушение целостности системы взаимодействия банков может привести к кризису платежей и коллапсу экономики в отдельных регионах. Пока статистика нападений на российскую финансовую систему достаточно оптимистична, за 2016 год было предотвращено 9 покушений, и общий объем средств, на которые посягали злоумышленники, не превысил 1,08 миллиардов рублей. Но невысокий уровень прошлых угроз не гарантирует отсутствие их роста в будущем. Уязвимыми элементами ИБ в российском финансовом секторе продолжают оставаться отсутствие специалистов, программное обеспечение и недостаточная координация с правоохранительными органами.

Отдельным вопросом, касающимся одновременно и независимости, и финансовой обеспеченности, становится необходимость использования системы SWIFT для международных расчетов. Безопасность информационных потоков со сведениями о международных трансакциях обеспечивает возможность корпоративных субъектов выполнять свои финансовые обязательства, а это отражается на общем кредитном рейтинге России.

ИБ в социальной сфере

Важной задачей становится обеспечение на должном уровне информационной безопасности в социальной и образовательной сферах жизни. Самым ярким проявлением отсутствия должных мер защиты является вовлечение несовершеннолетних в опасные сетевые сообщества террористической или суицидальной направленности. Основной причиной этого становится и недостаточная локализация основных Интернет-ресурсов, и отсутствие должного контроля над социальными сетями. В первом случае не всегда срабатывает принцип давления на крупнейшие ресурсы с требованиями о предоставлении персональных данных пользователей, как в случае с Твиттером и Фейсбуком, но все же некоторые подвижки в этих вопросах есть. Применительно ко второй ситуации справиться с проблемой силами МВД и Роскомнадзора невозможно, необходима координация действий различных служб. За 2016 год Росскомнадзором было заблокировано 17 тысяч доменных имен и пользователей, но они появляются вновь, с тем же кругом последователей.

Проблемы и угрозы ИБ на международном уровне

Угрозы информационной безопасности как в России, так и за рубежом имеют в основном экономические причины. Кибертерроризм, имеющий целью подрыв политической стабильности, хоть и достаточно широко освещается в СМИ, но в процентном соотношении невелик. Громкие взломы чаще всего носят рекламный характер и направлены на презентацию услуг той или иной хакерской группировки с целью дальнейшего коммерческого использования навыков и умений. Недавний взлом сайта американской Комиссии по ценным бумагам относится именно к этой категории преступных актов. Кроме того, эти акты, носящие публичный характер, как, например, атака вируса WannaCry, часто носят разведывательный характер, определяют степень защищенности мировых информационных ресурсов и предвещают новые, более серьезные и масштабные атаки.

Приводятся данные о том, что ежегодный ущерб от преступлений, связанных с хищением компьютерной информации в мире, превышает 440 миллиардов долларов. Если снять существующие уровни безопасности с банковских сетей, в течение нескольких дней создастся такой кризис неплатежей, который может приостановить деятельность экономических субъектов в отдельных регионах. Существование денег в электронной, безналичной форме не только удобно, но и влечет за собой серьезные системные риски, требующие постоянного повышения уровней защиты. Информации банков и корпораций угрожают не только хакеры. Среди угроз ее безопасности:

  • системные сбои, возникающие по различным причинам, в том числе случайным или внедренным неверным кодам в программном обеспечении;
  • технические неисправности аппаратных средств, вызванные сбоями в системе электроснабжения, в том числе намеренными, конструктивными проблемами или действиями пользователей;
  • различные вирусы, которые постоянно совершенствуются и модифицируются, в частности, в начале 2017 года от вирусов-шифровальщиков WannaCry и NotPetya пострадало множество крупных компаний и государственных учреждений;
  • деятельность сотрудников, направленная на разрушение систем безопасности, намеренный саботаж;
  • внедрение в сеть неавторизованных пользователей, которые могут перепрограммировать компьютеры или похитить важные сведения;
  • хищение данных любыми способами и с различными целями.

Определенные меры борьбы с этими угрозами принимаются и на государственном уровне, хотя существует подозрение, что ряд актов кибершпионажа или повреждения сетей конкурентов могут осуществлять и сами государственные структуры с целью похищения или повреждения критической информации или финансовых ресурсов государств-конкурентов. Тем не менее к 2014 году в США государственные власти начали контролировать почти весь объем производства spyware (программа, похищающая и перенаправляющая данные с компьютера пользователя) и adware (вирусная реклама).

Сейчас среди более типичных и бытовых проявлений использования информационных технологий для совершения атак на компании и граждан встречаются:

  • ransomware, или программы-вымогатели. При запуске такой программы компьютер или мобильное устройство теряют свою работоспособность по различным причинам. Для возвращения их в рабочее состояние необходимо заплатить хакерской группировке определенную сумму. Интересно, что при последних случаях ransomware оплату «услуг» хакеров требовалось делать в криптовалютах, оборот которых находится в относительно теневой зоне, и получателя отследить практически невозможно;
  • лжеантивирусы, одна из версий программ-троянов, пользователь сам устанавливает их на компьютер, и в дальнейшем они или блокируют его работу и требуют уплаты определенной суммы, или способствуют проникновению других вирусов;
  • madware-программы, нацеленные на повреждение ПО мобильных устройств;
  • кибербуллинг, или использование информационных атак для воздействия на психологию жертв.

Этим опасностям подвержены компьютеры в основном частных лиц, не относящихся системно к защите своей информации. Но даже охраняемые базы данных и крупных корпораций находятся под постоянной угрозой. Заказчики-конкуренты в США и Евросоюзе готовы платить за хакерскую атаку и похищение нужных им данных от 3 до 12 миллионов долларов. При этом, если атака производится на военный или промышленный объект, цена может вырасти в 5 раз.

В России объем киберпреступлений частного характера существенно меньше, но это и является одним из оснований неподготовленности систем безопасности большинства российских субъектов к атакам, что отмечается даже на уровне соответствующих подразделений МВД.

Международные стандарты сертификации

Если на политическом поле общих норм международного права, определяющих направления борьбы с угрозами информационной безопасности, пока не существует, то в части стандартизации мер и систем безопасности они разработаны. Они находятся в сфере производственного и коммерческого оборота и относятся к системе ISO/IEC 27000. Двойная аббревиатура говорит о том, что стандарты явились плодом сотрудничества Международной комиссии по стандартизации (ISO), чьими нормативными актами определяется качество процессов производства и менеджмента, и IEC (Международной Энергетической комиссии). ISO/IEC 27000 содержат ряд рекомендаций и практических советов для внедрения СМИБ (Системы менеджмента информационной безопасности). В России на базе ISO/IEC 27000 и внутренних разработок было принято около 22 тысяч внутренних стандартов аналогичных систем, некоторые из них утверждены в качестве ГОСТов, например, ГОСТ Р ИСО/МЭК 27000-2012.

Помимо стандартов серии ISO/IEC 27000 ряд европейских государств разработал собственные нормативные документы, определяющие требования к обеспечению информационной безопасности. Это стандарты Федерального агентства по информационной безопасности ФРГ (BSI), BS 7799, разработанные для Великобритании, сейчас по умолчанию применяются во множестве стран мира.

Создание СМИБ с учетом стандартов

Предприятия, обеспокоенные защитой собственной конфиденциальной информации и сертифицирующие свои товары и услуги по системе ISO 9001, должны стремиться организовать собственную систему менеджмента информационной безопасности на основе ISO/IEC 27000 2016 или более ранних версий, если их внедрение началось до введения новой версии. Эта модель менеджмента рекомендует следующие этапы при создании и внедрении системы: Plan, Do, Check, Act (PDCA).

  1. На стадии Plan разрабатывается внутренняя нормативная документация, проводится аудит систем, инвентаризация подверженных риску или критических активов, разрабатывается система технических мер.
  2. На стадии Do проводится внедрение разработанной системы, включающей и средства оценки эффективности принятых мер.
  3. На стадии Check, которая должна носить целевой и регулярный характер на этапе после внедрения, проводится оценка качества работы системы.
  4. На стадии Act производится доработка и устранение выявленных недочетов.

При внедрении СМИБ этим путем она будет соответствовать требованиям, предъявляемым международными стандартами сертификации.

Российские СМИБ

В России наиболее полные собственные стандарты СМИБ существуют в банковской сфере. Они разрабатывались специалистами, которые были собраны в рамках АСИ, что говорит о рекомендательности этих стандартов. Тем не менее были собраны практически все лучшие мировые практики, включая методики оценки рисков CRAMM и OCTAVE. В итоге документ был утвержден как Стандарт ЦБ России по информационной безопасности. Сейчас существует 4 стандарта, определяющих общие положения, правила реагирования на отдельные инциденты и порядок аудита систем безопасности. В ряде случаев банки становятся в тупик, внедрять ли им стандарты ЦБ или ISO/IEC 27000. Если первые необходимы по требованиям регулятора, то сертификация работы в соответствии со вторыми нужна для осуществления успешной деятельности на мировых рынках. В основе стандарта лежит любопытная теория, что концепция СМИБ должна быть основана на противоборстве собственника и злоумышленника за контроль над информационными активами. В качестве основного источника угрозы Стандарт рассматривает не внешнего актора, а персонал организации, предполагая основывать комплекс защитных мер именно на преобладании этой угрозы. Такой подход делает необходимым внедрение DLP-систем, созданных и разработанных именно для предотвращения внутреннего неавторизированного проникновения. Основным инструментом борьбы разработчики Стандарта предлагают сделать периодически пересматриваемый прогноз опасностей, что во многом соответствует и направлению международной правовой мысли в сфере кибербезопасности. ЦБ рекомендует привлекать сторонние организации для разработки моделей угроз и внедрения СМИБ.

Преимущества СМИБ

По сравнению с обычными системами защиты СМИБ имеет определенные преимущества:

  • она прозрачна и для руководства компании, и для сотрудников. Сертифицированные методики позволяют упростить многие процессы, сделать их результат более предсказуемым, устранение повторяющихся и дублирующих элементов позволяет снизить затраты на защиту;
  • СМИБ позволяет оптимизировать кадровый состав сотрудников, занятых в сфере защиты информации, снизив требования к их количеству и квалификации за счет внедрения типовых процессов;
  • СМИБ легко масштабируема на другие подразделения и филиалы компании.

В рамках ее реализации устанавливаются рекомендуемые стандартами сертификации программные средства защиты информации, обеспечивается взаимодействие всех компонентов информационной инфраструктуры.

Обеспечение ИБ на международном, государственном и корпоративном уровне в первую очередь основывается на нормативно-правовой базе, стандартах, прогнозах и превентивных мерах и только во вторую – на практической реализации стратегий СМИБ. При этом от общества ожидается понимание степени опасности и поддержка инициатив в направлении обеспечения ИБ.