Спецпроекты

Безопасность Стратегия безопасности

Информационная безопасность: усиление защиты

Вопросы обеспечения информационной безопасности (ИБ) как никогда актуальны, благодаря мобилизации бизнеса и госсектора. При этом законодательные рамки не способствуют росту раскрываемости преступлений, хотя постепенно актуализируются. Текущие и грядущие проблемы, а также пути их решения обсуждались 14 ноября 2013 г. во время работы секции «Информационная безопасность: Усиление защиты» на CNews Forum 2013.

Согласно результатам исследования компании Symantec, приведенных в отчете Norton Report 2013, в России жертвами киберпреступников за последний год стали 17 млн человек. Средний ущерб, приходящийся на каждого потерпевшего, оценивается в $87. Аналитики обращают внимание, что сегодня как никогда актуальна проблема защиты персональных мобильных устройств. Статистика удручает: 48% пользователей смартфонов и планшетов настолько беспечны, что не предпринимают даже базовые меры предосторожности и не утруждают себя установкой пароля и антивирусного ПО на личные мобильные гаджеты.

Участники секции говорили и о других современных проблемах. Были обозначены новые акценты в обеспечении ИБ для бизнеса, обсужден вопрос реальной защищенности госуслуг от злоумышленников.

Денис Легезо, редактор информационной службы CNews/CNews Analytics, предложил представить, каким будет наш мир в недалеком будущем. Беспроводной доступ к сетям, удаленное управление авто, различные роботы и даже детали автомобиля, напечатанные на 3D-принтере, – это уже сегодняшние реалии. Очевидно, что с совершенствованием ИТ будут меняться и задачи информационной безопасности.

Так, по данным исследований, в 2010 г. количество подключенных сетевых устройств во всем мире уже примерно в 3 раза превышало численность населения. К 2015 г., по прогнозам, это соотношение увеличится до 3,34, а к 2020 г. на душу населения будет приходиться в среднем уже 6–7 подключенных устройств. Сетевая защита, таким образом, оказывается новой, значимой нишей ИБ завтрашнего дня.

Андрей Курило, заместитель директора департамента регулирования расчетов Банка России, сделал вывод, что область обеспечения безопасности при предоставлении услуг с использованием электронных средств платежа существенно шире, чем реально регулируемая в соответствии с № 161–ФЗ, ст. 27 ч.3.

Уголовный кодекс дает совершенно четкие определения действиям преступников (хищение, мошенничество, кража, разбой). Однако квалификация по УК РФ не охватывает всего поля неправомерных действий в сфере предоставлении услуг с использованием электронных средств платежа (речь идет о всех видах банковского обслуживания, в том числе операциях по картам, ДБО, интернет- и мобильном банкинге, переводе денежных средств, использовании банкоматов и платежных терминалов, работе с БД и ИС банка). Наблюдается «лоскутное» регулирование разными правовыми механизмами. Многие инциденты, произошедшие в этой области, весьма условно можно определить как совершенное преступление, и при большом желании злоумышленник имеет возможность избежать наказания. «Непокрытыми» законом остаются, например, изготовление и распространение поддельных платежных документов с использованием программных средств, незаконное использование аутентификационных данных счета или инструментов доступа и пр.

Кроме внесения поправок в законодательные акты, необходимо принять ряд мер, которые, по мнению эксперта, уменьшат уровень киберпреступности. Так, банки должны перейти на выпуск чиповых карт с постепенным отказом от карт с магнитной полосой, и к 2017 г. магнитная полоса должна полностью пропасть с банковских карт. В числе прочих мер банки должны принять новую форму отчетности по инцидентам, а главное – информирование пользователей о фактах кибератак.

Типичные проблемы

Степень надежности и безопасности ИТ-инфраструктуры предприятия определяется возможностью контролировать изменения в ее критических компонентах, анализировать изменения в течение длительного срока и запрещать внесение изменений неавторизованным пользователям. Эти требования, казалось бы, просты, но их реализация может стать настоящей проблемой для службы ИБ. Если у каждой ИС существует свой журнал изменений, в свою очередь у каждого журнала – свой формат, анализировать логи вместе не представляется возможным, и риск пропустить критическое событие существенно возрастает. Кроме этого, нередко стандартные права доступа к большинству объектов избыточны, и сами журналы не хранятся долго. Андрей Игнатов, руководитель направления Dell Software, Aflex Distribution, рассказал, каким образом можно контролировать изменения в ИТ-инфраструктуре и централизованно управлять логами. Решение, построенное на базе ChangeAuditor и InTrus, собирает все журналы в единое хранилище, позволяя делать выборки данных и генерировать отчеты.

Денис Хлапов, консультант отдела консалтинга, «Информзащита», предложил оценить глазами злоумышленника реальную защищенность электронных госуслуг. Самый простой способ протестировать систему защиты – организовать DDoS-атаку. Эксперт уверен, что уже на этой стадии система, к сожалению, не выдержала бы. В числе причин, влияющих на низкий уровень безопасности электронных сервисов, эксперт назвал стремление чиновников освоить бюджет в заданный срок, пренебрежение анализом безопасности, наличие уязвимостей компонент системы, отсутствие базовых процессов управления ИБ и мониторинга атак и, конечно же, кадровый вопрос. «При внедрении новой услуги не проводится даже тест на проникновение – просто потому, что в госкорпорациях нет специалистов с подходящей квалификацией», – заключает Денис Хлапов.

Есть ли выход? По мнению эксперта, положительный эффект даст аутсорсинг проведения аудитов. Коммерческие компании давно применяют подобную практику, подтверждая тем самым ее эффективность. Для госучреждеиия систематический аудит может стать средством повышения реальной защиты электронных сервисов.

Илья Трифаленков: На рынке сегодня нет компаний, которые реально закрывали бы весь спектр вопросов ИБ

Илья Трифаленков

Илья Трифаленков, директор Центра информационной безопасности компании R-Style, рассказал о динамике рынка ИБ в 2013 году, основных принципах создания систем информационной безопасности и требованиях клиентов.

CNews: Какой была динамика рынка ИБ в 2013 году по сравнению с прошлым годом, по вашему мнению? Какие отрасли-заказчики проявили максимальное внимание к этим решениям?

Илья Трифаленков: В 2013 году рынок в целом сохранил ту же динамику, что и в прошлом году. При этом существует общая тенденция перехода от безопасности «на бумаге» к безопасности реальной. Сейчас востребованы услуги по мониторингу инцидентов, анти-фроду, управлению уязвимостями, оценке эффективности мер информационной безопасности, растет количество внедрений технологии безопасности на виртуальные платформы и в облачные системы.

Читать далее

Андрей Воробьев: Государственные организации все чаще размещают информационные системы в ЦОДах

Андрей Воробьев

Андрей Воробьев, директор департамента по работе с государственными организациями компании «Информзащита», оценил динамику российского рынка информационной безопасности в государственном секторе, назвал основные виды угроз и рассказал о трендах ИБ.

CNews: Как вы оцениваете динамику российского рынка информационной безопасности в государственном секторе в 2013 году? Ваш прогноз на 2014 год?

Андрей Воробьев: Главной тенденцией последнего времени является плотная интеграция задач ИБ с целями ИТ. Поэтому с формальной точки зрения бюджеты государственных организаций непосредственно на информационную безопасность сокращаются. Но это сокращение компенсируется увеличением бюджетов на информационные технологии в целом.

Читать далее

Андрей Игнатов: Регулировать надо не методы защиты, а ответственность компании перед гражданами и государством

Андрей Игнатов

Андрей Игнатов, руководитель направления Dell Software компании Aflex Distribution, дал свою оценку уровню информационной безопасности на предприятиях и в органах государственной власти, а также эффективности соответствующего законодательства.

CNews: Как вы оцениваете уровень информационной безопасности на ведущих предприятиях страны?

Андрей Игнатов: К сожалению, большинство российских компаний (исключая ИТ-компании и банки) не уделяет информационной безопасности достаточно внимания. Зачастую не реализованы даже простейшие настройки, определяющие сложность паролей и требующие их регулярную смену. Многие ограничиваются только установкой антивирусов.

Читать далее

Короткая ссылка