Серебряная пуля от инсайдеров
Проблема утечки конфиденциальной информации и защиты от инсайдеров находится сегодня на пике своей актуальности. Коммерческие и государственные организации единогласно ставят ее на первое место по важности среди всех угроз ИТ-безопасности. О том, как можно предотвратить утечку корпоративных секретов и обеспечить эффективный контроль над персоналом, мы попросили рассказать Дениса Зенкина, директора по маркетингу компании InfoWatch.
КомпьютерПресс: Компания InfoWatch ежегодно проводит масштабное исследование угроз внутренней ИТ-безопасности. Расскажите, пожалуйста, хотя бы в общих чертах о полученных результатах?
Денис Зенкин: В нашем последнем исследовании «Внутренние ИТ-угрозы в России 2005» приняли участие более 300 государственных и коммерческих организаций, так что это действительно исследование национального масштаба. Среди основных результатов отмечу следующие. Во-первых, респонденты поставили угрозу утечек конфиденциальной информации на первое место по степени опасности. Другими словами, кража корпоративных секретов инсайдерами вызывает намного больше беспокойства (64%), чем вирусы (49%), хакерские атаки (48%), спам (45%) и др. Во-вторых, организации практически не используют технические средства защиты от утечек, а потому не могут устранить их угрозу и даже оценить потери от таких утечек. Конечно, некоторые респонденты уже внедрили соответствующие решения, но в общем объеме таких организаций пока мало.
Денис Зенкин, директор по маркетингу компании InfoWatch
КП: Парадокс, но, с одной стороны, бизнес и госсектор озабочены проблемой утечек и инсайдеров, а с другой — организации практически ничего не делают, чтобы решить эту проблему. Так?
Д.З.: Абсолютно верно. Чтобы выяснить причины такого феномена, мы специально опросили респондентов на предмет тех препятствий, которые мешают решению проблемы. В 2004 году основной причиной было «отсутствие технологических решений» (58%), в 2005-м эта причина тоже заняла первое место, но уже со значительно меньшим числом голосов (29%). Это, конечно, результат нашей работы по информированию потребителей и формированию рынка. Таким образом, последнее исследование InfoWatch показывает, что объективных препятствий перед российскими организациями сейчас нет. Есть лишь некоторые психологические трудности. Например, руководству сложно перестроиться и осознать, что наиболее опасная угроза теперь исходит не извне, а из собственных стен. Между тем это очевидно. Человек всегда был самым слабым звеном в цепи ИТ-безопасности. На практике гораздо легче подкупить одного служащего и получить «все и сразу», чем нанимать хакера-эксперта, который будет пытаться найти брешь в системе безопасности. Правда, многие компании и директора уже почувствовали реальную угрозу со стороны инсайдеров, но здесь они сталкиваются с еще одной психологической проблемой. Любое решение для предотвращения утечек осуществляет мониторинг действий служащих и пересылаемых ими данных. Получается, что использование такого решения ставит под сомнение доверие руководства к персоналу. Однако если вдуматься в эту проблему, то как можно доверять своим служащим, если не имеешь никакой возможности проверить их действия? Значит — доверяй, но проверяй.
КП: Получается, что основным сдерживающим фактором сегодня является психологическая неготовность заказчиков к внедрению системы защиты от утечек и инсайдеров?
Д.З.: Да, именно так. Но этот психологический барьер уже во многом преодолен. Сегодня все больше организаций начинают внедрять технические продукты. Мы отмечали большой спрос рынка на наши решения. Например, наш рост за последний год составил 120%, причем мы не собираемся сбавлять темпы. Кроме того, изменение отношения к проблеме утечек и инсайдеров сегодня очевидно. Так, в прошлом году было зафиксировано около десяти необычайно крупных утечек из коммерческих и государственных организаций, а в этом году за прошедшие девять месяцев ни одной крупной утечки национального масштаба еще не было зафиксировано.
КП: Можно ли утверждать, что крупные организации больше подвержены утечкам, нежели средние и малые?
Д.З.: Безусловно, чем крупнее компания, тем больше в ней сотрудников, которые могут украсть конфиденциальную информацию, а следовательно, тем выше риск утечки. В принципе, мы концентрируемся как раз на крупном бизнесе и госсекторе, поскольку защитить крупную организацию с разветвленной ИТ-инфраструктурой сложнее всего. Сегодня среди наших клиентов крупнейшие в России компании — «Внешторгбанк», «ВымпелКом», «Мегафон» и др. К тому же к нашим решениям проявляют повышенный интерес правительственные органы. Мы уже защитили от утечек Минэкономразвития, Минфин и Таможенную службу, и я уверен, что в этом году мы объявим еще о нескольких крупных контрактах.
КП: Конфиденциальный характер информации в каждой организации определяется спецификой ее деятельности. Каким образом тогда можно предотвратить утечку именно конфиденциальных данных?
Д.З.: Очень просто. Архитектура InfoWatch Enterprise Solution включает программы-мониторы, которые отслеживают действия сотрудников прямо на рабочих станциях, а также специальные фильтры, проверяющие исходящий из корпоративной сети трафик. Предположим, служащий отсылает по электронной почте или через веб конфиденциальный документ. Как фильтр сможет определить, что в файле содержатся именно чувствительные (запрещенные к пересылке) данные, а не пресс-релиз или другая общедоступная информация? Дело в том, что во время анализа пересылаемых данных используется специальная база контентной фильтрации. Эта база составляется нашими специалистами во время внедрения решения. В нее заносятся все конфиденциальные документы компании. Однако впоследствии фильтрация новых данных идет не по принципу точного совпадения, а посредством лингвистического анализа. Вся эта функциональность инкапсулирована в нашем интеллектуальном движке Morph-o-Logic. Это фильтрующее ядро в состоянии отыскать даже фрагменты секретных документов в отсылаемом трафике. Также отмечу, что конфиденциальный характер информации может эволюционировать со временем, поэтому администратор решения может самостоятельно добавлять в базу контентной фильтрации новые документы и поддерживать движок в актуальном состоянии. Немаловажным является и тот факт, что проверка трафика полностью осуществляется движком Morph-o-Logic, а не человеком. Офицер безопасности, то есть уполномоченный сотрудник, подключается к проверке только в том случае, если наш фильтр уже выявил попытку утечки или подозрение на нее. Тогда действительно есть необходимость все перепроверить и оценить степень вины инсайдера. Что же касается программ-мониторов, которые работают на уровне рабочей станции, то они необходимы для того, чтобы исключить утечку через принтеры, мобильные накопители, беспроводные сети и т.д. Эти модули также не дают инсайдеру преобразовывать конфиденциальную информацию таким образом, чтобы ее не смог обработать фильтр. Например, служащий может скопировать в буфер обмена абзац из секретного текста, потом вставить его в абсолютно новый документ какого-нибудь редкого формата, а получившийся файл зашифровать. Наше решение абсолютно прозрачно интегрируется со всеми криптографическими средствами, но также способно блокировать любые попытки инсайдера скрыть конфиденциальную информацию.
КП: Вы описали технологическую часть решения, а какие услуги вы предоставляете?
Д.З.: Конечно же, перед тем как внедрять продукт, предстоит проделать большую подготовительную работу. Во-первых, необходимо проанализировать существующую ИТ-инфраструктуру, смоделировать угрозы и оценить риски. Во-вторых, следует провести классификацию данных. В-третьих, нужно разработать политику ИТ-безопасности, а также все сопутствующие нормативные документы (вплоть до изменений в трудовых контрактах). Наконец, в-четвертых, необходимо создать базу контентной фильтрации. Мы понимаем, что заказчику часто не под силу пройти все этапы самостоятельно. К тому же это отвлекает компанию от ее основной деятельности. Поэтому все вышеназванные этапы мы выполняем сами с привлечением партнеров из числа ведущих международных организаций. В результате заказчик получает решение «под ключ», которое к тому же удовлетворяет многим международным и отраслевым стандартам.
КП: Расскажите, пожалуйста, подробнее о стандартах именно в контексте утечек.
Д.З.: Прежде всего, мы отдаем себе отчет в том, что на предприятии заказчика уже разработана ИТ-инфраструктура и применяется система ИТ-безопасности. Поэтому мы не только внедряем решение для предотвращения утечек, но и обеспечиваем его интеграцию в общую систему ИТ-безопасности таким образом, чтобы получившийся в результате комплекс был полностью управляемым. В этом плане мы ориентируемся на стандарт ISO 17799 и четвертый уровень развития COBIT.
Кроме того, мы занимаемся внедрением отраслевых стандартов, например стандарта Банка России по информационной безопасности, в котором инсайдерам и утечкам уделяется большое внимание, и соглашения Basel II, требующего обеспечить управление в том числе операционными рисками. Другими словами, внедряя свое решение в банках и защищая их от инсайдеров, мы делаем это с таким расчетом, чтобы в конце проекта банк вышел на финишную прямую и получил сертификат.
Вдобавок, на базе собственных решений мы позволяем организациям достичь совместимости с американским законом SOX (Sarbanes-Oxley Act), точнее с его 404-м параграфом, а также с Кодексом корпоративного управления ФСФР, который уже в 2007 году может стать обязательным для всех российских компаний, чьи акции представлены на фондовом рынке.
Наконец, внедрение нашего решения позволяет полностью удовлетворить все требования закона «О персональных данных». Девятнадцатая статья этого закона требует обеспечить защиту приватных сведений граждан (включая сотрудников, клиентов, партнеров предприятия и т.д.) от утечки, искажения, нецелевого использования и т.д. Таким образом, даже не планирующие выходить на западные биржи российские компании уже в следующем году могут столкнуться с целым рядом законов и нормативных актов, регулирующих обращение конфиденциальных и приватных данных, а также механизмы внутрикорпоративного контроля.
КП: Спасибо за подробный ответ. Давайте вернемся к технической составляющей вашего решения. Из ваших слов ясно, что особое внимание в InfoWatch Enterprise Solution вы уделяете контентной фильтрации. Получается, что такие компании, как SurfControl, Clearswift и «Инфосистемы Джет», конкурируют с вами?
Д.З.: На самом деле нет. Их решения не пересекаются с InfoWatch Enterprise Solution, а лишь дополняют его функциональность. Например, SurfControl и Clearswift предназначены для предотвращения нецелевого использования информационных ресурсов, то есть они запрещают сотрудникам посещать развлекательные сайты, рассылать по почте анекдоты и т.д. Кроме того, эти продукты фильтруют спам и вирусы. Однако от утечки они не защищают вовсе. Между тем решение InfoWatch предотвращает утечки, но не ловит вирусы, не фильтрует спам и не мешает персоналу читать анекдоты в Интернете. Если кто-нибудь попытается использовать продукты SurfControl и Clearswift для выявления утечек, то ничем, кроме головной боли, это не обернется. Дело в том, что в основе данных продуктов лежит чисто сигнатурное сканирование. Это хорошо для английского, испанского и некоторых других языков. Английские слова в большинстве своем меняют форму с помощью предлогов, множественное число образуется присоединением s и т.д. Когда же продукту приходится работать с более сложными языками, то в базу фильтрации должны входить все возможные формы слов, а в славянских языках — еще и разные кодировки, что очень важно. Для сравнения: в русском языке около миллиона словоформ и всего 10 тыс. корневых морфем. Если в английском языке администратору достаточно указать, чтобы фильтр блокировал все сообщения, в которых есть слово secret, то в русском языке ему придется добавлять «секрет», «секретный», «секретная», «секретно» и т.д. А ведь для эффективной фильтрации следует учитывать еще и контекст! Именно поэтому в решениях InfoWatch используется интеллектуальный движок Morph-o-Logic.
КП: А как обстоит дело с продуктами компании «Инфосистемы Джет»?
Д.З.: Здесь ситуация несколько иная, хотя конкуренция тоже отсутствует. У этой компании есть два продукта, похожие на InfoWatch Enterprise Solution — это «Дозор» и «Дозор-Джет». «Дозор» следит за веб-трафиком точно так же, как и решения SurfControl и Clearswift, а «Дозор-Джет» архивирует электронную почту. С «Дозором» все понятно — все, что касается систем SurfControl и Clearswift, относится и к нему. А вот «Дозор-Джет» дублирует функциональность нашего модуля InfoWatch *storage, входящего в состав комплексного решения InfoWatch Enterprise Solution. Однако здесь мы снова не пересекаемся, так как продукт «Дозор-Джет» предназначен для малого и среднего бизнеса, где объемы трафика невелики, а InfoWatch *storage, напротив, позволяет выдерживать самые высокие нагрузки и потому идеально подходит для крупных компаний. Например, почтовый трафик ОАО «ВымпелКом», одного из пользователей InfoWatch Enterprise Solution, составляет более 20 Гбайт в сутки. Сеть компании включает более 7 тыс. почтовых клиентов, так что высокая производительность решения здесь как нельзя кстати. Кроме того, InfoWatch *storage архивирует не только почту, но и весь пересылаемый по Сети трафик. Собственно, поэтому продукт так и называется. Наконец, есть еще одно доказательство того, что мы не пересекаемся с компанией «Инфосистемы Джет». Дело в том, что «Инфосистемы Джет» как системный интегратор является нашим партнером, продает и внедряет наши решения. Более того, по результатам прошедшего года мы выбрали «Инфосистемы Джет» своим лучшим партнером по объему продаж*. Например, внедрение InfoWatch Enterprise Solution в Минфине мы осуществляем совместно с этой компанией. Думаю, это лучше всего доказывает, что наши решения не только не конкурируют, но и дополняют друг друга.
КП: Какую техническую поддержку вы оказываете своим клиентам?
Д.З.: Каждый наш клиент получает персонального менеджера технической поддержки, который ведет данный проект с самого начала, осведомлен обо всей специфике конкретного заказчика и готов оказать помощь круглосуточно. Мы понимаем, что наши решения направлены на поддержание самой сути бизнеса компании-заказчика, то есть на защиту ее конкурентного преимущества, торговых секретов и т.д. Именно поэтому мы готовы в любой момент прийти на выручку.
КП: Что бы вы хотели сказать нашим читателям напоследок?
Д.З.: Хотелось бы обратить их внимание на две вещи. Во-первых, компании должны понимать, насколько важно хранить свои торговые секреты в тайне. Сегодня утечка всего 20% коммерческих секретов в 60% случаев приводит к банкротству фирмы. В результате утечки компания может лишиться своих клиентов (конкурент переманит их к себе), технологий (конкуренты тут же реализуют их сами), финансовой информации (что приведет в замешательство инвесторов) или репутации (что еще страшнее). Статистика показывает, что в среднем одна утечка обходится фирме более чем в 300 тыс. долл., однако никто не заставляет компании нести такие убытки. Гораздо проще взять риски под контроль и управлять ими.
Во-вторых, в России уже постепенно проходят те дикие времена, когда с приватной информацией служащих, клиентов и просто граждан можно было делать что угодно. С выходом закона «О персональных данных» граждане смогут подавать в суд на фирмы, допустившие утечку их личных сведений. Более того, это смогут делать даже сотрудники компании, которые заметят, что работодатель не защищает их персональные данные. Это все та же проблема утечек, только не коммерческой, а приватной информации. Игнорировать ее тоже не стоит. Иначе в один прекрасный день придется отдать всю прибыль на откуп адвокатам.
КП: Спасибо, что так подробно ответили на все наши вопросы. Мы и в дальнейшем будем следить за успехами вашего бизнеса! Всего доброго!
Беседу провел Алексей Доля.
 |
|
