Обзор подготовлен

версия для печати
Владимир Гайкович
Информзащита

Владимир Гайкович:

Степень зрелости бизнеса определяет масштаб и глубину внедрения средств ИБ

На вопросы CNews, касающиеся целого спектра проблем в области информационной безопасности электронного бизнеса, ответил генеральный директор компании «Информзащита» Владимир Гайкович.

CNews: Какие проблемы в области обеспечения информационной безопасности электронного бизнеса (e-бизнеса) вы считаете наиболее актуальными?

Владимир Гайкович: На мой взгляд, существуют две основные группы проблем. Первая группа связана со столкновением обычных людей с виртуальной реальностью, а вторая — с обеспечением инфраструктурной безопасности электронного бизнеса.

В обычной жизни люди используют для своей идентификации паспорта, водительские удостоверения, фамилии, имена, отчества, а также телефоны, домашние адреса и другие данные. В виртуальной реальности людей нет, есть только идентификаторы, позволяющие конкретному человеку подтвердить, что он тот, за кого себя выдает.

Обычная и виртуальная реальность сильно отличаются друг от друга, что создает целый ряд проблем. Проблемы начинаются с законодательства. На сегодняшний день электронный бизнес существуют не благодаря законам, а вопреки им. Если мы обратимся, например, к Закону «О персональных данных» в текущей его редакции, то его буквальное исполнение ставит крест на идее e-бизнеса. По крайней мере, той его части, которая касается физических лиц, потому, что, согласно требованиям этого закона, необходимо до обработки персональных данных человека получать его письменное согласие на это. С учетом того, что круг потребителей у электронного бизнеса не определен, организовать такую процедуру практически невозможно. Тем более, что электронный бизнес и создавался с целью сокращения бумажек и хождение людей за подписями по кабинетам.

Законодательство об электронно-цифровой подписи (ЭЦП), с одной стороны, регулирует совершение сделки, а, с другой стороны, не регламентирует вопросы электронного документооборота, что серьезно ограничивает возможности e-бизнеса.

Добавляют сложности и организационно-технические проблемы. У каждого человека есть несколько документов, которые подтверждают его личность. Поэтому ему достаточно предъявить один из этих документов, и проблемы с установлением личности уже нет.

Hello, you either have JavaScript turned off or an old version of Macromedia's Flash Player. Get the latest flash player.

В электронных системах ситуация принципиально иная: сколько электронных систем, столько же и «электронных удостоверений». Чем активнее человек использует возможности e-бизнеса, тем больше у него этих самых удостоверений. Это существенно сдерживает развитие электронного бизнеса, так как не представляется возможным идентифицировать конкретную личность, речь может идти лишь о правах обладателя конкретного идентификатора в конкретной системе.

На сегодняшний день законодатель нечетко определяет использование разного рода криптографических механизмов для аутентификации, особенно в связи с наличием западных криптографических алгоритмов, что негативно проявляется при трансграничном обмене информацией.

Другая часть проблем в области информационной безопасности связана с инфраструктурой. Речь идет, прежде всего, об обеспечении внутренней безопасности при хранении и обработке данных в системах электронного бизнеса. Не секрет, что на сегодняшний день номер кредитной карточки стоит на «черном рынке» около 5 долларов. Неизвестно, есть на ней деньги или нет, но злоумышленник может, заплатив эту сумму, получить номер карточки, которая ранее была у кого-то украдена. А дальше — как повезет.

Весь e-бизнес связан с электронным взаимодействием, поэтому встают достаточно серьезно вопросы защиты портальных решений. И если, например, с вопросами уязвимости приложений, корректности их описания и т.д. еще можно как-то мириться, то проблемы, связанные с DOS и DDOS атаками, как, например, показывают последние события в Грузии, на сегодняшний день решать достаточно сложно. Поэтому DOS и DDOS атаки становятся достаточно серьезным механизмом конкурентной борьбы. Нам приходилось принимать участие в нейтрализации подобного рода атак. И эффективное решение данной проблемы, на мой взгляд, лежит не только в области технологий.

Как известно, смелость у людей, сделавших что-то неприличное или противозаконное в виртуальном мире, пропадает тогда, когда в физическом мире можно узнать, кто это делал. Когда скрываешься за «ником» или номером ICQ, ты смел и отважен. Но стоит людям, на которых ты производишь атаку, узнать твое имя, домашний адрес и телефон, вся смелость куда-то улетучивается. Почему? Просто ты переходишь в мир людей, где существуют другие правила и реальная ответственность, которую можно понести в самом ближайшем будущем.

CNews: Системы e-бизнеса построены на базе разнообразных готовых и сделанных на заказ программных приложений от различных поставщиков, включающие в себя всевозможные сервисы. Как это влияет на внедрение средств защиты информации?

Владимир Гайкович: Есть универсальный ответ на этот вопрос: чем разнообразнее «зоопарк» техники, тем сложнее защищать систему. Но я хотел бы рассмотреть вопрос в двух аспектах. С моей точки зрения, в первую очередь на внедрение средств защиты информации влияет позиция собственника бизнеса. Во вторую очередь — сложность построенной инфраструктуры.

Степень зрелости собственника и управляющих этим бизнесом является основным фактором, который определяет масштаб и глубину внедрения средств защиты информации. Когда бизнес только становится на ноги, риски, связанные с выводом его из строя и с разглашением информации, не воспринимаются всерьез. На этапе «стартапа» владельцы и управляющие не задумываются над тем, что будет, когда пойдут первые большие доходы. Обычно в момент создания компании используют самые простые средства обеспечения информационной безопасности, и это понятно, ведь когда доходы ожидаются только в перспективе, никто не хочет тратить слишком много денег. Это первый уровень зрелости.

Следующий уровень зрелости наступает тогда, когда бизнес начинает приносить первые доходы, а у владельцев появляется желание, как минимум, обеспечить его стабильность. Именно в этот момент приходит понимание того, что существуют различные факторы, которые могут вывести бизнес из строя. На этом этапе собственнику уже хочется не очень затратными мерами поднять уровень защищенности бизнеса до более-менее приемлемого уровня, чтобы получить нормальное соотношение между вложенными деньгами, доходами и теми рисками, которые существуют. Среди наиболее типичных решений для бизнеса на данном уровне развития — внедрение электронно-цифровой подписи, систем шифрования трафика, аутентификации и т.д. В этом случае решаются несколько проблем сразу, но не все. Вопросы, связанные с информационной безопасностью решаются не до конца потому, что безопасность информационных систем — это значительно более сложный процесс, чем обеспечение конфиденциальности данных или аутентификации пользователей.

С увеличение доходности бизнеса его собственники переходят на третий уровень зрелости. Стабильность есть, доходность есть. Появляются другие риски — риски несоответствия требованиям регуляторов, репутационные, правовые риски и т.д.

Hello, you either have JavaScript turned off or an old version of Macromedia's Flash Player. Get the latest flash player.

На этом этапе собственники могут столкнуться с тем фактом, что построенная инфраструктура не позволяет минимизировать эти риски. И дальше собственник принимает решение, если бизнес строится с расчетом на долгосрочную перспективу, то он идет на переделку инфраструктуры, иначе — замирает на втором уровне.

На сегодняшний день, насколько я это вижу, российский бизнес в основном находится между первым и вторым уровнями зрелости. И очень редкие организации переходят на третий уровень.

С точки зрения инфраструктурных решений, внедрение сложных информационных систем существенно затрудняет обеспечение их безопасности и резко повышает их уязвимость. Это связано с тем, что владелец такой системы вынужден работать с источниками, обладающими различной степенью доверия потому, что внешние сервисы могут быть защищены хуже, чем, собственно, сама информационная система. Ведь, как известно, уязвимость объекта в целом определяется самым уязвимым его звеном.

CNews: Выделяется двенадцать критичных аспектов ИБ: аутентификация и управление доступом, выявление событий и попыток вторжения, защита периметра, контроль трафика и сохранение конфиденциальности, администрирование, реагирование на внештатные ситуации и т.д. Можно ли выделить здесь наиболее актуальные аспекты?

Владимир Гайкович: Безусловно! Перечисленные аспекты неравнозначны. На мой взгляд, существуют два ключевых аспекта: аутентификация пользователей и органичение доступа к информации пользователей. Надежное решение этих двух задач, позволяет существенно снизить требования ко всем остальным десяти аспектам обеспечения ИБ, но не отменить их. Правда, для того, чтобы эффективно решить вопрос аутентификации и обеспечения конфиденциальности, нужно серьезно потрудиться.

Использование распространенных средств защиты трафика, таких как SSL не в полной мере регламентировано существующим законодательством, особенно для зарубежных криптографических алгоритмов. Например, закон об ЭЦП не запрещает напрямую использовать иностранные сертификаты ключей. Но он и не дает возможности разрешать конфликты, которые возникают в случае отказа от сделки или иные действия, которые противоречат существующей бизнес-практике.

Аутентификация — вообще отдельный вопрос. Как я уже отмечал, человек не может получить ключ ЭЦП как гражданин, он должен получать его в конкретной информационной системе. Этот факт приводит к увеличению накладных расходов и не дает пользователю той самой «interoperability», т.е. легальной возможности с одним идентификационным параметром работать в нескольких системах.

Hello, you either have JavaScript turned off or an old version of Macromedia's Flash Player. Get the latest flash player.

CNews: Какова, на ваш взгляд, роль стандартов и нормативных актов в области информационной безопасности для развития электронного бизнеса?

Владимир Гайкович: Это достаточно сложный и дискуссионный вопрос. Для чего нужны нормы и стандарты? Когда сделка состоялась — все удовлетворены, никакого регулирования в такой ситуации уже не нужно. Проблемы возникают тогда, когда что-то идет не так. Аналог из реальной жизни — это институт брака. Когда отношения между мужчиной и женщиной сгладываются хорошо, никаких законодательных актов не нужно. Они востребованы только при разводе, когда происходит раздел детей и имущества. В электронном бизнесе по сути происходит то же самое. Как только что-то идет не так, интересы взаимодействующих субъектов должны быть надежно защищены, а это может быть значительно сложнее, чем просто прописать некоторые нормы в законе. Должна существовать взаимосвязь законов и подзаконных актов, которые бы обеспечивали бы надежную защиту субъектов, участвующих в сделке, с учетом длительности сделки и ее последствий.

Как я уже говорил, законодательство не только не стимулирует электронный бизнес, оно в некоторых случаях прямо его запрещает. Необходимо иметь в виду, что существует несколько уровней требований. Качество законодательства (верхний уровень) особенно важно, потому оно призвано защищать интересы всех субъектов, которые участвуют в e-бизнесе и определять правила поведения, общие для всех.

Также существуют отраслевое регулирование. В ряде областей деятельности такие требования нужны и играют важную роль. На первый взгляд видны две области, в которые вовлечено большое количество частных лиц, чьи интересы необходимо защищать в первую очередь — банковская и страховая. Банки и страховые компании непосредственно взаимодействуют с населением, и интересы населения должны быть защищены. В банковской сфере такие стандарты уже существует — это PCI DSS для международных платежных систем VISA, Mastercard и других, и стандарт ИБ для финансовых учреждений, разработанный Банком России — СТО БР ИБСС.

Нужно отметить, что существенным фактором, облегчающим регулирование банковского бизнеса, является его однородность. Но когда мы переходим в иные области деятельности, например, перевозки грузов, то сразу возникают определенные трудности в выработке общих требований. Ведь существуют автомобильные, железнодорожные, морские перевозки и все они имеют свою специфику. Может получиться, что при попытке зарегламентировать вопросы обеспечения информационной безопасности с целью выработки единых требований для разных видов бизнеса может исчезнуть здравый смысл.

Следующий уровень требований — корпоративные стандарты. Каждая организация может разработать для себя свой стандарт, который позволит ей унифицировать требования к информационной безопасности, принять политику ИБ, чтобы потом не мучиться каждый раз, экстренно изобретая что-то в каждом конкретном случае, сократить расходы на обслуживание и поддержку разнородных средств, обеспечить сопряжение различных подсистем безопасности.

Таким образом, на мой взгляд, если рассмотреть все три уровня управления требованиями, то эти требования, прежде всего, должны быть сформулированы на уровне государства. Государственные стандарты создают ту канву, по которой действуют все остальные участники электронного бизнеса. Отраслевые требования имеют ограниченное применение для однородных бизнесов. А корпоративные стандарты — самый массовый тип требований в области ИБ.

CNews: В последнее время стала актуальна тема аудита ИС на соответствие стандарту PCI DSS. Какие компании попадают под действие этого стандарта? Является ли выполнение его требований исключительно затратным компонентом бизнеса?

Владимир Гайкович: Эта тема стала популярной в связи с тем, что платежные системы VISA и Mastercard стали ужесточать требования к участникам самой платежной системы, а также к сервис-провайдерам, которые к ней подключены. Среди участников процесса — банки-эквайеры, процессинговые центры и другие поставщики услуг, связанных с обработкой данных платежных карт. На Западе развита и четвертая категория, так называемые, «мерчанты» или торгово-сервисные организации. Риск компрометации данных любого участника процесса для всей платежной системы прямо пропорционален объему данных платежных карт или транзакций через него проходящих, поэтому применительно ко всем компаниям обрабатывающим данные платежных карт существуют различные требования по степени «глубины» подтверждения соответствия стандарту. Для компаний, где транзакций относительно немного — достаточно самостоятельно заполнять анкету с ответами на вопросы, тогда как для компаний с большим объемом транзакций — нужно для проверки защищенности привлекать внешнего аудитора. На сегодня в России число торговых организаций с требуемым уровнем транзакций, после которого нужно проходить аудит, меньше, чем пальцев на одной руке. Поэтому сейчас объектом аудита по данному стандарту являются банки-эквайеры и сервис-провайдеры.

В России начала складывается инфраструктура аудиторов по PCI DSS. Первой компанией получившей такой статус в начале 2006 года была Информзащита. На конец 2008 года в России уже 4 компании получили такой статус. Мы приветствуем расширение числа аудиторов по одной простой причине: клиент может сравнивать услуги разных компаний и делать осознанный выбор при защите своей системы.

Надо учитывать, что одним из главных критериев, по которым можно выбирать аудитора системы информационной безопасности, является опыт его работы. Дело в том, что одно из основных требований, с которым заказчику необходимо будет считаться в течение определенного времени, это повторяемость этих самых аудитов аудитов и неизменность критериев оценки. В условиях, когда в ходе реализации требований стандарта необходимо учитывать российскую специфику, очень важно сохранять преемственность результатов аудитов, так как аудиты должны быть ежегодными. Если аудитор не может повторить свои результаты и различные требования трактуются по разному для различных компаний или для той же компании но не так как в предыдущие разы, то, к сожалению, с ним у вас будет достаточно большое количество проблем. Лучшим гарантом минимизации такого рода проблем является наличие большого опыта работы по аудиту различных компаний в течение долгого периода.

Hello, you either have JavaScript turned off or an old version of Macromedia's Flash Player. Get the latest flash player.

По оценкам Gartner, на путь от состояния «не соответствует стандарту» до состояния «соответствует стандарту» в среднем организация в США платит 600-700 тыс. долл, причем, большие затраты идут на аудит и выполнение требований стандарта для «мерчантов», а не на процессинговые центры банков-эквайеров. В России картинка несколько иная — торговые сети, несмотря на их уже достаточно больше обороты, отстают от западных компаний такого же профиля на порядки по объему транзакций, а онлайновый бизнес в России и, например в США просто не сравним.

Если выполнять требования стандарта и, в частности, не проводить аудит, то последствия достаточно легко прогнозируются. Во-первых, штраф платежной системы, налагаемый раз в квартал за непрохождение аудита. Во-вторых, в случае неполадок системы, приводящих к утечке данных или прекращению транзакций, процессинговый центр или банк несет имиджевые издержки например в США были случаи банкротства банков из за оттока клиентов именно по такого рода причинам... Но есть третий фактор, на который в России пока еще мало кто обращает внимание. Если происходит компрометация данных пластиковых карточек (а сейчас на этот вид мошенничества есть реальный спрос на «черном» рынке), то последствия могут быть достаточно печальными. Если подобный инцидент происходит,то на место утечки выезжает специальная команда VISA, которая проводит расследование и оценивает тот объем карточек, которые подверглись компрометации или могли подвернуться. После этого та организация, в которой этот инцидент произошел, кроме штрафа платежной системе, который может доходить до $500000, обязана также возместить расходы на перевыпуск карт всех банков, которые были или могли быть скомпрометированы. В этом случае финансовые потери компании могут быть значительно больше затрат, которые нужно потратить на проведение аудита или создание системы безопасности в соответствии со всеми требованиями стандарта.

Помимо финансового аспекта, с точки зрения ИБ и здравой логики, аудит PCI DSS позволяет не только расставить галочки в соответствующие опросники, но и оценить те риски, которые есть в организации, а также степень защиты от этих рисков. По сути, проведение аудита PCI DSS — это не проверка некоторых технических параметров. Это оценка рисков, которые существуют в организации и выявление комплекса мер, при помощи которых можно компенсировать эти риски. Один и тот же риск может быть минимизирован в разных организациях по-разному. Главное, что все рекомендуемые контрмеры должны быть направлены на минимизацию тех рисков, которые указаны в этом стандарте.

CNews: Спасибо.

Toolbar | КПК-версия | Подписка на новости  | RSS