Российская ИБ в отражении 4-го форума ИБ-директоров

Похоже, что неудачный пятилетний опыт реализации закона “О персональных данных” постепенно привел госрегуляторов-законотворцев к переосмыслению его принципиальных положений, а инстанции, контролирующие исполнение этого закона, — к ожиданию результатов этого переосмысления и одновременно к введению более осторожного режима проведения проверок, направленных теперь скорее на информирование операторов персональных данных, нежели на их наказание.

Как заявила ведущий советник аппарата Комитета Госдумы по безопасности Елена Волчинская, выступая пред участниками 4-го Межотраслевого форума директоров по информационной безопасности, очередного переноса сроков вступления в силу всех статей закона не планируется. Зато ожидаются радикальные изменения в его практическом применении. В законе, как все надеются, будет отражен консенсус позиций госрегуляторов и исполнителей. А заодно ускорится столь ожидаемая всеми гармонизация законов, регулирующих область информационных технологий.

В текущем году не ощущается такого давления ФЗ №152 на российский рынок ИБ, как это было в прошлом году. Конструктивность в отношении к закону приходит на смену его игнорированию или связанной с его применением паники, что было характерно для прошлых лет. Это нашло отражение и в программе форума, где вместо парада реляций о приведении систем обработки персональных данных в соответствие с требованиями ФЗ №152 участники услышали от экспертов компании PricewaterhouseCoopers наставления “Как подготовиться к проверкам регуляторов”, а от компании “Ай-Теко” получили возможность поучаствовать в ролевой игре под условным названием “Здравствуйте, мы из Роскомнадзора”, построенной на практике реальных проверок.

Любопытным практическим советом по проведению таких проверок поделился директор по методологии компании “Инфосекьюрити Сервис” Михаил Левашов. Он напомнил, что в каждой компании должно быть официально назначено лицо, отвечающее за обработку персональных данных. Именно на него ложится основной груз переговоров с проверяющими. По мнению г-на Левашова, этот человек должен уметь “решать вопросы”, т. е. уметь общаться с чиновниками, иметь связи в проверяющих структурах, ну а если его компетентности не хватает для положительного разрешения ситуации, то иметь полномочия оперативно привлекать к проверке юристов, экономистов и прочих необходимых специалистов.

Представленные на форуме доклады практической направленности, так называемые кейсы, демонстрируют движение российских руководителей ИБ-служб к статусу ИБ-директоров. Об этом свидетельствует как уровень проектов, о которых рассказывалось в кейсах, так и их практические результаты. Так, главный специалист отдела физической защиты и защиты информации дирекции по безопасности компании “Атомредметзолото” Сергей Овчинников рассказал об опыте внедрения в его организации системы управления ИБ с последующей ее сертификацией на соответствие стандарту ISO 27001. Алексей Бахрушин из проекта COMDI поделился опытом предоставления одноименного облачного сервиса, предназначенного для многопланового интерактивного общения через Интернет, и своим видением проблем регулирования, связанных с предоставлением подобных сервисов.

ИБ-аналитики дополнили освещение российской практики дня сегодняшнего рекомендациями по решению задач, с которыми ИБ-руководителям предстоит столкнуться в скором будущем. Так, бизнес-консультант по безопасности корпорации Cisco Systems Алексей Лукацкий поделился своим опытом в подходах к финансовой оценке ИБ, которая, по его мнению, реальна и по силам ИБ-специалистам, важно только чтобы они занимались этой задачей. В качестве практических примеров он упомянул о схемах экономических расчетов контроля доступа, защиты удаленного доступа, антиспама, аутсорсинга, автоматизации постоянного аудита ИБ, управления ИТ-инцидентами.

Начальник управления контролем “Барклайс Банка” Виктор Евдокимов рассказал о нарождающейся в России практике страхования ИБ-инцидентов как об одном из способов возмещения связанных с ними потерь, которые, согласно отчетам компаний, занимающихся расследованиями в сфере компьютерных преступлений, исчисляются в России миллиардами долларов в год. По его словам, примеры такого вида страхования в России пока единичны, относятся они прежде всего к банковской сфере, где страхование компьютерных рисков обычно реализуется в программах комплексного банковского страхования, которые включают и другие риски тоже.

Как отметил г-н Евдокимов, российские страховые компании для возмещения ущерба, как правило, требуют решения суда по инциденту, в котором фиксируется сумма ущерба. Использование же страхового брокера и перестраховка рисков у зарубежных страховщиков упрощает процедуру выплаты страховой суммы, потому что зарубежные страховщики присылают своих экспертов для оценки ущерба и деньги выплачивают на основании их заключения, не дожидаясь судебного разбирательства. По наблюдениям г-на Евдокимова, в России уже есть примеры, когда банки, заботящиеся о своих клиентах, страхуются по соотвествующим условиям и в случае инцидента с дистанционным банковским обслуживанием, когда пострадавшей стороной является клиент, возвращают ему похищенные деньги (разумеется, если тот не нарушил условий договора на обслуживание по ДБО).

Представляющий ассоциацию RISSPA Михаил Козлов остановился на основных, в его представлении, проблемах, связанных с применением все шире распространяющихся облачных технологий. Радикальные изменения архитектуры корпоративных ИТ, как он считает, требуют переключаться с защиты периметров систем на защиту конкретных данных. Г-н Козлов отметил, что массовое использование облаков затруднено из-за слабой стандартизации этой области, а в нашей стране к этому добавляется еще и низкое качество сетевой инфраструктуры. Однако главной препоной распространения облаков, по мнению многих экспертов, у нас является аспект доверия. По-видимому, для регулирования именно юридических аспектов доверия понадобится законодательная поддержка государства.

С облачных проблем завтрашнего дня к земным проблемам дня сегодняшнего спустил участников форума специалист по конкурентной разведке из компании “ДиалогНаука” Андрей Масалович. Исходя из своего личного опыта, он заключает, что общий уровень ИБ в корпоративной среде остается низким. По его наблюдениям, первые ушедшие на сторону данные при проведении аудита компаний на утечки обнаруживаются в течение первых десяти минут аудита. Он наглядно подтвердил это прямо на форуме: потратив примерно по 10 минут на каждую попытку он нашел у партнеров Microsoft 16 документов этой корпорации с конфиденциальной информацией; у партнеров “Лаборатории Касперского” обнаружилось описание технологии антивирусного движка ЛК; на портале администрации одного из краев РФ доступными г-ну Масаловичу оказались логины и пароли доступа к внутренним ресурсам портала; сайт службы национальной безопасности Грузии после переезда к новому провайдеру оставил у прежнего провайдера несколько папок с документами, а европейское отделение оператора Vodafone тоже, как оказалось, подвели партнеры. Даже сделав поправку на квалификацию специалиста, приходится согласиться с выводом г-на Масаловича и признать, что организация ИБ в компаниях в среднем оставляет желать лучшего. И что немаловажно отметить, утечки своей информации компаниям нужно искать вне периметра корпоративной сети.

Сегодня все громче говорят о расследовании ИБ-инцидентов как о звене, замыкающем цикл процесса организации корпоративной ИБ. Признанным является факт невозможности обеспечить “непробиваемую” защиту, тем более сегодня, когда атаки носят целенаправленный характер. В этой ситуации дополнительным фактором защиты становится неотвратимость наказания за нарушения и преступления в сфере ИБ. При этом, как отметил заместитель директора LETA IT-company Алексей Медведев, бизнес преследует вполне реальные прагматичные цели: установить и устранить причины инцидента и возместить причиненный ущерб. Сдерживают развитие расследования компьютерных преступлений в стране, по мнению г-на Медведева, как несовершенство законов, так и дополнительные риски, связанные с организацией процедур расследования и с применением санкций к нарушителям.

Большинству российских компаний недостает компетентности и оборудования для сбора юридически значимой доказательной базы компьютерных преступлений. Этой же “болезнью” страдают и правоохранительные органы. Для восполнения очевидного пробела компания LETA на основе опыта, наработанного ею и ее компаньоном компанией Group IB, подготовила рекомендации по реагированию на ИБ-инциденты. Как сообщил г-н Медведев, они находятся в открытом доступе, а сама LETA готова к обсуждению этих рекомендаций и здравым дополнениям.

Вместе с этим, сказал г-н Медведев, крупные российские компании (в которых нет участия зарубежного капитала) вполне успешно занимаются расследованиями ИБ-инцидентов внутренними силами и добиваются возбуждения уголовных дел, в основном используя механизм защиты режима коммерческой тайны.

Как отметил руководитель направления исследований цифровой информации Следственного комитета РФ Алексей Яковлев, с января 2011 г. подследственность экономических преступлений перешла к Следственному комитету, а как известно, в настоящее время именно экономическая составляющая лежит в основе большинства современных преступлений в сфере высоких технологий. По словам г-на Яковлева, в Следственном комитете идет формирование экспертной службы. Это означает, что создается еще одна структура, компетентная в сфере расследования преступлений, связанных с использованием ИТ.

По утверждению Алексея Яковлева, за два-три года работы квалифицированный исследователь компьютерных преступлений накапливают достаточно информации для того, чтобы выявить верхушку преступного хакерского сообщества, но при нынешней расстановке сил у него есть опасения, что до суда довести эту верхушку не получится. Г-н Яковлев рассчитывает в числе прочего и на поддержку со стороны бизнеса. Компании, по его мнению, должны строить модели правового реагирования, которые будут помогать правоохранительным органам проводить первоначальные следственные действия и дальнейшее расследование компьютерных преступлений. Такие модели включают технико-криминалистические и юридические компоненты, обозначают, где и как брать цифровые доказательства преступлений, относящиеся к той или иной угрозе и уязвимости. Полученные с помощью этих моделей данные упрощают посредничество между потерпевшей стороной, следствием и судопроизводством.