Обзор Защита информации и бизнеса от инсайдеров подготовлен

Антон Крячков: Многие клиенты попросту не знают о возможностях современных решений

На вопросы CNews ответил Антон Крячков, директор по продуктам компании Aladdin.

CNews: Согласно последним исследованиям, не более 2% российских компаний имеют в своем арсенале защиты средства контроля утечки конфиденциальных данных. Чем можно объяснить такое положение вещей в ситуации, когда все, вроде бы, обеспокоены проблемой внутренних угроз?

Антон Крячков: Это так, но при этом 83% осознают необходимость таких средств защиты, по данным того же источника. Что их удерживает от приобретения и использования таких продуктов? Прежде всего, это вопрос зрелости конкретной компании и рынка в целом. Второй показатель на данный момент оценивается нами, как постепенное перемещение российского рынка с «феодальной» стадии в стадию «возрождения» (по схеме оценки зрелости и готовности компаний к внедрению систем ИБ от Gartner). Если феодальная фаза характеризуется тем, что ИБ рассматривается руководством как чисто техническая проблема, на которую не выделяется отдельный бюджет, то на фазе «возрождения» руководство уже чётко понимает важность обеспечения информационной безопасности для бизнеса, выделяет бюджет, разрабатывает политики и регламенты. Именно на этом этапе активно используются технологии защиты от НСД, IDS (системы обнаружения вторжений), PKI, смарт-карты и USB-ключи для двухфакторной аутентификации и хранения ключевой информации, а также SSO (Single Sign-On) и др. Сегодня на фазе «возрождения» находится лишь 10% отечественных компаний.

Говоря о том, почему многие задумываются о средствах защиты, но очень медленно переходят к их практическому применению, можно вспомнить своего рода «категорический императив» в области ИБ  —   безопасность и удобство несовместимы. Это действительно так, и в рассуждении о необходимости мер защиты некий ИТ-директор может остановиться на этом этапе. А между тем, это вопрос адекватной оценки риска. Если вам достаточно фанерной двери, вы не будете ставить железную. Будет ли ваша семья чувствовать себя при этом безопасно? Сильно ли усложнит жизнь открытие двух дверей, вместо одной, если в итоге она сможет спасти Ваше имущество?

На практике руководство компаний чаще всего начинает выделять адекватные бюджеты и всерьёз задумываться о вопросе защиты корпоративной информации постфактум. Когда утечка уже произошла, когда не ясно кто виноват и как его вычислить, когда пошатнулась репутация компании и она лишилась и некоторых существующих клиентов и части потенциальных заказчиков. Как и в случае с дверью: после кражи со взломом, вы скорее всего задумаетесь об установке более надёжной защиты своего дома.

Таким образом, если обеспечение защиты информации не является одним из высочайших приоритетов, как, например, в банках или в страховом бизнесе, для которых критична малейшая утечка чувствительных данных, рассчитывать на быстрый переход от понимания к внедрению не приходится.

Есть еще один важный момент, который необходимо отметить. Развитие рынка средств защиты информации в значительной мере зависит от зрелости, гибкости и эффективности законодательства в этой области. Данный вопрос постоянно обсуждается активными участниками рынка. В том числе, не так давно на партнёрской конференции Aladdin взаимодействие государства и ИТ-отрасли вызвало бурное обсуждение с участием представителей ведущих разработчиков, дистрибьюторов и поставщиков средств защиты информации.

С точки зрения законодательного регулирования, сегмент ИБ пока окончательно не сформирован, недостаточно нормативных актов, в доработке нуждаются существующие законы. Однако рынок зреет и постепенно наращивает обороты. Государство также делает значительные шаги навстречу и бизнесу, и гражданам, с точки зрения защиты их персональной информации. Ситуация явно меняется в лучшую сторону и мы надеемся на её успешное развитие в новом году.

CNews: Вы упомянули о законодательстве. Новый закон о персональных данных не предусматривает ответственности за их сохранность и конфиденциальность со стороны держателей баз данных. Будет ли он эффективно работать без такой меры?

Антон Крячков: Давайте начнем с другого: какие задачи стояли перед принятием закона о защите персональных данных? Обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данным законом регулируются отношения, связанные с обработкой этих данных, осуществляемой федеральными органами государственной власти.
Закон вводит понятия персональных данных и оператора, обрабатывающего их, описывает регулирующий механизм, который не позволяет неправомерно использовать эти данные, а так же регламентирует ответственность за нарушение требований данного Федерального закона, что закреплено в статье 24.  В ней, в частности, говорится, что лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

А теперь возвратимся к вашему вопросу. Держатель баз данных в трактовке закона является оператором. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, когда между сторонами заключен договор, когда это необходимо для защиты здоровья или жизни, при отсутствии нарушения прав и свобод, по требованию федерального закона и так далее (более подробно эти условия описываются статьёй №6 этого закона).

Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных (статья №7), за исключением случаев обезличивания персональных данных или в отношении общедоступных персональных данных — эти категории так же определены законом.
Поэтому согласится с тем, что нарушение данного ФЗ не влечет за собой никаких санкций, я не могу. Безусловно, закон о персональных данных ещё «молодой» и, я уверен,  будет неоднократно дополняться и расширяться по мере развития российского рынка и появления новых требований к законодательной базе его регулирующей. Но на данный момент, я считаю, что сам факт принятия закона о защите персональных данных — это значительный шаг вперед для рынка информационной безопасности России в целом.

CNews: Создается впечатление, что средствам защиты от НСД путем шифрования уделяют недостаточно внимания — как СМИ, так и потребители. Так ли это на самом деле?

Антон Крячков: Я бы не стал оценивать уровень популярности продуктов для шифрования данных такой категорией как частота упоминаний в массмедиа. Да, действительно, полноценного удовлетворяющего анализа этого рынка и основных продуктов на нем присутствующих практически нет в России. Однако для Aladdin перманентный рост продаж линейки продуктов Secret Disk NG — программно-аппаратных комплексов для защиты конфиденциальных данных как на персональном компьютере, так и на серверах и рабочих станциях — убедительно свидетельствует о том, что продукт  востребован и в достаточной мере популярен. 

Но проблема всё же есть. Работая на выставках и конференциях, мы часто слышим от посетителей и слушателей докладов скептические замечания относительно того, что если силовым структурам или, скажем, ФСБ потребуется расшифровать какую-либо информацию, то они это сделают в любом случае, не взирая на самые прогрессивные методы защиты.  Такое недоверие можно объяснить лишь фактором низкой образованности в области криптографии и шифрования у подавляющей части потенциальных пользователей. Возможно, в этом есть толика вины СМИ, но более серьёзные причины лежат несколько глубже — это скорее вопрос некой российской ментальности.

CNews: Не сказывается ли использование прозрачного шифрования на скорости работы приложений?

Антон Крячков: Если отвечать кратко, то ответ будет: да, сказывается. Но, с другой стороны, иначе и быть не может: вопрос лишь в том насколько приемлемы показатели снижения скорости для работы организации. Именно с этой позиции мы подошли к выпуску последней версии Secret Disk Server NG, добившись общего снижения производительности системы не более, чем на 3-5%.

По сути, эта технологическая проблема всех без исключения систем серверной защиты и она сдерживала развитие этого класса в целом. Но, благодаря использованию технологии многопоточного шифрования, нашим специалистам, удалось нивелировать эту проблему. По сути, мы смогли обеспечить единовременное использование нескольких процессоров для криптографических вычислений в равной степени, что позволяет равномерно распределить нагрузку между ними. При этом на многопроцессорных серверах и в однопроцессорных системах с технологией Hyper-Threading происходит значительное увеличение производительности операций чтения и записи при работе с защищёнными дисками, что является важным преимуществом для бизнеса компаний, время реакции системы для которых критически важно.

Благодаря многопоточному шифрованию Secret Disk Server NG снижает временные потери на криптографические вычисления в 3-5 раз в зависимости от конфигурации системы. При этом общее быстродействие Secret Disk Server NG 3.1 удалось поднять на 30% — 50% по сравнению с более ранними версиями.

CNews: На ваш взгляд, можно ли вообще защититься от того, кто действительно решил украсть данные и имеет к ним разрешенный доступ?

Антон Крячков: Существует расхожее мнение: если кто-либо решил угнать вашу машину, то он её угонит, и никакие сигнализации не помогут это предотвратить. Сравнимая ситуация складывается и  по отношению к краже конфиденциальных данных. Стопроцентной защиты не существует, но возможность существенно снизить эти риски есть и её необходимо использовать.

Поскольку речь идёт о легальном сотруднике компании, начисто лишить его прав доступа к конфиденциальным данным или, допустим, обязать его всякий раз обращаться к администратору за разрешением на просмотр той или иной информации, невозможно. Соответственно, требуется принять определенные меры, которые заставят сотрудника отказаться от неправомерных действий, а в случае их совершения — повлекут за собой определенные санкции. Среди необходимо выделить следующие. Обязательное инструктирование и перманентную работу с персоналом, которая включает своевременное информирование об изменениях политики безопасности, условий предоставления доступа и правил работы с конфиденциальными данными, обсуждение новых типов интернет-угроз, разбор инцидентов и др. Использование программно-аппаратных технологий аутентификации для безопасного доступа к корпоративным ресурсам (базам данных, приложениям, web-ресурсам и др.) Применение смарт-карт и USB-ключей для хранения ключевой информации, цифровых сертификатов и других секретных данных (например, паролей доступа) в защищенной памяти устройств. Использование шифрования данных, которые представляют особый интерес с точки зрения инсайдера. Проведение регулярного мониторинга с последующим анализом всех действий пользователей в сети.

CNews: Насколько известно, последнее время Aladdin делает серьёзный акцент на госсектор. Есть ли в арсенале новшества в этом направлении?

Антон Крячков: Да, безусловно. На сегодняшний день, мы определяем работу с государственными организациями как одну из приоритетных. В частности, буквально в октябре этого года  мы совместно с нашим партнёром — «Лабораторией испытаний средств и систем информатизации» (ООО «ЛИССИ») мы получили официальные подтверждение возможности использования наших продуктов для реализации проектов по защите информации от несанкционированного доступа в информационно-телекоммуникационных системах органов государственной власти РФ.

Это стало возможным благодаря заключению ЦБС ФСБ России о том, что разработка «ЛИССИ» —   межсетевой экран Shield Multi Service-FW (МЭ «SMS-FW»), составным элементом которого является электронный ключ eToken от Aladdin,  соответствует «Временным требованиям к устройствам типа межсетевые экраны» ФСБ России по 3 классу защищенности.

МЭ «SMS-FW» разрабатывался в соответствии с техническим заданием, согласованным с ЦБС ФСБ России. В документе, в частности, зафиксировано, что "Shield Multi Service — FW предназначен для реализации установленной политики безопасности в автоматизированных системах (АС) органов государственного управления и организаций РФ при их информационном взаимодействии с другими АС, с внешними сетями (включая сеть интернет), при доступе к публичным Web-сайтам, содержащим общедоступные государственные ресурсы, к Удостоверяющим центрам и т.п. и для создания системы защиты от удаленных сетевых воздействий (сетевых атак)".

Поддержка eToken, реализующего безопасное хранение в защищенном виде конфигурационных файлов межсетевого экрана «SMS-FW» и сетевых настроек серверов, а также обеспечивающего двухфакторную аутентификацию при доступе к консоли администрирования, является важным преимуществом МЭ «SMS-FW».  Соответственно, без подключения универсальных USB-устройств eToken запуск МЭ невозможен. eToken’ы подсоединяются к его внутреннему и внешнему серверам, администратором вводятся уникальные PIN-коды ключей, после чего, при успешном завершении процесса аутентификации, администратор получает доступ к утилите администрирования Shield Multi Service-FW.

Фактически впервые удалось выполнить жесткие требования ФСБ России к защите от НСД ресурсов информационных систем государственных органов при их взаимодействии с открытыми сетями.

CNews: Расскажите о ваших ближайших планах по выведению продуктов для борьбы с инсайд-угрозами?

Антон Крячков: Мы уже анонсировали выход принципиально новой версии продукта Secret Disk NG 4.0 и планируем вывести его на рынок до конца года. В данный момент он проходит очередной этап тестирования у партнёров Aladdin.

Как и прежде, Secret Disk NG 4.0 будет обеспечивать надёжную криптографическую защиту, возможность использования алгоритмов ГОСТ (из состава КриптоПро CSP или Signal-COM CSP), фоновое шифрование данных на жёстких и съёмных  дисках, а также использовать двухфакторную аутентификацию для доступа к защищённой информации (с применением eToken).

Нововведением «четвёрки» будет так называемый «электронный замок» — функция, позволяющая зашифровывать все разделы диска, в том числе загрузочного, проводить аутентификацию пользователя непосредственно до загрузки ОС (функция «электронный замок») и поддерживать работу с разными операционными системами. «Электронный замок» позволит предотвратить не санкционированную загрузку компьютера — например, в отсутствие законного хозяина. Это весомое преимущество для владельцев мобильных компьютеров, поскольку  в случае утери ноутбука невозможно будет получить доступ к хранящимся на нём данным.

Secret Disk NG 4.0 обеспечивает возможность разделения доступа к данным и доступа к операционной системе. Таким образом, все пользователи могут одновременно загружать операционную систему, но у каждого будет свой личный защищённый диск.

В будущем году мы планируем представить eToken CryptoPro– долгожданный электронный ключ с аппаратной реализацией российских криптографических алгоритмов, позволяющий обеспечивать безопасную генерацию, надёжное хранение и использование закрытого ключа ЭЦП пользователя. eToken CryptoPro фактически устраняет риск компрометации закрытого ключа, благодаря чему снижается угроза мошенничества в системах электронного документооборота, электронной коммерции и др.

Так же мы планируем дальнейшее развитие класса решений eToken SecurLogon для Oracle, куда входят такие программно-аппаратные средства обеспечения информационной безопасности как  eToken SecurLogon для Oracle Application Server, eToken SecurLogon для Oracle E-Business Suite и eToken Secret Field.

В рамках партнёрских отношений с компанией "Смартлайн", мы включим продукт DeviceLock Version Light в комплект целого ряда продуктов Aladdin (все модели eToken, Secret Disk NG и др.). Облегчённая версия ПО DeviceLock, позволяет контролировать весь спектр потенциально опасных с точки зрения возможности переноса информации устройств компьютера, как то: порты USB, дисководы, CD-ROM'ы, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры и др.

CNews: Спасибо.