Два медведя в одной берлоге

ИБ — вопрос политический

Помните, в середине мая в Атланте по-глупому ушли имена и номера социального страхования партнеров консультационной компании BearingPoint? Причем консультировала она в том числе и по вопросам информационной безопасности. Все произошло настолько банально, что как-то не верится, что охотились именно за персональными данными, а не просто за корпоративным ноутбуком, который один из сотрудников компании унес домой, выбрав для этого крайне неудачное время — как раз накануне визита к нему грабителей. Пресс-служба BearingPoint даже не пыталась утверждать, что данные на жестком диске машины были зашифрованы, ограничившись лишь упоминанием о парольной защите и — внимание! — о распределении парт­нерских данных по нескольким файлам. Последнее, безусловно, сильно затруднит работу новым хозяевам ноутбука, если их действительно интересует не железо само по себе, а хранящаяся на машине информация.

Такие инциденты в мире происходят чуть ли не ежемесячно. Но в августе, через два месяца после происшествия в Атланте, громкая утечка информации случилась уже не у заокеанских консультантов со штаб-квартирой недалеко от Вашингтона, а у нашей отечественной компании ЛУКОЙЛ. Эта крупнейшая российская частная нефтяная корпорация начала внутреннее расследование по факту утечки базы данных своих акционеров. Речь идет именно о внутреннем разбирательстве, обращения в прокуратуру не последовало. Началось с того, что миноритарные акционеры ЛУКОЙЛа получили по почте предложение продать свои акции по цене немного ниже текущих котировок этих бумаг на ММВБ. В этой истории интересно то, что рассылавшие письма покупатели смогли сопоставить ФИО акционера и размер его пакета акций конкретной компании. Заметим, что в момент конфликта интересов основных акционеров, как, например, на «Норильском никеле», ценность информации о мелких держателях акций может резко возрасти. Не сложно придумать и другие примеры, когда доступ к информации становится вопросом политическим.

Проблемы ИБ и ИТ-директор

Руководителя ИТ-департамента начинают касаться проблемы, о которых он, не будучи в принципе «политическим животным», даже знать бы не хотел, занимаясь любимыми железом и программами. И, как правило, по своей природе ИТ-директор склонен все вопросы решать техническими средствами. Но в данном случае чистая техника бессильна. Да, вы можете сделать обязательной классификацию любых данных своей компании, разбить их на информацию «общего доступа», «только для группы такой-то», «содержащую коммерческую тайну» и т. п. Затем настроить интеллектуальный контроль копирования данных определенного класса через любые интерфейсы, включая USB и Bluetooth, с внимательным анализом содержимого копируемых файлов. Такие системы есть. Можете даже провести обучение сотрудников. Но вы действительно уверены, что подобными мерами сможете обезопасить себя от случаев, подобных вышеописанным?

На наш взгляд, в том, что касается утечки чувствительной информации, по сути ничего не изменилось со времен Великого Шелкового Пути. Дороги действительно лежат все по тем же старым местам, хоть и закатанные теперь в продукт нефтепереработки. Нет принципиальной разницы, делаете ли вы татуировку с шифром на бритой голове гонца или настраиваете VPN для хабаровского филиала на спутниковом канале. Необходимо четко определить ответственного за выполнение работы, и этот человек должен знать, что в случае любой утечки голову снимут именно с него. Причем снимут неотвратимо. Уверенный в неотвратимости наказания, ответственный сотрудник будет продумывать каждый шаг не хуже шахматного гроссмейстера. И на ноутбуках с персональными данными партнеров, которые менеджеры забирают с собой домой, винчестер будет под PGP и т. д.

Конечно, назначение ответственных (директоров по ИБ) и кара провинившихся в большинстве случаев выходит за рамки полномочий ИТ-директора, но он всегда может напомнить руководству предприятия о такой необходимости. И уже только во вторую очередь заняться обучением сотрудников для противостояния социальной инженерии, разработкой управления рисками и покупкой своих любимых сложных комплексных систем безопасности предприятия, которые дадут фактологическую базу для расследования инцидентов.

Как разместить двух медведей в одной берлоге

Когда же директор по ИБ в компании появляется, на первый план выходят другие вопросы: должна ли служба ИБ быть окупаемой? Каким образом распределять обязанности и ответственность директров по ИБ и ИТ?

Как «помирить двух медведей» — обеспечить взаимодействие традиционно недобро смотрящих друга на друга служб информационной безопасности (ИБ) и информационных технологий (ИТ)? Как менять существующую сегодня подготовку ИБ-специалистов? Какие полномочия в сфере ИБ компания вправе делегировать внешним экспертам? Именно эти вопросы обсуждались на семинаре, проведенном в конце июля Союзом ИТ-директоров России (СоДИТ), Ассоциацией защиты информации (АЗИ) и Институтом современного развития (ИНСОР). На мероприятие были приглашены как главы департаментов ИТ, так и руководители подразделений ИБ. Вели семинар директор по ИТ негосударственного пенсионного фонда «Благосостояние», председатель правления СоДИТ Борис Славин, директор по ИТ группы компаний «Интарсия» Юрий Шойдин и Виктор Минин, советник председателя Совета МОО АЗИ, председатель общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при Региональном содружестве связи. И дискуссии по вопросам взаимодействия служб ИТ и ИБ разгорались весьма серьезные. Причем ИБ-специалисты в ходе обсуждения были явно заметнее: самыми активными участниками разговора, как всегда, оказались критически настроенный начальник службы информационной безопасности банка «Союзный» Михаил Левашов и эксперт по безопасности институтов кредитно-финансового бизнеса Сергей Лялин.

Причем задумка организаторов не ограничивалась обычным форматом «собраться и обсудить». Идея была хороша: выработать на семинаре формальные рекомендации по совместной работе служб ИБ и ИТ в компаниях среднего и малого бизнеса и собрать под ними подписи всех собравшихся. Тогда есть шанс, что итоговый документ будет смотреться авторитетно и для ИТ-директоров, увидевших среди его разработчиков администрацию СоДИТ, и для глав ИБ-подразделений, которым, видимо, более важны будут подписи руководства АЗИ.

На наш взгляд, достижению поставленной задачи не вполне соответствует выбранный формат мероприятия. Да, это был именно семинар, а не набор докладов, но все равно в принятом регламенте явно недостаточно времени было выделено для обсуждения высказанных в выступлениях мнений. Хотя именно споры представляли наибольший интерес и могли бы послужить появлению искомого итогового документа.

Следующим шагом станет октябрьский семинар по защите персональных данных. Нам как сторонним наблюдателям и технократам, ратующим за более эффективную автоматизацию всего и вся, конечно, хотелось бы, чтобы результатом этих встреч стали реально используемые в компаниях пакеты документов. Знания и опыт собравшихся экспертов сомнению не подлежат, но, повторимся, на наш взгляд для более эффективной работы должен несколько измениться сам формат встреч.