Спам, аутсорсинг информационной безопасности и нормативное регулирование

С ростом значимости ИТ-систем в бизнесе компаний вопросы обеспечения информационной безопасности становятся все актуальнее. Осенью прошлого года IV Всероссийская конференция "Обеспечение информационной безопасности. Региональный аспект" собрала около 270 специалистов в этой области. В рамках этой конференции и проводился круглый стол, посвященный наиболее актуальным проблемам в области информационной безопасности, которые стоят перед российскими предприятиями. Мы предлагаем его вашему вниманию.

Ведущая круглого стола Нина Шагурина

Спам и вредоносное ПО
Не все проблемы информационной безопасности понятны рядовому пользователю, но есть и такие, с которыми каждый из нас сталкивается практически ежедневно. Одна из них - спам. Сколько человеко-часов ежедневно компании тратят на то, чтобы разгрести спам, пришедший на корпоративную почту?

Сергей Груздев: Поскольку речь идет о корпоративном секторе, то спам - это, прежде всего, потерянные деньги. То есть компания переплачивает за значительно большее количество трафика - это первое. Второе - впустую "сжирается" рабочее время сотрудников. Если не стоят спам-фильтры, то, приходя на работу, сотрудники вручную отсекают спам, так или иначе тратя время на его просмотр. Здесь же кроется еще один подводный камень: в потоке спам-писем сотрудник случайно может удалить и важное для работы письмо. Если же говорить о технологии фильтрации, то это, как правило, ресурсоемкие процедуры лингвистического анализа.

Следующий вопрос: безопасен ли спам? Заявляю - спам опасен. Почему? Обычно в письме стоит какой-то графический элемент, который в момент чтения обращается к серверу и загружает какие-либо аплеты или дает знать, что письмо получено и более того - прочитано. Спамеры тут же узнают, что это "живой", действующий адрес и начинают "бомбить" этот контакт дальше.

Теперь о вредоносности. После прочтения письма появляется риск, что оно содержит программу, превращающую мой компьютер в зомби, и, не зная этого, я становлюсь участником распределенной группы по рассылке спама. Мой компьютер начинает "тормозить", и самое противное, что спам идет с корпоративного адреса. Это удар по репутации не просто сотрудника, но компании в целом. А главное - на сегодняшний день существуют серверы, которые отлавливают спамеров, и это грозит попаданием компании в черные списки. Следовательно, почта, приходящая от имени этой компании, блокируется, и фирма несет реальные убытки.

Хотя, наверное, надо расширить тему и говорить о вредоносном контенте, одним из проявлений которого является спам.

Владимир Мамыкин: С моей точки зрения, проблема спама сильно преувеличена производителями средств борьбы с ним. Согласно недавним международным отчетам, количество спама резко идет на убыль. Сейчас существуют средства, которые позволяют убирать спам. В моей корпоративной сети российского спама одно-два письма в день, притом что я всем даю свой адрес. У нас работают люди, которые умеют настраивать внутренние фильтры на русском языке. Могу добавить, что нам настраивают почтовую систему централизованно в Редмонде.

Мне кажется, есть проблемы более серьезные, которые часто не видны пользователям. Например, увеличение объемов шпионского ПО. Ведь вред такой программы заключается в том, что вы часто понятия не имеете, что она у вас есть, она невидима, она крадет ваши данные, а вы про это ничего не знаете. Однако сейчас в мире существует ряд компаний, которые мониторят Интернет и сообщают в Интерпол и международные компании о сайтах, заражающих машины такими программами.

Игорь Шубинский: "Российские железные дороги" - большое ведомство, и нам приходится решать проблемы защиты информации. Я согласен, что спам порой неприятен, но это несколько раздутая проблема. Мне кажется, нужно разделить проблемы безопасности для систем реального времени и для ИТ-систем общего назначения. Ведь для ИТ-систем реального времени существует еще одна серьезная проблема - проблема трафика. Например, сообщения, которые просто забивают сетевой трафик, приводя тем самым к серьезным потерям. Это серьезная угроза - у нас из-за них около восьми часов стояло несколько дорог.

Сергей Груздев: Говоря о спаме, надо говорить о технологиях. На круглом столе отмечалось, что мы получаем только русский спам, то есть у всех стоит проблема русского языка. Это говорит о том, что используемые технологии лингвистического анализа либо неэффективны, либо плохо используются, либо плохо настроены. Проблема в том, что спам генерируют роботы, а лингвистическим анализом занимаются люди. А люди в борьбе против роботов всегда будут проигрывать. Как только провайдеры поставили антиспам-программы на почтовых серверах, спамеры тут же отреагировали: вместо буквы "О" стали генерировать ноль, вместо текста начали вставлять графику. Лингвистический анализ в такой ситуации становится неэффективным. Как вывод: против машин должны бороться машины - роботы против роботов. И здесь нужно использовать проактивные технологии, нужно отслеживать поведенческую модель. Спам нужно отсеивать на шлюзе, на входе в информационную инфраструктуру компанию, а не на рабочих местах, расходуя ресурсы. На мой взгляд, это вопрос зрелости технологий: российским технологиям всего полтора-два года, в то время как на Западе этой проблемой занимаются уже около десятка лет.

Еще очень важный момент - определение, что такое хорошо, а что такое плохо. В разговорах об антиспамерских программах речь обычно идет о том, сколько спама эта программа отсекает - 92 или 95%. Да это не важно! Если моя антиспам-программа отфильтровала 80 нежелательных писем, но в ящик всё же просочилось три-пять из них, это будет огорчительно, но не так страшно. Согласитесь, основную задачу программа выполнила. Количество ложных срабатываний - вот главный критерий. А здесь все выглядит печально. И следующий важный момент - как я смогу узнать, получил ли абонент мое письмо? И как я смогу проверить, не попало ли нужное письмо в карантин, и без привлечения администратора научить систему больше так не делать? И у пользователя должны быть инструменты для управления этими процессами из почтовой программы или через Web-сайт.

На мой взгляд, борьба с вирусами и спамом - не задача компаний, эти услуги нужно покупать как аутсорсинг у провайдеров. Провайдеры должны бороться со спамом, вирусами и троянами в своих сетях и потом уже выдавать чистый трафик, естественно, за дополнительную плату. А мы будем выбирать, чистый или грязный трафик нам покупать и платить ли за это. Ведь технологии антивирусов и антиспамовского ПО основаны на обновляемых базах, а их обновление потребляет до 70% трафика, который совсем не бесплатен. Кроме того, в компании должны быть квалифицированные специалисты, которые будут обслуживать эти процессы. Соответственно для средних и малых компаний эти задачи должны решаться аутсорсингом услуг в сетях провайдеров. Однако здесь встает вопрос об управлении процессом. Будет неправильно, если провайдер начнет фильтровать трафик без ведома клиента.

Владимир Мамыкин: Действительно, потеря нужных писем - это во много раз большая проблема, чем присутствие ненужных. Сегодня в российской сети уже есть ряд провайдеров, которые самостоятельно отсекают спам, никого не уведомив. И я согласен, что крупным компаниям, конечно, необходимо устанавливать собственное антиспамовское ПО на входе, но для мелких и средних компаний это слишком дорого, поэтому им имеет смысл покупать у провайдеров услуги по очистке трафика. Но я не хотел бы пользоваться услугами провайдера, который настроит свой фильтр так, что ко мне не дойдут письма от клиентов.

Игорь Шубинский: То, о чем говорил Сергей Груздев, - это, конечно, замечательно. Но я не вижу реальной возможности решать эти вопросы с помощью провайдеров. Большая организация всегда представляет собой сложную иерархическую систему. Придется ставить провайдеров на каждом уровне иерархии и связывать их между собой по определенным правилам. Это слишком большая проблема. Видимо, должна быть некая среда управления и защиты. Таких технологий у нас нет, а создать их выйдет дороже, чем построить сеть. Надо исходить из экономической целесообразности и в первую очередь решать наиболее критичные проблемы. Например, решать проблему вирусов, которые забивают трафик сети РЖД, создавая реальную угрозу сбоя. Невозможно решить все и сразу за счет технологий провайдеров.

Сергей Груздев: Такие примеры есть. Например, в стандарте ЦБ прописано, что должна быть эшелонированная многоуровневая защита, где на каждом уровне используются средства от разных производителей. И если, скажем, антивирус Касперского что-то пропустит, то другой производитель, возможно, решит эту задачу на семантическом уровне. Следовательно, растет вероятность обнаружения.

Игорь Шубинский: Позвольте возразить. Вы, технологи, видите идеализированную проблему. Реальная ситуация тесно завязана с организационными трудностями. В этой сети множество структур, каждая из которых имеет право и полномочия покупать различные средства защиты и решать свои задачи по-своему. Построить для них единую эшелонированную систему защиты по определенным техническим правилам принципиально невозможно. Как навязать единую политику для таких суперсистем? Здесь нужен компромиссный, разумный подход, включающий и организационные, и правовые, и технологические вопросы.

Вячеслав Кирин: На мой взгляд, вопрос борьбы с вирусами и спамом действительно коррелирует с задачами аутсорсинга, но я не совсем согласен с этим. С технологической точки зрения мысль об аутсорсинге, может быть, и правильная, однако где гарантия, что провайдер не вступит в сговор со спамером и не будет делать на этом деньги? Думаю, что мы забываем о правоохранительных органах. Я считаю, что к решению проблем мошенничества, и спама в том числе, должны быть подключены правоохранительные органы.

Сергей Груздев: Идея поставить около каждого спамера человека с ружьем, подключив к этому МВД, упирается в отсутствие правовой базы. Вторая проблема -честность провайдеров. Здесь работают экономические механизмы, это вопрос выгодного бизнеса и дополнительной прибыли.

Хотя в России сложилась парадоксальная ситуация, когда абоненты платят за мегабайты и провайдеру выгодно генерировать больше трафика, тем не менее мы нашли бизнес-модели, когда провайдеру выгодно ставить антиспамерские фильтры и предоставлять пользователю дополнительные услуги по очистке трафика. Если провайдер видит, что на предоставлении этой услуги он больше заработает, он ее предоставит. Однако, конечно, это может быть дорого для некоторых категорий пользователей.

Аутсорсинг информационной безопасности
Мы уже не раз коснулись вопросов, связанных с аутсорсингом ИТ-услуг. Не последнюю роль в оценке баланса плюсов и минусов играют вопросы надежности и безопасности. Какие проблемы вы видите в области аутсорсинга информационной безопасности?

Вячеслав Кирин: Я, безусловно, поддерживаю необходимость аутсорсинга в целом. Даже крупные компании должны отдавать непрофильный бизнес другим фирмам. Но я против использования аутсорсинга силовыми ведомствами. Однако сейчас из-за ограниченности средств из этой отрасли уходят специалисты, и, по сути дела, становится некому обслуживать большие автоматизированные системы и накопленные базы. В результате мы, возможно, будем вынуждены прийти к аутсорсингу. Но представьте, несколько тысяч низовых органов более чем в 80 регионах страны со своими информационно-аналитическими центрами и экспертно-криминалистическими подразделениями. Для их обслуживания понадобятся сотни региональных компаний. Как же сохранить конфиденциальную информацию и тем более сведения, отнесенные к государственной тайне?

Владимир Мамыкин: Думаю, что законодательство - это один из самых больных вопросов аутсорсинга. Когда же речь идет об информационной безопасности для банков или структур, которые по закону обязаны хранить персональные данные или общаются с государственной тайной, им нужен соответствующий провайдер, также допущенный к тайне по соответствующим договорам. Как говорил представитель "Газпрома" на пленарном заседании: "Мы хотим отдать на аутсорсинг информационную безопасность "Газпрома". Но где законодательные акты, которые определят ответственность аутсорсера перед законом?" Здесь мы подходим к вопросу нормативной базы. Не изменив ее, мы не сможем жить правильно.

Сергей Мартынов: Согласен. Проблема передачи на аутсорсинг тех или иных функций стоит перед всеми ведомствами. Как только начинается проработка технического задания и прописывание требований конкурса, выясняется, что нормативной базы не то что нет, а даже не на что опереться, чтобы подать законодательную инициативу в Минэкономразвития и в Минпромнауки по поводу передачи функций информационной безопасности в части конфиденциальности. В части гостайны есть прямые запреты. Ни один руководитель предприятия федерального органа не согласится передать кому бы то ни было вне зоны своей прямой административной компетенции функции секретного отдела. А у коммерческих и полукоммерческих структур и государственных акционерных обществ вопрос стоит двояко. Многие создают специальные подразделения и дочерние зависимые общества. Представитель "Газпрома" рассказывал, как они пытались создать такое подразделение, наделив его правами самостоятельного юридического лица, чтобы передать ему часть функций для регулирования в части защиты информации в рамках всех газпромовских "дочек". Как ни странно, руководители "дочек" отвергли предложение. Однако везде мы натыкаемся или на отсутствие бюджета, или на кадровые проблемы. Системы усложняются, и их некому обслуживать. После прошедшей административной реформы органов государства оказалось гораздо больше, чем компетентных специалистов по информационным технологиям. Пока не будет соответствующего законодательства, руководитель, имеющий полномочия, не подпишется на передачу чего-либо связанного с безопасностью кому-то на сторону, какие бы затраты ему ни приходилось нести.

О роли нормативной базы
Что сейчас происходит в области нормативного регулирования информационной безопасности? Как ведомственные ограничения, нормы и законы влияют на построение и на функционирование систем информационной безопасности?

Игорь Шубинский: Сейчас мы торопимся издавать технические регламенты в области информационной безопасности. Однако, обращая внимание только на существующие стандарты, пусть даже достаточно хорошие, типа общих критериев, английских стандартов и прочих, мы можем оказаться в трудном положении, если издадим законы, которые нужно будет потом срочно дорабатывать. Мне кажется, что тут надо определить круг угроз, от которых мы пытаемся защищаться, и бороться уже с ними. Сейчас же специалисты в этой области, как правило, зациклены на защите от несанкционированного доступа, а вопросы, касающиеся доказательства безопасности и аудита, повисли в воздухе.

Есть проблемы стыковки наших стандартов информационной безопасности с международными. Например, в части безопасности управления перевозочным процессом у нас возникла следующая ситуация: международные требования количественно оказались на два порядка ниже, чем наши. И чтобы признать наши сертификаты наряду с европейскими, нам приходится сейчас согласовывать свои нормативные документы.

Не так все хорошо на Западе, как это кажется на первый взгляд. Там тоже есть ведомственные и государственные стандарты, которые не в полной мере стыкуются со стандартами типа 61508. Поэтому возникает вопрос: готовы ли мы работать по стандартам, которые приняты международным сообществом, вопреки стандартам тех стран, с которыми мы работам сейчас? Знание стандартов и четкое соблюдение их требований позволяют нам решать целый ряд экономических проблем. Но вслепую состыковаться не получится.

Марат Гуриев: Я убежден, что выход России на международный уровень, который в данный момент тесно связан с присоединением к соглашению по общим критериям, приведет к серьезному позиционированию России в международном плане. Ведь существующие компании, которые способны сертифицировать системы по common-критериям, фактически смогут работать на рынке других стран. А российскую школу информационной безопасности признают сильным игроком. И те иностранные компании, которые заинтересованы в конкурентоспособности, ждут прихода российских специалистов на международный рынок. В первую очередь это рынок ближнего зарубежья.

Владимир Мамыкин: Я полностью согласен. Я общался с некоторыми членами международного комитета по общим критериям на конференциях. Они ждут от наших специалистов предложений, потому что наша методология глубже и интереснее, чем у них. Конечно, не мы одни обсуждаем, каким образом привести свое законодательство в соответствие с международными критериями. Тот же вопрос решали и англичане, и американцы, и французы, и японцы, когда отказывались от своих стандартов в пользу международных. Это всегда компромисс. И если мы хотим жить на единой земле и вместе торговать, заниматься тем, что мы хорошо умеем делать, и продавать это за рубеж, нам нужно присоединяться.

Марат Гуриев: Есть еще один важный аспект. Безопасность - сфера достаточно закрытая. А связанные с ней проблемы - одни из самых сложных в развитии информационных технологий. Здесь очень сильно действует человеческий фактор. Кроме того, на мой взгляд, сейчас все специалисты теоретически хорошо подкованы, однако не имеют практического опыта. Поэтому необходимо проводить тренинги и проверять работу систем на учебных ситуациях. Кроме того, с помощью тренингов можно будет привлечь к вопросам безопасности внимание первых лиц компании. Ведь в больших компаниях автоматизированы очень многие процессы, а значит, любой сбой может привести к огромным потерям.

Игорь Шубинский: Действительно, сейчас у нас на Российских железных дорогах управление перевозочным процессом практически полностью автоматизировано, начиная с самого верхнего уровня и заканчивая самым нижним вплоть до переключения стрелок и светофоров. У нас одних только локальных сетей диспетчерской централизации порядка двух тысяч штук. И несанкционированные команды управления либо трансформированные обычные команды могут привести к серьезным авариям. Ведь даже если вероятность такого события мала, не исключено, что хотя бы один из важных объектов, которых сотни и тысячи, неправильно выполнит команду. Вот почему не только у нас, но и во всем мире на железных дорогах, в атомной энергетике и на воздушном транспорте предъявляются жесткие количественные требования к вероятности остаточных рисков. Однако мы часто не понимаем, чем отличается хорошее средство защиты от плохого. И это становится серьезной глобальной проблемой. Поэтому я согласен с тем, что нам надо проводить тренинги и серьезный мониторинг на всех уровнях. Нужно построить мощную систему гарантированного обнаружения подобных ситуаций. Наверное, сейчас это одна сейчас из центральных задач.