Внутренняя угроза извне

Есть ли связь между «горячими» современными технологиями, такими как облака и большие данные, и инсайдерской угрозой? На первый взгляд, если и есть, то отрицательная. Понятно, что чем меньше людей имеет легальный доступ к информации, тем меньше вероятность, что какой-то из них — намеренно или по небрежности — допустит утечку. А облака, поскольку это технология автоматизированного распределения ИТ-ресурсов, как раз и позволяют, среди прочего, сократить количество людей в цепочке предоставления доступа. Что же касается больших данных, то их объем должен создавать проблемы скорее для самого инсайдера, чем для службы информационной безопасности, а скорость устаревания во многих случаях наверняка обессмыслит всю затею. Однако специалисты думают иначе. Весной британская аналитическая фирма Ovum Research провела опрос 540 ИТ-профессионалов и руководителей бизнеса трех европейских стран — Великобритании, Франции и Германии, — и исследование показало, что инсайдерская угроза (по крайней мере, по оценке респондентов) «остается постоянно высокой и растет».

Оговоримся: опрос проводился по заказу компании Vormetric, которая разрабатывает ПО для защиты данных, причем специализируется на корпоративных системах шифрования. Отчет, опубликованный на сайте Vormetric, адресован потенциальным клиентам и призван убедить их в серьезности угрозы и действенности защиты, предлагаемой продуктами компании. Соответственно к результатам следует отнестись с осторожностью, тем более что изучалась по очевидным причинам не сама угроза, а лишь уровень связанных с ней опасений.

Уровень оказался довольно высоким. Всего 9% (а в Британии — 6%) участников опроса ответили, что считают свои организации полностью защищенными от инсайдерской угрозы, и целых 26% — что считают весьма уязвимыми.

Потенциального злоумышленника респонденты готовы были видеть практически в любом пользователе, имеющем легальный доступ к секретным данным, как «своем», так и «чужом» (см. рисунок). Почти половина (46%) полагали, что распознать инцидент, связанный с деятельностью инсайдеров, сейчас сложнее, чем два года назад, а еще 36% — что это не проще, чем раньше. Почему? Потому что все растет — и активность пользователей в сети, и использование облачных вычислений, и количество сотрудников, в том числе из сторонних организаций, получающих доступ к ИТ-активам компании, и количество самих этих ИТ-активов. И если раньше можно было полагаться, например, на мониторинг доступа к сети, то в новых условиях его волей-неволей приходится ограничивать — иначе он отнимает слишком много сил и времени.

Вернемся к большим данным и облакам. Большие данные, похоже, по самой своей сути противоречат требованиям безопасности: информация собирается в аналитическую систему отовсюду, в случае международных компаний — из разных стран с разными законами. Происхождение данных не учитывается — как же добиться, чтобы отчет, полученный аналитиком, не нарушал ни действующих регламентов безопасности компании, ни чьей бы то ни было личной тайны, ни требований законодательства? Простого ответа явно нет, возможно, задача вообще неразрешима. Впрочем, ни один из трех эпизодов, иллюстрирующих в отчете возрастание инсайдерской угрозы, — оператор Vodafone Germany, британская сеть супермаркетов Morrisons и американская торговая сеть Target — не связан прямо с большими данными. Похищались во всех случаях личные данные и реквизиты кредитных карт, максимальное количество записей составляло около 110 млн. — цифра гигантская, и ущерб огромный, но с точки зрения объема хранения и темпов обновления это обычные, а не большие данные.

В случае облачных технологий мы, по-видимому, имеем дело с распространенной терминологической путаницей: все опасения, которые высказывали участники опроса, связаны с размещением корпоративной информации на инфраструктуре внешнего провайдера, то есть фактически речь шла об ИТ-аутсорсинге. Респонденты указывали на недостаточную прозрачность мер безопасности у провайдера, риск, что к данным компании получит доступ другой клиент того же провайдера, и невозможность управлять физическим размещением данных: частное облако начисто лишено этих недостатков, чего нельзя сказать, например, о традиционном (не облачном) хостинге. Опять-таки, из трех упоминаемых в отчете эпизодов ни один не был связан с облачными технологиями, и лишь в одном преступники задействовали внешнюю фирму.

Перечислю эпизоды. Первый относится к концу 2013 года, когда из сети оператора связи Vodafone Germany были похищены данные 2 млн. клиентов с именами, адресами, датами рождения и некоторой информацией о банковских счетах. По утверждению самой компании сделать это мог только инсайдер, имевший легальный доступ к наиболее уязвимым внутренним системам. Второй эпизод произошел в марте этого года в британской сети супермаркетов Morrisons, из которой злоумышленники похитили данные банковских счетов примерно 100 000 ее сотрудников. Системы безопасности Morrisons не зафиксировали нарушений, и утечка, возможно, так бы и осталась нераскрытой, если бы компанию не предупредила редакция одной из местных газет, в которую прислали файл с этими данными. Расследование выявило виновного, это оказался сотрудник компании. Третий, самый масштабный эпизод произошел в декабре 2013 года в американской торговой сети Target. В руках злоумышленников оказалось 40 млн. записей с реквизитами платежных карт покупателей, посещавших магазины Target в ноябре-декабре 2013 года, и 70 млн. записей с личными данными (именами, адресами, телефонными номерами) покупателей. По мнению следствия, преступники похищали данные непосредственно с кассовых аппаратов, пользуясь реквизитами доступа, похищенными у партнера Target — поставщика обогревателей, кондиционеров и холодильников Fazio Mechanical — с помощью вредоносной почтовой программы.

Алексей Бахтиаров, генеральный директор хостинговой компании Infobox, считает, что подобное вряд ли могло бы случиться при использовании ИТ-аутсорсинга и облачных технологий. «Обеспечение безопасности данных — комментирует он исследование Ovum, — это процесс, заниматься которым необходимо вне зависимости от того, где располагаются данные. Модель угроз данным в публичном облаке отличается от модели угроз данным, размещенным в периметре компании, однако нельзя говорить про увеличение риска инсайдерской кражи данных.

Основной источник дохода облачных провайдеров - предоставление облачных сервисов пользователю, и попытки получать доступ к пользовательским данным легко могут поставить крест на бизнесе компании. Поэтому провайдеры стараются максимально заботиться о безопасности данных пользователей — развертывают самые совершенные системы защиты и контроля доступа, часто недоступные пользователю. К тому же некоторые облачные провайдеры дают юридические гарантии, защищающие от инсайдерской кражи. У них гораздо больше возможностей следить за уязвимостями, затрагивающими используемые технологии, и своевременно развертывать исправления проблем безопасности.

Как пример: исправление ошибки, обнаруженной в технологии OpenSSL, было развернуто в InfoboxCloud в течение двух часов после обнаружения уязвимости.

Проблема есть, но заключается она в другом: когда пользователь переходит в облако, он часто забывает, что внутри виртуальных машин в облачной инфраструктуре безопасностью должен заниматься сам пользователь или интегратор, внедряющий облачные технологии на предприятии. Все усилия провайдера может сломать, например, база данных пользователя с простым паролем "123", доступная для подключения всем. С другой стороны есть пользователи, которые грамотно подходят к обеспечению безопасности в облаке: диски облачных машин шифруют, используют смарт-карты для доступа к машинам по ключу и т.д. Базовые практики безопасности необходимо изучать и использовать, а хороший провайдер всегда поможет в этом своему пользователю».