Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Иначе, чем в кино: будни киберкриминалиста

Игорь Собецкий, заведующий кафедрой экономической безопасности учебного центра «Информзащита»

!БДИ: Термин «киберкриминалистика» для многих звучит романтично. А как вы его трактуете?

Игорь Собецкий: «Киберкриминалистика», а точнее – компьютерно-техническая экспертиза, вовсе не является чем-то романтичным. Это – обычная работа. Почти то же самое делают, например, специалисты по восстановлению данных, только к нашей работе предъявляются более жесткие требования.

Элементы детектива возникают, когда требуется не только качественное, но и быстрое исследование. В этом случае необходима максимально полная информация о деле, по которому назначена экспертиза, и о том, что именно на исследуемом компьютере может послужить для следствия доказательством. Жесткие диски современных компьютеров могут вмещать терабайты данных. Полное исследование такого диска занимает весьма продолжительное время, а его результаты часто оказываются, как ни странно, малополезными для следствия и суда.

Например, я проводил экспертизу по делу о мошенничестве с квартирами. Для исследования были предоставлены два жестких диска по 2 Тбайта и один на 1 Тбайт. Эти диски, изъятые в риелторской компании, содержали огромное количество документов в форматах разных текстовых процессоров, сообщения электронной почты и сканированные тексты в графических форматах. Полное исследование всех дисков, включая изучение документов, заняло бы не менее месяца, а размер экспертного заключения мог превысить сотню тысяч страниц. Только на его чтение следователю пришлось бы потратить около двух недель, а польза от этого была бы весьма сомнительной: среди множества важных для компании документов те десять страниц, что в итоге стали доказательствами по делу, уподобились бы иголке в стоге сена.

Для того, чтобы заключение было «обозримым», а исследование занимало разумное время, требуется сначала представить возможные действия подозреваемого и их следы на жестких дисках, учесть примерную датировку событий, уровень знаний и особенности характера «объекта». Версий может оказаться несколько. В процессе исследования их проверяют, и найденные доказательства включаются в экспертное заключение. Время исследования при этом существенно сокращается, а заключение удобно использовать как в ходе предварительного следствия, так и на суде.

!БДИ: Где проходят границы компетенций и полномочий отдела расследования ИБ-инцидентов?

И.С.: Если вам известна какая-нибудь замечательная компания, в составе ИБ-подразделения которой выделен специальный отдел по расследованию инцидентов, то я с радостью в нее устроюсь. Наконец-то я смогу реализовать детскую мечту из известного анекдота «ничего не делать и деньги получать»! Ну а если серьезно, даже в крупной компании ИБ-инциденты не возникают по графику – они происходят довольно редко и всегда внезапно. Создание в структуре службы безопасности специального отдела по расследованию инцидентов ИБ нецелесообразно, поскольку его сотрудникам  зачастую нечем будет заниматься, а в периоды штурмовщины, напротив, придется работать по 26 часов в сутки.

На мой взгляд, для расследования ИБ-инцидентов следует сформировать в компании рабочую группу (или несколько групп, если за короткое время произойдут сразу несколько инцидентов), состоящую из одного-двух сотрудников ИБ-службы, специалиста подразделения экономической безопасности (его знание бизнес-процессов и навыки коммуникаций с персоналом, как правило, выше, чем у «ибэшника») и сотрудника отдела кадров. Такая группа собирается по мере необходимости, а в остальное время ее члены занимаются основной работой, что обеспечивает наиболее эффективное использование персонала.

Только постоянно занимаясь обеспечением ИБ компании, специалист может прийти к глубокому пониманию работы автоматизированной системы и, далее, к локализации и устранению связанных с ней аномалий. А без детального знания бизнес-процессов и коллектива весьма сложно выстроить связь между техническими проблемами работы автоматизированной системы, их влиянием на деятельность компании в целом и конкретными работниками компании, вольно или невольно ставшими причинами этих проблем. Другими словами, четкой границы между специалистами по информационной безопасности и по расследованию инцидентов ИБ не существует. И такие расследования – не вотчина «элиты» ИБ, а лишь одна из граней обычной работы. В ИБ-сфере, скорее, можно провести границу между «эникейщиками» (молодыми специалистами на уровне «подай – принеси – проверь логи – пропиши смарт-карту – поменяй пароль») и «супервайзерами», или senior specialist (опытными специалистами, умеющими не только работать по правилам, но и формировать их, исходя из потребностей бизнеса, и быстро находить решения нестандартных проблем).

!БДИ: Как и какие специалисты приходят в отделы расследования ИБ-инцидентов? Какова их профессиональная и личная эволюция? Ведь этому не учат ни в одном ВУЗе…

И.С.: Как я уже сказал, мало где действуют специальные отделы по расследованию инцидентов ИБ. Исключение составляют компании, обеспечивающие расследование инцидентов для внешних клиентов (например, это «Лаборатория Касперского» или Group IB). В любом случае специалист, участвующий в таких расследованиях, должен досконально знать современные автоматизированные системы, обладать навыками работы со специальными техникой и ПО, возможностью в широких пределах менять ритм своей работы (от пассивного ожидания без потери внимания до работы на износ по нескольким инцидентам сразу), уметь работать с людьми, добиваясь ответов на свои вопросы и исполнения требований без обострения отношений, а также иметь специфический менталитет, во многом противоположный менталитету среднестатистического ИТ-специалиста (скорее, он ближе к менталитету полицейского).

По моим наблюдениям, люди, сразу после школы получившие в вузе специальность «Информационная безопасность», в дальнейшем редко достигают высот  этой профессии. Они либо на долгие годы застревают на уровне «эникейщиков», либо, заняв каким-либо нетрадиционным способом должность руководителя подразделения ИБ, создают для своей компании серьезные проблемы. И дело тут – вовсе не в недостатке знаний или ущербности, а именно в отсутствии соответствующего менталитета. Пришедшие из вуза специалисты обычно не владеют навыками эффективного общения и некоторыми высокоэффективным приемам работы, граничащими с методами оперативно-розыскной деятельности, ведь этому, действительно, не учат в технических вузах.

В результате такие специалисты зачастую не в состоянии эффективно обеспечивать информационную безопасность компании. Они безоговорочно верят людям,  особенно – приятным в общении, испытывают отвращение к конфликтам и «стукачеству» (а на самом деле – к сбору и анализу информации), уверены в своем интеллектуальном превосходстве над работниками бизнес-подразделений и привыкли решать все проблемы исключительно техническими средствами.

Некоторые из них путем проб и ошибок все же осваивают специальные методы работы, но из этих самоучек порой получаются весьма опасные люди: их навыки накладываются на менталитет бизнесменов,  не признающий каких-либо  ограничений. Соответственно, они используют свои возможности на пользу исключительно себе, а не своему предприятию, включаются в «подковерную» активность и иногда занимают весьма высокие должности, паразитируя на компании и в некоторых случаях приводя ее к краху. Впрочем, в этом нет ничего нового: еще опыт Хиросимы и Нагасаки показал, что знания без морали, являющейся сдерживающим фактором, могут быть весьма опасными.

Высокоэффективный специалист по ИБ получается при сочетании необходимых навыков и менталитета, поэтому большинство специалистов по информационной безопасности, которые занимают соответствующие руководящие посты в крупных компаниях, являются выходцами из силовых структур. Именно там они обретают не только знания, но и необходимый для этой работы менталитет. В сферу ИБ с государственной службы приходят как заинтересовавшиеся информационными технологиями оперативники, так и программисты, пожелавшие более динамичной работы. Нужный менталитет может формироваться (правда, за более долгий срок) и при работе в компании под руководством опытного специалиста. Полагаю, лет через пять-десять  руководителями корпоративной ИБ будут становиться представители уже второго поколения, т.е. специалисты, обученные экс-силовиками.

!БДИ: По моим сведениям, службам информационной безопасности поручается решение все большего числа непрофильных задач, не соответствующих  опыту, практике и компетенциям сотрудников. Как это сказывается на расследованиях инцидентов?

И.С.: Действительно, в некоторых «экономных» компаниях подразделению ИБ поручают задачи, имеющие весьма отдаленное отношение к информационной безопасности. По «информационной» линии на эту службу могут возложить, например, ремонт вышедшего из строя оборудования (мало ли почему оно сломалось, вдруг это хакеры подстроили), консультирование пользователей (а кто ж еще это будет делать, если в ИТ-отделе сокращение), наладку антивирусных средств или систем резервного копирования.  А по линии «безопасности» несчастных специалистов могут загрузить вообще чем угодно – от поездок к должникам компании до охраны складов в ночное время (увы, это не метафора, мне известны такие случаи).

Непрофильное использование специалистов по ИБ вызывает неотвратимое и быстрое снижение качества работы всего подразделения. Руководители компании, видя, что его сотрудники занимаются рутинной непрофильной деятельностью, считают нужным несколько снизить их вознаграждение и одновременно слегка поднять нагрузку. Кризис на дворе, деньги считать надо! В результате высококвалифицированные специалисты, не желающие становиться мальчиками на побегушках, начинают подыскивать новые места работы. На освободившиеся места приходят неофиты классом пониже, согласные на любую работу с любым результатом и за любую зарплату. Оставшиеся в штате специалисты уже не могут эффективно контролировать ИБ организации.

В результате начинается лавинообразный рост незначительных ИБ-инцидентов, что до поры до времени спускается на тормозах, ведь слабые позиции ИБ в компании не позволяют настаивать на неукоснительном исполнении регламентов и наказании виновных в инцидентах. Затем происходит серьезный инцидент, больно бьющий по финансам предприятия. Тогда руководству приходится со значительными издержками восстанавливать нормальное функционирование подразделения ИБ либо оправдываться перед акционерами – мол, это все кризис, санкции и происки мирового правительства. Иногда акционеры даже верят таким объяснениям и удерживают утопающую компанию на плаву.

!БДИ: Количество задач, сервисов и данных, которые нужно контролировать службе ИБ, стремительно растет, но никто не собирается пропорционально увеличивать количество ее сотрудников. Возникают два вопроса: как контролировать увеличивающиеся потоки данных и кто должен этим заниматься?

И.С.: По всей вероятности, под растущими потоками данных имеется в виду объем информации, получаемой с помощью DLP-систем (предотвращения утечек данных) и связанной с попытками тотального контроля над корпоративным почтовым обменом. К сожалению, в условиях кризиса увеличивать штат ИБ-подразделения до оптимальной численности, обеспечивать четкую организационно-штатную структуру, финансирование по потребности, обучение для повышения квалификации сотрудников и  конкурентоспособную зарплату, действительно, никто не собирается. Увеличивающиеся потоки данных предстоит обрабатывать с теми людьми и теми же средствами, которые уже имеются.

На мой взгляд, нужно, во-первых, постараться сократить поток таких данных, для чего следует максимально укрепить взаимодействие отделов информационной и экономической безопасности. Подразделение экономической безопасности может и должно предоставить подразделению ИБ информацию о «проблемных» работниках и наиболее кричных для компании проектах. Тогда на этих «горячих точках» удастся сконцентрировать все усилия по контролю, получив наибольшую отдачу.

Во-вторых, нужно более внимательно подойти к выбору специальных технических средств, особенно DLP-систем. Дешевые системы требуют куда больше времени на администрирование и интерпретацию полученных результатов. А дорогие (разница в цене в 5–10 раз) качественные системы проделывают значительную часть аналитической работы за пользователя, существенно экономя усилия персонала.

В-третьих, следует активизировать работу кадровой службы, более полно интегрировав ее в систему безопасности. В условиях кризиса, думаю, нужно не снижать размеры вознаграждения сотрудников (это может повлечь за собой падение их лояльности), а планомерно заменять недостаточно квалифицированных либо малоэффективных специалистов на специалистов классом выше, высвобождающихся при сокращении штатов либо уходе с рынка пострадавших во время кризиса предприятий. Очень важно, чтобы такая работа проводилась медленно и с филигранной точностью, а не превращалась в кампанию с планом по валу. При умелом решении данной задачи значительно сократится количество утечек и других инцидентов ИБ. В свою очередь, это приведет к уменьшению потока обрабатываемой подразделением информации.

Тэги: 

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.