Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Инцидент в «Билайне»: учимся информационной безопасности на чужих ошибках

Аватар пользователя Kharlamova
Автор: Харламова Елена, Searchinform
(2)
()
Опубликовано в:

Даже самые крупные и известные компании порой становятся фигурантами скандалов, связанных с утечками информации. В таких случаях остальные могут поучиться на их ошибках, чтобы избежать в будущем подобных инцидентов и скандалов с собой в главной роли.

Для начала кратко напомним суть происшествия. Федеральная служба безопасности России сообщила о том, что обнаружена группа злоумышленников, получивших от сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных московских чиновников, после чего «Вымпелком» подтвердил факт утечки информации, а МТС, напротив, опроверг. Отдельно стоит отметить, что «Вымпелком» поделился информацией о том, что у них работает система борьбы с утечками информации.

Что бывает после таких утечек на западе? Компания платит гигантские штрафы в пользу государства, не менее впечатляющие компенсации пострадавшим, берет на себя дополнительные обязательства по контролю состояния счетов пострадавших, а сам инцидент ещё долгие годы является несмываемым темным пятном на её белоснежной репутации. В России, скажем честно, подобный сценарий реализуется крайне редко. На примере «Мегафона» мы знаем, что бывает, когда у сотовых операторов происходит утечка данных «простых» людей. Роскомнадзор подаёт иск в суд, компании предъявляют небольшой штраф (что такое 30 тысяч рублей для оператора «большой тройки», который, к тому же опытные юристы не преминут обжаловать), и при этом проблема никого, кроме пострадавших клиентов, как будто и не интересует. Впрочем, когда страдают чиновники, всё радикально меняется, чему мы сами скоро будем свидетелями. Штраф вряд ли будет столь символическим, да и виновным уже светят вполне реальные сроки за решеткой.

Чем же занималась система защиты от утечек (DLP-система) «Билайна», если во время её «дежурства» работники могли «сливать» на сторону частные переписки? Обвинять во всём только ее было бы слишком примитивно и однобоко. Впрочем, если бы в «Вымпелкоме» внимательнее отнеслись к этой части своей системы обеспечения информационной безопасности, то всё могло бы сложиться иначе.

Но начинается всё с азов, а именно, с разграничения прав доступа. Представьте ситуацию. Появился новый сотрудник – ему надо открыть доступ к нужным информационным ресурсам и ПО. Уволился – доступ надо немедленно заблокировать. Ушел в отпуск – приостановить, вернулся – восстановить, перешел на другую позицию – все надо перенастроить. Зачастую эти процедуры выполняют либо сотрудники IT-отдела, либо отдела ИБ. Но если задуматься, сколько таких событий ежедневно происходит в любой крупной компании, становится очевидным тот факт, что кто бы ни занимался этим, риск столкнуться с задержками, потерей времени и ошибками возрастает многократно. Как следствие, возрастает вероятность утечки информации. К счастью, для решения этой проблемы сегодня достаточно вариантов: от ручной настройки прав доступа штатными средствами операционной системы, до серьезных автоматических IDM-систем (Identity Management). В свете сложившейся ситуации «Билайну» определенно следует либо оптимизировать существующие решения, либо задуматься о приобретении чего-то более эффективного.

Но это лишь одна сторона вопроса. Настало время проанализировать действия инсайдера. Дело в том, что для дальнейшего распространения информации об «эсэмэсках», злоумышленник должен был сначала получить эту информацию. Можно придумать множество способов, как это сделать. Упомянем наиболее вероятный.

Вряд ли принцип доставки SMS у «Билайн» чем-то кардинально отличается от «МТС». То есть сообщения попадают на сервера, где хранятся до трех дней, а затем удаляются. Следовательно, чтобы иметь максимально полный архив с сообщениями от «объектов», инсайдер должен был регулярно мониторить смс-поток на этих серверах. Если злоумышленник был администратором – схема упрощается, ведь по должности он должен был иметь доступ к подобным ресурсам.

Однако это ещё не Утечка. Злоумышленник нашел интересующую его информацию и теперь должен решить, каким образом (читай, по какому информационному каналу) организовать утечку данных. Отправить по почте, через скайп, «аську» или просто сохранить на рабочей станции пока не накопится «критическая масса»…Вариантов, как видите, более чем достаточно. Учитывая, что в деле фигурируют «архивы SMS-сообщений», можно сделать предположение, что инсайдер некоторое время накапливал информацию на компьютере, а затем копировал её на съемный носитель (важно понимать, что в роли накопителя сегодня может выступать даже плеер или смартфон). Стоит отметить, что на этом этапе уже возможно обнаружить конфиденциальную информацию: при совместном использовании индексации рабочих станций, политик безопасности, направленных на жесткий перехват конфиденциальных данных, а также политик, направленных на выявление намерений (тематические словари, группы специфических синонимов, ручной мониторинг группы риска).

Но не все так просто. На самом деле, понятно, что необходимы комплексные меры. «DLP система – сложный инструмент. При помощи ее наверняка можно было не допустить утечки инфы, но, к сожалению не все понимают, как этой системой пользоваться», считает Сергей Ожегов, коммерческий директор компании SearchInform. – «На основании собственного опыта отмечу, что внедрение системы не даст 100% эффекта без обучения сотрудников службы безопасности всем нюансам работы с ней.  Очень часто при проведении расследовании после утечки оказывается, что вся информация для своевременного предотвращения инцидента была доступна СБ., но они ее просто не заметили. Кроме того DLP-система должна решать не только вопросы предотвращения утечек информации. Немаловажным является контроль информации, курсирующей внутри компании (внутренние чаты, форумы и т.п.) С помощью такой «работы с коллективом» посредствам DLP можно легко выявлять сотрудников не лояльных к компании, т.е. тех, кто потенциально может стать инсайдером. Постоянный мониторинг сотрудников, имеющих доступ к большому объему конфиденциальной информации для СБ. должен быть непреложной истиной. На примере данной утечки, очевидно, что человек не за пару часов решил стать инсайдером и «слить» информацию – это была планомерная работа на протяжении нескольких лет, а значит, его деятельность можно было вычислить и пресечь. Подводя небольшой итог, отмечу, что наличие DLP-системы не гарантирует 100% сохранности данных. Не питайте иллюзий. Это голый инструмент, с которым надо будет работать. В конце концов, гвоздь в стенку тоже сам не забивается – нужен молоток и человек».

С господином Ожеговым трудно не согласиться – DLP-системы, как и любое программное обеспечение, не более чем инструмент в умелых или не очень руках. Весь вопрос в том, как этим инструментом пользоваться. Если он – один из множества компонентов цельной, хорошо продуманной комплексной системы обеспечения информационной безопасности, то это одно. Если же DLP-система работает в режиме «автономного плавания», то это, как говорится, совсем другая история.

Главное же, что можно извлечь из истории с «Билайном» - вековая истина о том, что «береженого Бог бережет». Компания, в которой отсутствует действующая как один организм система обеспечения информационной безопасности, сама обрекает себя на всевозможные инциденты, связанные с утечками информации, со всеми вытекающими из них последствиями.

Алексей Дрозд

Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Сергей Хайрук

Коллеги нам как бы намекают на толстые обстоятельства? Как по мне, так это пример ПРАВИЛЬНОЙ работы системы безопасности. Конечно, предотвратить утечку - это максимум возможного, но давайте не будем забывать, что в этом случае за утечкой последовало расследование. Как это стало возможно? благодаря системе безопасности. Почему Вымпел сделал этот кейс публичным? чтобы сотрудникам неповадно было. 

В общем, Вы уж простите, Елена, но блох Вы не там ищете)

up
79 users have voted.
Аватар пользователя AESwrite

Определённо, господин Ожегов всё сказал абсолютно правильно. Купить DLP систему и почивать на лаврах, это всё равно, что купить ружьё и ждать, что оно само будет отгонять воров от склада без сторожа. Необходима непрерывная работа с ситемой ИБ, если вы хотите на самом деле быть защищены. 

P. S. И да, Сергей, вы конечно тоже правы, благодаря системе безопасности расследование стало возможным. Однако расследованиями ущерб не возместишь.

up
57 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.