Информационная безопасность.
По следам статьи в Forbes Kazakhstan
Игорь Чернов,
Директор ТОО «Informsecurity»
Беда, коль пироги начнет печи сапожник,
А сапоги тачать пирожник.
И. А. Крылов.
Всегда с удовольствием читаю «Forbes Kazakhstan». Хорошие статьи, неплохая аналитика, видно, что люди, дающие материал, в теме освещаемых вопросов. Однако последняя прочитанная статья, мягко говоря, не порадовала, заставила задуматься и засесть за клавиатуру. Потому как в статье проблема информационной безопасности, а она есть эта проблема, и она очень серьёзна как для банков, так и для других компаний, подана, на мой взгляд, несколько однобоко и содержит ряд неточностей. Попробуем в них разобраться.
Ошибка первая, весьма распространённая в среде айтишников. В статье информационная безопасность сводится только к безопасности информации, хранящейся в компьютерах и передаваемой по компьютерным сетям. На самом деле это не так. В действительности понятие информационной безопасности намного шире. И касается оно защиты любой коммерчески значимой информации, утрата которой может причинить значительный материальный и/или репутационный ущерб компании/банку. И которая циркулирует и хранится в разных средах и на разных носителях. И компьютерная, и сетевая безопасность являются да, важной и нужной, но всего лишь составляющей частью общей системы информационной безопасности. Категорически неправильно бросать все силы на защиту только компьютерных каналов и оставлять без внимания другие потенциально опасные каналы утечки информации. По аналогии с городом, который описан в статье, это всё равно, что стойко охранять ворота, ведущие в город, но совсем не обращать внимания на проходы, сделанные в городской стене для удобства подсобных рабочих, наивно полагая, что враг через эти проходы не проникнет.
Ошибка вторая. Неправильное представление о враге. Это тоже довольно распространённое заблуждение, о котором я уже писал. В статье все враги делятся на «Чёрные шляпы» и «Серые шляпы», которым героически противостоят «Белые шляпы». То есть и с той и с той стороны люди примерно одинаковы и отличаются только цветом шляп. И методы, применяемые этими людьми, тоже одинаковы. Эдакая шахматная партия: один нападает, пытаясь отправить письмо с фишинговой ссылкой; другой защищается, пытаясь этого не допустить. При этом оба сидят за клавиатурами в разных концах города (или странах мира) и не видят друг друга. Не спорю, такое бывает. Но далеко не всегда. Бывает и другое. Вашим врагом может оказаться человек «Без шляпы». Или «В балаклаве», что ещё хуже. Который находится в непосредственной близости от вас. Но вы его не видите, потому что он этого не хочет. И играть он с вами будет по своим правилам. В ту игру, правила которой вы не знаете и соответственно играть в которую не умеете. А он умеет. У злоумышленника есть цель. Похитить вашу информацию и использовать её в каких-то своих замыслах, например для хищения ваших денег. И он не ограничен в выборе метода преступного промысла, а их очень много, этих методов. И надеяться на то, что он использует для хищения информации методы, которые вам известны и к которым вы готовы, ту же фишинговую рассылку - ничем не оправданный оптимизм. Скорее наоборот. Он сделает то, чего вы от него не ждёте и к чему вы не готовы. Ну если он конечно профессионал, а не дилетант-любитель. Эти предсказуемы.
Ошибка третья. Недооценка человеческого фактора. Причём недооценка, как в негативном, так и в позитивном направлениях. Что это значит? Поясню. Рассмотрим негативный фактор. В статье сказано, что «Человек - это самое слабое звено в системе безопасности». И это действительно так. Но смысл этого несомненно верного утверждения не раскрыт. А между тем здесь есть два аспекта. И их надо знать. Аспект первый - человек может оказаться предателем. Явление не сказать что частое, но встречается регулярно. Тут всё понятно. Неважно как он к этому пришёл. Самостоятельно, польстившись на деньги или другие блага, или его к этому подвигли обстоятельства либо люди «в балаклавах». Итог один. Говорить об информационной безопасности в команде, где есть предатель бессмысленно. Аспект второй. Человек может оказаться, мягко говоря, профнепригодным. То есть неспособным спрогнозировать и адекватно оценить опасность и организовать противодействие этой опасности. Он просто не знает как и не умеет этого делать. Без разницы, по каким причинам. Недостаток образования и опыта или просто случайный человек в этом деле. В этом случае говорить о какой-то информационной безопасности на участке, за который отвечает этот человек тоже бессмысленно. А вот это явление встречается намного чаще, чем предательство. Говоря по-простому, дураков у нас больше, чем предателей. И вреда от таких профнепригодных, как правило, несоизмеримо больше, чем от предателей. Поговорка «простота хуже воровства» возникла не на пустом месте.
Теперь о недооценке позитивного фактора. Выскажу мысль, которая на первый взгляд покажется парадоксальной. Человек - это не только самое слабое звено в системе безопасности, но и самое сильное. На самом деле никакого парадокса тут нет. Поясню. В последнее время появилось множество новых приборов, устройств, программных продуктов и прочего, направленных на обеспечение информационной безопасности. И очень многие думают, что применение таких продуктов является некой панацеей, гарантией того, что их информация не будет похищена. Это большая ошибка. Необходимо понимать, что все эти приборы и программы являются только инструментами, используемыми в деле информационной безопасности. Инструментами, каждый из которых имеет как свои достоинства, так и недостатки. И как с любым инструментом с этими инструментами надо уметь работать. И работать с ними должны специалисты-профессионалы. Только они способны, используя эти инструменты, противостоять угрозам. Многие же почему-то считают, что достаточно купить и установить эти приборы и программы, а кто будет их эксплуатировать совершенно не важно. Всё само собой образуется. Не образуется.
Ошибка четвёртая. В статье несколько раз повторяется постулат: «Стоимость защиты информации не должна превышать стоимости самой информации». Такое утверждение не просто ошибочно, оно вредно. Поясню почему. Казалось бы - ничего сложного. Нужно рассчитать стоимость мер по защите информации и стоимость самой информации и сравнить эти цифры. На самом деле всё намного сложнее. Если с расчётом затрат на обеспечение информационной безопасности проблем нет и такой расчёт может сделать любой экономист, то с расчётом стоимости информации не всё так просто. Действительно, как посчитать стоимость информации? Сразу скажу - есть несколько методик, но все эти методики абсолютно разные и выдают совершенно разные результаты. Да и специалистов, владеющих такими методиками, раз-два и обчёлся. Например, одна из методик за основу берёт убытки, понесённые компанией/банком в результате утраты информации. Действительно, мне неоднократно приходилось слышать: - я потерял восемьдесят миллионов тенге; - я потерял двести сорок миллионов тенге; - я потерял триста пятьдесят миллионов тенге и так далее по возрастающей. Но это не стоимость информации - восемьдесят или триста пятьдесят миллионов. Это убытки, причинённые действиями стороны, похитившей эту информацию и предпринявшей на её основе некие недружественные действия. А сколько тогда стоила непосредственно сама похищенная информация? Ведь расчёт производится по свершившемуся факту, когда информацию уже похитили и последствия наступили. А сколько стоит не похищенная информация? А если её никто и не хочет похищать? Вы же заранее этого не знаете. Это повысит или понизит стоимость информации и на сколько? Хорошие вопросы. Правда ответов на них нет. Кроме того на стоимость информации влияет временной фактор. Информация, которая ничего не стоит сегодня, завтра может стоить очень дорого. Или наоборот. В общем, как сказал бы математик, уравнение по расчёту стоимости информации не решаемо, так как в нём слишком много переменных. Не верите? Попробуйте тогда рассчитать стоимость информации, содержащей данные о логинах и паролях пяти процентов клиентов какого-нибудь банка. А я посмотрю.
Теперь о вредности этого постулата. Так как вторую цифру (стоимость информации) в этом уравнении рассчитать невозможно, как правило, при расчёте берётся минимальная цифра, а зачастую просто ноль. В этом случае проведение мероприятий по предупреждению или пресечению утечки информации обычно не производится. Так как любое мероприятие имеет свою цену, которая обязательно будет дороже стоимости защищаемой информации. А это противоречит постулату. И это не выдумка. Знаю много случаев, когда защитные мероприятия не проводились, техника и программное обеспечение не закупались только потому, что это дорого. Дороже защищаемой информации. В результате были проблемы.
Что делать в такой ситуации? Отказаться от цифр. И ввести понятие не стоимости, а ценности информации. Ввести градацию такой ценности в зависимости от того, какой возможный убыток понесёт компания/банк в случае утечки такой информации. И закупать технику и программы, и проводить мероприятия по защите информации. При этом решение о закупке техники и программ или о проведении защитных мероприятий должен принимать уполномоченный на это профессионал, отвечающий за данное направление безопасности, а не бухгалтерия (это не шутка, я такое видел).
Ну и напоследок. Откровенно удивил и рассмешил вот этот вывод: «Если информация важна для бизнеса - её необходимо защищать». Сразу вспомнился Капитан Очевидность. И в голову полезли всякие мысли. Типа «Если у вас болит живот, надо лечиться». Или «Если у вашей машины не работает двигатель надо его отремонтировать». Но то такое. Считайте это лирическим отступлением. А вообще как-то не солидно для серьёзного журнала.
P. S. Зачем надо было писать эту статью? Поясню. В наше время почти каждый руководитель компании/банка понимает важность защиты информации. Проблема одна. Он не знает как это делается. Хотя бы в общих чертах. И ищет об этом информацию. И тут в солидном деловом журнале выходит статья, посвящённая этой теме. И руководитель компании/банка берёт информацию, изложенную в статье за основу. Но что делать, если информация, изложенная в статье не правильна? Искать «Белую шляпу»?
P. S. S. Так и не получил ответ на вопрос, фигурирующий в заголовке статьи - «Защищают ли банки Казахстана деньги и данные своих клиентов»? Действительно, не считать же ответом один из выводов - «Позиция самого защищенного банка Казахстана (а, значит, и самого надежного) сейчас свободна». Скажу одно. В мире не существует абсолютно защищённого банка. Любой банк можно взломать. И ситуация с информационной безопасностью наших банков не самая плохая в мире. Естественно, у каких-то наших банков положение вещей лучше, у каких-то хуже, у каких-то и совсем плохо. Но в целом справляются, хотя бывают и проколы. А у кого их не бывает? И самый защищённый банк в Казахстане есть. Впрочем, это уже совсем другая история.
Берегите себя.