Информационная война, хакеры, взломы и защита от них, как сориентироваться в этом мире стремительно меняющихся реалий. Как сделать нашу жизнь безопасней, что понимается под информационной безопасностью и как с этим жить? С этими и подобными вопросами я обратился к специалисту по информационной безопасности , реализующей свои знания в этой сфере в северо-западном регионе России Евгении N, стараясь в максимально доступной форме изложить материал.
-Евгения, в двух словах о вашей работе, цели, задачи и общая картинка поля вашей деятельности, пожалуйста.
-Наша фирма осуществляет комплекс мер и мероприятий, обеспечивающих защиту от несанкционированного доступа к конфиденциальной, секретной и так далее по степени защиты информации. "Комплекс мер" при этом - не просто слова, то есть недостаточно только установки дополнительного " железа" или обеспечения локальной сети программной защитой, нужны и важны и другие меры. То есть компьютерная безопасность лишь часть информационной.
- Так, мы похоже определились с подуровнями защиты, это определенные девайсы, ограничивающие нежелательный доступ к вашему компьютеру . Программное обеспечение и..
- Административно- организационные мероприятия.
- И где обычно " подгорает"?
- В третьем пункте. Более девяноста процентов утечек обеспечивается элементарным несоблюдением мер безопасности и так называемым человеческим фактором. Например, фирма, обладатель конфиденциальной информации, приглашает нас сделать заключение. При этом априори утверждается, что уж у нас- то, будьте покойны, в этом деле полный порядок. Приходишь утречком, с толпой сотрудников минуешь пункт контроля на входе, заглядываешь во все кабинеты, ноль на тебя внимания. Ну и заходишь к директору, так , ребята, а теперь мы с вами поговорим о безопасности..
Или другой случай, поехал начальник в командировку и приказывает своему сисадмину быстренько " качнуть" ему на флэшку музыку, фильм, книгу. Тот понимает, чем это грозит, раз потекло внутрь, то потечет и наружу, но ослушаться начальника не смеет и готово дело. Причем дело не только в доступе в сеть, но и во флешке, используемой в быту, на которой может быть вообще черт- те что.
- А как же гении- хакеры, ломающие любые защиты, мальчики, взламывающие Пентагон?
- Ну, там не очень простой мальчик был. Он сначала пообщался в сетях, его оценили, ну и открыли доступ к определенному программному ресурсу, который чаще всего - плод коллективного -корпоративного или государственного- творчества. Но напрасно думать, что в Пентагоне работают другие люди, так что его взлом- результат ровно такой же человеческой безалаберности. Ну и как правило, что уж тут говорить, взломщик или его помошник, вольный или невольный, сидит в соседнем кабинете.
- То есть сами виноваты?
- Совершенно верно. Наивно полагать , что американцы сделаны из другого теста.
- Мне становится страшновато. Сразу вспомнился анекдот про валенок на пульте и сакральное" бог с ней , с Голландией". Хотя в этом смысле неплохо было бы узнать про уровень и возможности пресловутых русских хакеров. Это такая страшилка для взрослых или, в свете угроз Великобритании оставить Кремль без света, без электричества может остаться и Лондон?
- Ну, за Лондон не скажу, но уровень и возможности наших хакеров действительно очень " на уровне". Это признается всеми. Это же, кстати, означает и высокий уровень защиты, потому что в принципе защита информации и ее взлом- две стороны одной медали. То есть тот , кто может взломать, может и защитить. И наоборот.
За хакерами охотятся, и отнюдь не всегда с целью пресечь их деятельность. Вот такие истории вовсе не редкость. Более того у русских хакеров есть свои предприятия, официально ведущие деятельность по проверке и защите информации в том числе и в США и имеющие мировую известность. В узких кругах.
В США, кстати, где я была сразу после президентских выборов и в разгар скандалов со взломами серверов демократов и Госдепартамента друзья меня так и представляли, русский хакер. В шутку конечно. В этих взломах они точно сами виноваты.
Вообще - то это пример действий злоумышленников по линии социальной инженерии.
- Это как?
В данном случае использованы возможности месседжеров, электронной почты и прочих инструментов общения в интернете, по которым вполне возможно не только взломать аккуанты, но составить психологический портрет, определить место работы, должность, уровень посвященности в государственную или корпоративную тайну. Ну и ,само собой, сети имеют и обратное влияние и могут формировать личность. И тогда получается Керчь. Хотя уже и известно, что там замешаны сети другого рода, секта, но чем конкретно обернулась и стало электронное общение в поведении керчинского стрелка мы пока не знаем. По крайней мере свои ноутбук и телефон он спрятал и постарался уничтожить, что как бы намекает: именно там надо искать корни и сам механизм воздействия. И связи само- собой.
Ну и общее правило, если работа связана с закрытыми данными не стоит таскать туда навороченные смартфоны и планшеты, чревато. Как и использовать для служебной переписки свою почту, как госпожа Клинтон.
Одна из последних тем Натальи Касперской именно защита от воздействий в сфере социальной инженерии. Очень широкая тема.
- Как страшно жить. Как в таких случаях осуществляются высшие приоритеты безопасности?
- Как раз там все достаточно просто. Берешь инструкцию и начинаешь ее выполнять. Пункт за пунктом, не пропуская ни одного и в строгой последовательности. Все " железо" тестируется на закладки, программы - так же. Доступ в сети исключается, как и подключение носителей. Системы постоянно мониторятся на утечки, проникновение и взлом. Персонал обучен и повышает квалификацию.
Другое дело уровень конфиденциальности, например, поликлиник в условиях ограниченности средств и с выходом в сети, что необходимо хотя бы для консультаций. Тут приходится буквально изворачиваться , чтоб достигнуть необходимого уровня. Творческая работа. Ее , кстати , многие недооценивают, считая утечку индивидуальных данных на этом уровне этаким пустячком. Но , если мы имеем в виду не дедушку из глухой деревни , а действующего чиновника или служащего силовых ведомств, военного, топменеджера крупной фирмы или корпорации, то утечка данных медицинской карты - серьезное преступление, открывающее некий доступ к фигуранту, если его разрабатывают с целью получения информации. Мы , к примеру, не знаем, каким образом идет обработка чиновников ЕС и стран Европы ведомствами США, но то , что там используются методы социальной инженерии это вполне определенно. Вообще же имеет место всеобщая , я бы сказала, эйфория и беззаботность в пользовании и защите персональных данных, Россия не исключение. В крупных корпорациях и ведомствах вроде начали наводить порядок, но периферия - это одна большая дыра.
-Имеет ли значение, какие операционные системы стоят на компьютере с точки зрения безопасности. Линукс, Винда , прочие?
- Никакого. Надо понимать , что если вы попали в разработку, то заниматься вами будет команда специалистов, созданная под решаемую задачу.
-Хорошо, давайте разрядим обстановку. Что - нибудь из склепа, пожалуйста.
- Так, имеем м-м корпорацию, связанную, к примеру, с оборонкой или нефтью и там " течёт". На уровне переговоров с партнерами, носящих совершенно конфиденциальный характер. Усиливают безопасность, ограничивают доступ- течёт. Решено строить так называемое переговорное помещение. Это двойные стены , отсутствие окон , специальная аппаратура и оборудование, обеспечивающее полную изоляцию- течёт. Всё, шутки в сторону, начинается серьезная проверка от и до. Неимоверными усилиями и путем сложного многоуровнего анализа устанавливается, что под двойной дверью переговорного помещения имеется зазор в 2 см. между полотном двери и полом. То есть течет в буквальном смысле.
- И что конкретно делаете вы и ваша фирма в свете идущей и грядущей цифровизации?
- Все. От разработки архитектуры локальных сетей и инструкций по безопасности для персонала до их формирования под ключ. Программным обеспечением, ну и сопровождением, понятно, вплоть до выявления каналов утечек.
- О делах наших скорбных и об особенностях такого и подобного вида деятельности расскажете?
- Ну, во - первых, наше предприятие не имеет права брать временных работников, работников с неполной занятостью, субподрядчиков и вводить прочий аутсорсинг. Как говорится , сами , все сами. Это понятно, не примуса починяем, и несем между прочим ответственность за то что делаем. Поэтому, как бизнес, деятельность достаточно сложна , оптимизации и экономия на персонале практически исключены. Это условия лицензирования. Нас проверяют сами понимаете кто, хотя и налоговая не чурается. Кстати, только на получение лицензии у нас ушел год и это было достаточно сложно.
Во- вторых, и в то же время, различные деятели, освоившие в свое время клавиатуру, частным образом консультируют, что законом не запрещено, и вполне легально кормятся на той же поляне. В принципе нам это не мешает, так как когда и если дело доходит до сертификации, то без нас не обойтись, но перенастройка и переделка под нормы безопасности требует сил и времени, что иногда вовсе не ко времени с нашим ограниченным штатом. И не всегда после умельцев с улицы клиент располагает на это финансами, а это уже само по себе не доставляет нам удовольствия, учитывая, что и оборудование,и софт должны быть в свою очередь сертифицированы и проверены.
В- третьих, наша провинция. как и всякая другая подвержена периодическому налету столичных мальчиков и девочек, которые чутко следят за распределением бюджетного финансирования на цифровизацию и меры безопасности. С лицензиями, полномочиями, что вовсе не всегда говорит о квалификации. Это зачастую один и тот же сценарий, заключение кучи контрактов и договоров , получение авансов и в редких случаях - их выполнение. Ситуация напоминает историю с обманутыми дольщиками. И опять же расхлебывать иногда приходится нам.
- Тем не менее?
- Мы отдаем себе отчет в том , что и почему делаем, наращиваем клиентскую базу, повышаем уровень компетенций и не чужды амбиций.
Спасибо, Евгения, за ваше терпение, желаю вам всяческих успехов . С наступающим вас Новым годом , здоровья , оптимизма и удачи.
Комментарии
Скажем так, хоть к теме не относится. Официально семёрка поддерживается до 2020 года. Пока приходят обновления (кстати, в тему-90 процентов из них-обновления по ликвидации уязвимостей). Опять же- Майкрософт снимет операционку с поддержки ( по примеру ХР)- это означает ровно то, что не будет обновлений и производители оборудования не будут обязаны писать драйвера под семёрку. На первое наплевать. со вторым они местами уже наплевали, в частности по драйверам видеоядра для процессоров INTEL начиная с 7 поколения. Пока проблема не горит.
Windows 7 Professional for Embedded Systems - абсолютно легальна, там достаточно длительная поддержка, поскольку на бизнес завязано.
Но это специальная версия для встраиваемых систем, типа инфокиосков и т.п.
грамотные ответы,но не соглашусь с тем что нет разницы между Линукс и Виндовс с точки зрения безопасности клиента. да команде хакеров может и без разницы что взламывать,но если рассматривать не конкретного клиента,а всю сеть интернет и всех пользователей и желающих их взломать доступными в сети инструментами,то разница огромна. вредоносное ПО массово разрабатывается для массовых же ОС операционных систем. а популярные ОС в порядке убывания следующие Windows,Android,iOS,macOS. Линукс же используют менее 1% пользователей (серверное ПО в данном случае не рассматривается) и в "дикой природе" свободном интернете нарваться на вирус скажем шифровщик ваших документов за выкуп в случае использования Линукс шансы ничтожно малы.
вообще это тема для большой статьи и я пожалуй зря её затронул,но кто нить всё равно бы обратил внимание на эти строки и "срач" Линукс VS виндовс не избежен)))
В принципе я с вами согласен, ибо и сам некоторое время юзал Линукс. А может и по сей день бы юзал, если бы не гроза, которая разом вынесла модем и по витой ещё паре комп со всеми потрохами. Ну о- очень устойчивая ОС, забавно было качать с нее проги на Винду и потом перекидывать на рабочий ноут. Ни разу глюков и вирусов не поймал. Хотя в икс- пи работал и работаю, которую сейчас провайдеры даже к вай фаю не подключают, вирус Петя всех напугал до полусмерти.
За вынесенный грозой модем нужно было провайдера гнать батогами до Сибири. Ибо смонтировали сеть с нарушением требований по заземлению, сэкономили. Такое бывает только при практически прямом попадании молнии в коммутатор, или если у вас была длинная "воздушка" от коммутатора, и молния шарахнула непосредственно рядом с ней.
Так и было, я от грома чуть не оглох. В упор садануло. Выстегнуло эл.подстанцию заодно и телефон тоже того, загнулся. Эл. счётчик и тот дуба дал.
Тогда могу только принести соболезнования. В моей практике был только один подобный случай.
про 1 % - спорно... но в общем линукс хорош если админ мышей ловит и если обновления регулярно накатываются.
Ко мне часто звонят подобные специалисты по безопасности и предлагают внедрить у нас ПО (за много сотен тысяч рублей), которое будет контролировать всё, вплоть до копирования и распечаток файлов на принтере. Уверяют, что это исключит утечку информации из компании. На что я им задаю простой вопрос: А как ваше ПО защитит от фотографирования экрана монитора с нужной информацией на смартфон?
Обязательно гадость надо сказать?
Кто вам тут навязывает услуги за 100500 тысяч? Наоборот, вам говорят, что никакие программы и девайсы не дают стопроцентной гарантии от утечек, именно потому ещё, что за компьютерами сидят люди- человеки.
Меня переодически выкидывает из учетной записи АШ, без моего участия в выходе. Попытка войти со старым паролем ни чего не дает. Как так?
В переводе. Фирма осуществляющая коммерческую экспертизу информационной безопасности имеет слабый штат именно ИТ-специалистов. Посему делает упор на регламенты и раздувание щек перед боссом заказчика.
Коню понятно что пускают тебя в кабинеты потому что народ о тебе предупредили и заранее оповестили "оказывать содействие".
По флешкам. ИТ не нужно само для себя, это обеспечивающая служба. И если сотруднику предприятия требуется ехать куда-то с презентацией или по иной надобности, то он не должен ехать с набором плакатов и диафильмов для фильмоскопа.
Задача ИТшника просто проверить флешку, а не ложиться грудью "нипущу, флешкизло".
Сейчас стало много фирм "экспертов по безопасности" которые пасутся именно на регламентных моментах, беспомощных при экспертизе аппаратных и софт моментов.
Они помогут протащить что-то по сертификации, так как бумаги это их специализация. Но кто видел содержимое документов для сертификации ... Улыбает, вообщем.
Имеет место случай так называемого натягивания совы на глобус.
То есть по одному эпизоду, домысливая и примеряя ситуацию на себя, любимого, вы судите о всей деятельности фирмы .
Нехорошо. Ай- яй- яй, я бы сказал.
Вам же русским по белому написали: от железа, конфигурации и ПО до регламентов.
Ещё и наработанным опытом поделились.
Я понимаю , что в сфере Ай-Ти каждый второй непризнанный гений, а первый просто крупнейший эксперт мирового класса, не нашедший пока применения своим знаниям.Но сдается мне, что настоящие специалисты уже высказались тут по делу. А не разводят т.н.срач.
Вы не назвали фирму, поэтому непонятно с чего вдруг кинулись на ее защиту.
Я же сужу по характерному моменту - акцентация на регламенте, причем на таком гнилом моменте как "меня пускают в кабинеты".
Понимаете, мне много приходилось работать со специалистами "по защите информации", в том числе и с такими монстрами как "Эшелон".
И квк заказчики для получения необходимых бумаг, и как партнёры.
Поэтому я прекрасно понимаю что на 95% бизнес подобных фирм это бумажный бизнес. А на обсоедования часто высылаются ребята которые ... Вообщем, в плане софтовиков или даже сисадминов они "слышали".
Специфика такая что для выдачи сертификата от них не требуется экспертных знаний уровня разработчика.
Это не хорошо и не плохо, это реальность, есть формализованные критерии на которые осуществляется проверка,и на этрм рынке есть игроки.
Еше дело в том, что есть ребята которые действительно могут проверить вашу безопасность. Или наоборот взломать, квалификации хватит. Но они не заморочены на "меня пустили в кабинет, побегу боссу расскажу", они по костям разберут дыры вашего портала, вашего сервака, причем покажут приемы как именно можно сломать, покажут дыры вашего софта если вы разработчики.
Может фирма про которую вы пишете и такая, но меня напрягло рассуждение которое я цитировал выше, оно характерно именно для бумажных экспертов.
Я обычный юзер, использующий комп в очень узком и спецефическом ракурсе. То есть я не не могу даже задать вопросов, касающихся специфики темы. Я задаю вопросы, которые мне интересны именно как юзеру, пытающемуся получить картинку для себя, что там и как.
Ребята конкретно возятся с железом, сам видел, и натасканы в области ПО, причем занимаются этим ещё со студенческих времён . И программеры по полученной специальности .То есть они эту школу прошли с самых что ни на есть низов. Если вас интересует конкретика, я поинтересуюсь у Евгении, связывайтесь , выясняйте общие интересы и тамы, буде таковые найдутся.
Она, кстати, нас читает, должна отзвониться.
Ок, я вас понял.
А связываться ... Да нет, вообщем-то, необходимости, у нас наработаны контакты в этой сфере.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
для того что бы убедится что безопасность это миф,рекомендую ежедневно мониторить новости на проекте securitylab.ru
не сочтите за рекламу,он проект в ней не нуждается.
Ну да.
Околокритическая зависимость от жаба-скрипта с наличием отсутствия поддержки функции на стороне клиента — это *памятникх* профессионалам, номинирующимся в области информационное безопасности.
Ну, отчего же сразу так... Даже в Ксакепе можно инфу по делу найти.
Почитал, кое-где общие вопросы по существу, кое-где весело. В общем, скажу следующее:
ИБ - это действительно КОМПЛЕКС орг. и техмероприятий. Общемировая статистика говорит, что по утечкам действительно соотношение 20:80 (у дэушки Жени 10:90, что вполне возможно). Насчет того, что ее спецы просто прошли через проходную и шатались по кабинетам - бред сивой кобылы, дэушке очень хотелось выглядеть блондинкой умной. Не поверите, такие тоже есть, но у конторы, которой действительно потребовался такой проф.уровень ИБ (про гостайну вообще молчу), на проходной уже давно просто так не пролезешь, не говоря уже о праздношатании по кабинетам. Не взламываемых систем нет, по этому ит-системы с действительно серьезными и ценными данными подключения к инету не имеют, еще со времен 61-го постановления Гостехкомиссии. И это так. Строят 2 сети. Одна в инете, другая изолированная. Дорого, но,... увы. РД Гостехкомиссии/ФСТЭК - это дооооо.... Перлов там имеется. Но несмотря на это, РД (методология) по сертификации там отработана не плохо и спецы уровня, типа Митника для сертификации объектов информатизации не нужны. Да их столько и нету. Выручает именно методология. Ремонтируя сложнейший, скажем, тирьямпапатор, ремонтник все делает по методике (инструкции) - померяй это, если показало 1, сделай 2 притопа, если показало 2, сделай 3 прихлопа. И ремонтник чинит, не являясь генеральным разработчиком тирьямпапатора. А сертификация ПО на соответствие серьезным требованиям требует исполнения не менее серьезных условий ФСТЭК. Из зарубежного ПО мне известен только один случай такой сертификации (делала контора, контора, стоит в начале Дмитровского шоссе, кто в танке, знает). Остальные, того же мастдая, туфта для домохозяйств. Именно по этому и вынуждены делать изолированные сети. Я немного в танке, со времен Вирковского еще.
И еще о двух сторонах ИБ. С одной стороны, если у вас паранойя, то это не значит, что за вами не следят. А с другой стороны вспоминается легендарный неуловимый Джо. Оценивать риски нужно адекватно, но таки лучше немного перебдеть, чем... восстанавливать аккаунт в любимой мордокниге или оплачивать кому-то трафик. Особливо это касается персональных данных. Приходилось участвовать в экспертизе по иску на кредит по подложным паспортным данным. А то взяли некоторые привычку, показываешь паспорт, а они сразу в копир его суют.
Доходчиво и в целом не опровергает.
Я немного поясню и свой интерес . Все мы тут так или иначе обитаем в условиях так называемой информационной войны и чуть ли не постоянных обвинениях той или иной стороны в хакерских атаках, утечках данных. От индивидуальных , до партийных. Китай вообще украл у Америки все. Хотелось бы на этом фоне как- то осветить эту тему изнутри, с точки зрения тех, кто эти утечки если не организует, то хотя бы пытается предотвратить. Хотя медаль, как мы уже понимаем одна, и против этого точно никто не возразил.
В общем всем спасибо за понимание.
С ФСТЭК не сталкивался. А с Гостехкомиссией знаком года с 84. Но как я понял, функции ФСТЭК намного уже, чем у Гостехкомиссии?
А в общем то направление так и осталось бесхозным. Как в СССР никто не хотел заниматься этими вопросами так и сегодня Что впрочем говорит о сложности и масштабе задач
Гостехкомиссия уже не существует. ФСТЭК правопреемница Гостехкомиссии, даже находится там же, Курский вокзал. Направление не бесхозное. Особливо по гостайне, а в последнее время и по ПД. Более того, в Минобороны, не говоря уж об ФСБ есть свои ведомственные подразделения - аналоги ФСТЭК. И сертификаты этих организаций даже, как бы, взаимозаменяемы с ФСТЭК в некоторых случаях. Обратное не всегда верно, есть ведомственная специфика. И ФСТЭК нормально занимается. Не без некоторой, скажем, нечеткости, но где ее нет, тем более в таком сложнейшем вопросе, как ИБ.
Немного уточню. А я не собирался и не собираюсь чего-то там опровергать и дискутировать. Я просто констатировал факты.
экспертный анализ уровня защищенности организаций в регионах России https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Regional-Inf...
Страницы