16+

Безопасность в опасности

Главный по утечкамМы получаем рекламу вроде «Вы выиграли «Мерседес»!, потому что наши контакты украдены магазинами и фирмами-мошенниками. Как это происходит, для многих загадка. А фраза «информационная безопасность персональных данных» все меньше соотносится с реальностью.

По мнению доцента кафедры информатики и защиты информации ВлГУ Юрия Монахова, есть еще одна надвигающаяся беда – незащищенность государственных сайтов, особенно региональных: администраций городов, сайтов учебных заведений, госорганов. Они могут быть взломаны, как только конфиденциальная информация на них кому-то понадобится.

Воруют свои

Кафедра ИЗИ ВлГУ – единственная в области, где готовят специалистов-«безопасников» информации, поэтому именно ее преподаватели могут дать независимую оценку защищенности данных как государства, так и его граждан. На счету Юрия Монахова около полусотни научных публикаций по данной тематике.

– Юрий Михайлович, расскажите, как наши телефонные номера попадают в руки тех, кому их знать не положено?

– Легче всего продемонстрировать это на коммерческих информационных системах (далее – ИС). Знаете, есть клиентские базы с персональными данными. Если в том же косметическом магазине вы согласитесь получить дисконтную карту, вы отдаете информацию о себе этому магазину.

Сайт – это только 10% информационной системы, он лишь показывает информацию. Кроме него, ИС состоит из базы данных, где хранится все содержимое, и системы управления базой данных. Из этих сегментов и воруются данные.

Существует черный рынок телефонных номеров. Слить из базы данных 10000 номеров какой-нибудь фирмочке за 15000 рублей – не проблема. В 80% случаев это делают сотрудники фирмы. Покупатель отправляет рекламу на все номера, откликаются обычно 5-7%, а это 500-700 потенциальных потребителей.

А кто следит за тем, чтобы эти данные не украли?

– Конечно, магазин должен соблюдать закон о защите персональных данных. За этим следит Роскомнадзор, чьи сотрудники приходят, проверяют все, находят нарушения, штрафуют. Но штраф маленький, легче заплатить, чем менять что-то в системе безопасности.

Получается, к раскрытию данных причастны свои сотрудники. Как это отследить?

– Этому у нас учат 5 лет. Если есть необходимость, можно расследовать, как произошла утечка. Сомневаюсь, правда, что у магазина, слившего данные дисконтных карт, есть свои сотрудники по информационной безопасности, гораздо легче нанять извне. Да и проблема в другом: понимаете, когда происходят утечки, защищать уже поздно. Не нужно ждать, пока дом рухнет, чтобы понять, что он не так построен. Критерии безопасности должны быть обозначены в договоре между поставщиком ИС и ее заказчиком.

–    Что за критерии?

–    К примеру, целостность: насколько сохранны данные, можно ли их восстановить при сбоях… Из-за того что критерии безопасности не обозначаются в договорах, страдают не только частные структуры, но и государственные информационные системы – те прямо-таки зияют уязвимостями для атак. И опять же вопрос кадров. На госслужбу попадает мало специалистов, знающих информационные системы, никто не хочет работать за такие скромные деньги с девяти до пяти. В психологии это называется «эффект Даннинга-Крюгера», когда человек с низкой квалификацией завышает оценку своих знаний, не догадываясь о собственной некомпетентности.

Утечка в Новокоровинске

–    Говоря о низкой квалификации, на что вы опираетесь?

–    Я из числа первых выпускников кафедры. Закончил и сразу стал преподавать, не хватало здесь людей. Знаю, где работают наши выпускники. А если у человека нет диплома, то это дилетант или профан.

–    А давайте представим себе какой-нибудь условный районный городишко Новокоровинск. Почему его информационная система может быть не защищена?

–    Хорошо. Вот администрация Новокоровинска решила внедрить ИС. На сайте должна быть, скажем, система обращений к мэрии для граждан. Их действия регистрируются в системе управления базой данных (СУБД). Она также хранит персональные данные пользователей. Доступ к данным, хранящимся в СУБД, должен быть разграничен. Додумалась ли до этого новокоровинская администрация – вопрос. Если нет, то и поставщик ИС не сделает ее безопасной. Сейчас информацию с государственных сайтов не воруют не потому, что так все хорошо защищено. Это как с неуловимым Джо – его никто не ловит, потому что он никому не нужен. Как только незащищенные данные будут иметь ценность на черном рынке, они моментально утекут в руки злоумышленника.

–    В таком случае должен быть какой-то стандарт для каждого госсайта, чтобы все было одинаково защищено?

–    Стандарт есть, но на деле воплотить его невозможно. Он оговаривает только наиболее общие моменты. Чтобы его применить, нужен целый отдел контроля качества: нужно «кормить» этих людей, содержать. А кто это потянет при ограниченном бюджете? У Новокоровинска таких денег, скорее всего, нет.

Разница – в менталитете

–    Неужели все так плохо?

–    Некоторые организации все-таки пользуются специалистами по информационной безопасности. Причем не таких, кто занимался гостайной, не силовиков, компенсирующих некомпетентность командным голосом, не контрразведчиков, а специалистов, имеющих широкое представление о современных информационных системах.

–    А что, по-вашему, нужно сделать, чтобы устранить проблему незащищенности государственных ИС? Может, коллегию создать?

–    Создавать лишнюю государственную структуру – значит, делать очередной фильтр, который будет просто заниматься протекцией каких-то людей и освоением бюджета. Выход только в том, чтобы привлекать профессионалов, к примеру, наших выпускников – делать ставку на квалифицированных и некоррумпированных.

–    А эти проблемы типичны только для России?

–    Нет, почему. В разных странах по-разному. Отрасль эта новая. Нельзя сказать, что кто-то нас сильно обошел или сильно от нас отстал. Наоборот, у нас есть такая компания по антивирусным программам, как «Касперский», – даже в Европе мало кто может такой похвастать. Есть компания, специализирующаяся на информационной безопасности, -Positive Technologies. И другие. Но на Западе люди стремятся установить всякий новый стандарт безопасности, а в России хотят как можно больше заработать, в том числе и на некомпетентности заказчиков. Такой вот… дикий капитализм.

Через кого уходит информация:

33% – менеджеры

21% – финансовая служба

18% – руководители подразделений

4% – секретари

11%- другие

По данным компании Searchln Form, 2013 г.

В тему:

Блокада для пиратов

С 1 мая 2015 года Роскомнадзор начнет блокировать сайты с пиратской продукцией.

Ранее в СМИ появилась информация, что в черные списки интернет-ресурсы начнут попадать уже с 1 декабря. Но, как пояснили в надзорном ведомстве, закон, расширяющий сферу действия антипиратского законодательства, вступает в силу 1 мая 2015 года и именно с этого момента Роскомнадзор начнет активные действия.

Закон № 364-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Гражданский процессуальный кодекс РФ» позволил ограничить доступ к ресурсам с пиратской музыкой, книгами и программами. До этого антипиратское законодательство распространялось исключительно на фильмы и сериалы.

За повторные нарушения сайты будут заблокированы бессрочно. Такая мера будет предприниматься, если владелец авторских прав дважды выиграет суд против одного и того же ресурса.

Банки отбиваются от атак

Центробанк РФ хочет создать специальную структуру, отвечающую за координацию борьбы банков с киберугрозами.

По сообщениям центральных СМИ, центр будет оперативно получать от банков информацию о выявленных мошенничествах и киберугрозах. Еще одной задачей центра станет подготовка рекомендаций по отражению хакерских атак и попыток мошенничества. Участие банков в работе центра будет добровольным. В настоящий момент ЦБ собирает с банков информацию о кибератаках в режиме отчетности. Ежемесячно предоставлять регулятору сведения о выявленных инцидентах при переводе денежных средств, в частности кражах (в том числе несостоявшихся), банки должны с лета 2012 года.

 

ЦИФРА

193 тысячи несанкционированных списаний со счетов российских банков выявлено в первой половине 2014 года

Просмотры:

Обсуждение

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *