Угрозы для корпоративных систем
Бизнес современного предприятия зависит от различных информационных систем, обеспечивающих его жизнедеятельность. Нарушение функционирования любой из них может нанести значительный ущерб, вплоть до банкротства компании. Парализовать ее работу могут различного рода атаки извне. Успешные атаки на определенную информационную систему или инфраструктуру ИТ, нарушающие их функционирование, можно условно подразделить на две категории. К первой относят атаки типа «отказ в обслуживании». Ко второй — взломы, т.е. несанкционированный доступ к данным для их получения, удаления или изменения. Правда, для реализации и тех, и других атак часто используются вполне универсальные средства, имеющие «двойной» эффект — они могут и «похитить» данные, и парализовать работу предприятия. К таким средствам относятся вирусы, черви, троянцы, шпионское и рекламное ПО и т.п.
Вирусы — наиболее старая и классическая угроза, существующая уже почти 30 лет. В 
настоящий момент «чистые» вирусы редко встречаются «в природе», обычно они являются составной частью более «продвинутого» вредоносного программного обеспечения (иногда по привычке называемого «вирусом») Примерами такого ПО могут быть черви и троянцы, составляющие одну из основных угроз корпоративным сетям.
По данным экспертов ежедневно обнаруживается 10-15 новых червей — вредоносных программ. Правда, часть из них является модификацией уже известных червей, создаваемых с целью остаться незамеченным для антивирусов в течение первых часов после начала распространения. Ситуация усугубляется еще и тем, что в Интернете можно найти исходные коды практически любой вредоносной программы, начиная от бутовых вирусов-анахронизмов до самых современных червей, заражающих мобильные телефоны.
При этом если первое поколение червей распространялось в основном через электронную почту, одноранговые сети и интернет-пейджеры, то сейчас основной канал проникновения и дальнейшего распространения — дыры в программном обеспечении, число которых неуклонно растет. Ежедневно обнаруживается по 10-11 уязвимостей. Проявления этих вредоносных программ носят совершенно разный характер: от проигрыша музыкальных мелодий и синтезации речи до рассылки сообщений в чаты и демонстрации картинок фривольного содержания. Есть и более интересные варианты, например, удаление «чужих» червей. Такие «инциденты» наблюдались, например, во время войны между авторами червей Bagle и Netsky.
Однако есть и более серьезные последствия деятельности червей, которые наносят реальный ущерб деятельности компаний. Уже зафиксированы случаи нарушения работоспособности систем управления авиаполетами и даже электростанциями. Что же касается бизнеса, то известны случаи нарушения работы банкоматов и других корпоративных приложений. По оценкам экспертов, эпидемии вредоносных программ очень сильно мешают малому бизнесу, который не всегда имеет достаточно ресурсов для собственной защиты. В частности, в 2004 году в Западной Европе 22% малых предприятий (до 20 сотрудников) прекратили свою деятельность по причине вирусных атак, а общий ущерб от них составил 22 миллиарда евро.
Парадокс в том, что до сих пор существует непонимание всей опасности вредоносных программ. По статистике NCSA, 30% американцев уверены в том, что вероятность заражения вредоносной программой гораздо ниже, чем погибнуть от удара молнии, подвергнуться проверке налоговой службы или выиграть миллион долларов. Однако реальность намного отличается от фантазий — ежегодно вирусным атакам подвергается 7 компьютеров из 10.
Основное отличие троянцев от червей — отсутствие механизма распространения, что, однако, не делает их менее опасными. Если черви в основной своей массе просто распространяются через Интернет, нанося ущерб, в том числе и за счет захламления каналов связи, то троянцы выполняют немного иную задачу — проникают на узел с целью открытия на нем скрытых каналов утечки информации. Например, троянец Mitglieder незаметно устанавливался на компьютер-жертву и служил станцией для приема-пересылки спама. Число таких зараженных машин может измеряться тысячами, что приводит к созданию армии ЭВМ-зомби. Другой целью внедрения может служить создание промежуточной площадки для дальнейших атак.
Троянские программы в зависимости от решаемых ими задач могут быть реализованы по-разному — от простой пересылки на указанный адрес электронной почты всей введенной пользователем информации до возможности выполнения команд, дистанционно получаемых от владельца троянца. В отдельную категорию можно выделить класс программ, которые сами по себе не являются вредоносными, но при этом облегчают установку троянцев за счет загрузки из сети интернет. Этот тип ПО тоже достаточно опасен, так как может использоваться для загрузки любой вредоносной программы, а не только отдельных версий троянских коней.
Очень похожим на троянцев является другой тип угроз — шпионское и рекламное ПО. Это программное обеспечение предназначено для слежения за действиями пользователя на его компьютере и пересылке собранной информации в «нечистые руки», которые могут использовать эти данные для фокусирования своей рекламы и других несанкционированных действий.
По статистике America Online (AOL), шпионское ПО установлено на 80% компьютеров пользователей. У кого-то число различных агентов-шпионов исчисляется сотнями, у кого-то «всего лишь» десятками. Со временем эксперты предсказывают этому классу угроз популярность даже большую, чем у спама.
Отдельной категорий шпионского программного обеспечения (spyware) является рекламное ПО (adware), которое является причиной ни с того, ни с сего появляющихся на экране «окошек» с надоедливой рекламой и т.д. Оно же перенаправляет ничего не подозревающих пользователей на сайты рекламодателей, рекламные площадки и другие платные ресурсы (эксперты даже выделяют отдельный тип adware — pornware, название которого говорит само за себя). Не редки случаи смены телефонного номера для коммутируемого (Dialup) соединения, что приводит к звонкам на номера, после которых на адрес пользователя приходят счета от телефонной компании на астрономические суммы.
DoS-атака («отказ в обслуживании») — одна из основных проблем современного Интернета. Не было еще ни одной компании, которая могла бы справиться с ней в одиночку. В качестве жертв таких атак в последние годы можно назвать Amazon, eBay, Microsoft, SCO. Лавинный поток трафика сметает все на своем пути. Сервера выходят из строя, будучи не в состоянии переварить огромный поток запросов. Каналы передачи данных «забиваются» паразитным трафиком «под завязку».
Процессоры инфраструктурного сетевого оборудования не успевают обработать весь идущий по сети поток данных. При этом жизнь была бы немного легче, если бы такие атаки происходили случайно или хотя бы не влекли за собой серьезного ущерба. Однако сейчас атака «отказ в обслуживании» — это просто одна из услуг, которую можно заказать в Интернете за сравнительно небольшие деньги. Стоимость такой «услуги» может составлять несколько сотен долларов, а ущерб оказывается огромным. Уже встречаются даже случаи шантажа подобными атаками.
Что характерно, шантажированные платили, опасаясь серьезных потерь для своего бизнеса, а ряд несговорчивых бизнесменов действительно были атакованы подобным образом.
Подмена главной страницы сайта — виртуальное граффити прочно прописалось в Интернете. «Здесь был Вася»—самое безобидное, что может появиться на главной странице взломанного сайта. Не нанося прямого финансового ущерба, такие действия могут повредить репутации взломанной компании, отпугнуть существующих или потенциальных клиентов и привлечь мириады других хакеров, которые попытаются повторить опыт первопроходцев.
Самое интересное, что данной угрозе подвержена абсолютна любая компания, будь то общественное движение или частное лицо.
Недавно в Россию приезжал Кевин Митник — известный в свое время хакер, ломавший всех и вся, а после отсидевший за свои преступления в американской тюрьме. Митник стал известен благодаря своим талантам инженера человеческих душ, выпытавшего под разными предлогами у доверчивых американцев пароли и другие секреты доступа в корпоративные сети.
Еще сидя в тюрьме Митник написал книгу «Искусство обмана», которая сразу же стала бестселлером. И хотя техника обмана меняется от страны к стране и должна учитывать различные культурные и национальные особенности, она является одним из основных инструментов в руках квалифицированного злоумышленника. Просьба назвать свой пароль в письме от интернет-провайдера или во время звонка от системного администратора — это типичные примеры социального инжиниринга.
О спаме много говорят в последнее время, принимают запретительные законы, наказывают спамеров и т.д. Однако, отмечает эксперт Алексей Лукацкий, эта угроза неискоренима, как и неискоренима телевизионная реклама, имеющая ту же природу. Пока спам приносит организаторам немалые барыши, он будет распространяться. Да и конечному пользователю он не причиняет такого уж неудобства, как об этом постоянно твердят. Даже сотня рекламных сообщений, получаемых ежедневно, отнимает в совокупности лишь пару минут на их удаление. Хотя один из побочных эффектов спама — это либо удаление «правильных» писем с неудачной темой сообщения пользователем, или неправильно настроенные фильтры спама, которые мешают прохождению вообще всех информационных рассылок, в том числе и необходимых.
Однако есть еще одна проблема. Учитывая «военные» действия между операторами связи и авторами спаморассылок, последние никогда не совершают свои действия с личных адресов и собственных компьютеров. Обычно для этой цели используются заранее взломанные машины, на которых установлены троянские программы. Также в прайс-листе многих злоумышленников можно найти пункт об аренде сети взломанных машин для рассылки спама (это миллионы сообщений). Стоимость такой аренды — 50-100 долларов в час. И «заказать спам»—тоже всего лишь одна из услуг современного интернета, доступных в настоящий момент любому.
Если вы пользователь интернет-банка или интернет-магазина, есть риск стать жертвой фишинга — новой угрозы, наносящий миллиардный ущерб. Суть ее проста — вы получаете письмо, в котором ваш банк просит вас перерегистрироваться на их сайте, либо интернет-магазин уведомляет о завершении срока действия вашего пароля. Вы не подозревая, что банки так никогда не делают (они используют телефонный звонок, а не незащищенную электронную почту), заходите по ссылке, любезно посланной вам банком и вводите всю нужную информацию. Однако в реальности все иначе.
Вы попадаете на фальшивый сайт (в прошлом году их было более 2000), и ваши персональные данные получают злоумышленники. В прошлом году 57 миллионов человек подверглось фишинговым атакам, а среднее время жизни подставного сайта составило 6 дней. В последнее время атаки стали изощреннее — вы не просто получаете письмо с ссылкой, похожей на настоящую. В письме показывается настоящая ссылка, а сфальсифицированный адрес скрывается в коде письма. Другой пример — установка троянского коня, который переадресует все запросы на подставной сайт.
Итак, у злоумышленников сегодня есть огромное количество способов «вынести» всю важную конфиденциальную информацию с вашего компьютера. Каналов утечки множество: CDR, COM- и USB-порты, инфракрасный порт, Bluetooth, WiFi, встроенный модем, сетевая карта и слот для PCMCIA. При этом мы не учитываем монитор, кабели и т.п. с которых тоже можно удаленно считывать информацию. Если сюда добавить еще и прикладные каналы утечки информации, например, шпионское ПО, одноранговые сети, интернет-пейджеры и т.п., то можно представить, с какими сложностями сталкиваются специалисты по защите информации, вынужденные блокировать все эти пути.
Как выжить нам и нашим предприятиям в этом непростом мире? Не вдаваясь в долгие обсуждения, надо отметить, что современные методы управления непрерывным (т.е. бесконечным) процессом под названием «обеспечение информационной безопасности» позволяют использовать свое время на чтение статей о современных угрозах информационным системам, а не на поиск работы по причине банкротства предприятия, не обращавшего на них внимания. Михаил Кадер
Полмиллиарда долларов убытка
2004 год надолго останется в памяти пользователей Интернета: десятки вирусных эпидемий, переполненные от спама электронные ящики и тысячи ограбленных владельцев кредитных карт. По данным агентства mi2g суммарный ущерб от всех видов компьютерных угроз и преступлений составил более $500 млрд. В этом году, предполагают, что ущерб может превысить триллион долларов.
Прошлый год ознаменовался криминализацией Интернета, которая приобрела массовый характер. Денежная мотивация стала основополагающей в действиях злоумышленников. Минувший год войдет в историю Интернета также как год фишинга – подставных сайтов, несмотря на то, что ущерб от него оказался значительно меньше, чем от других видов угроз. Данный вид мошенничества серьезно заявил о себе только в 2004 г., и сегодня именно он вызывает наибольшие опасения у экспертов. На протяжении всего года наблюдалось стремительное увеличение количество попыток фишинга. По статистике Symantec, в середине 2004 года их фильтрами блокировалось в неделю до 9 млн. писем, содержащих фишинговую информацию, тогда как к декабрю это число увеличилось до 33 млн. посланий.
Статистика MessageLabs дает еще более впечатляющие цифры—десятикратное увеличение попыток увода конфиденциальной информации. По данным APWG
(Antiphishing Working Group), за второе полугодие 2004 г. количество подставных сайтов, с помощью которых мошенники «выуживают» номера кредитных карт пользователей, увеличилось вчетверо и превысило 2500, а количество атак с февраля по декабрь возросло в 30 раз. Это при том, что в начале года число таких сайтов не превышало нескольких сотен, а сам фишинг никто не рассматривал как серьезную компьютерную угрозу.
Фишинг—наиболее яркий пример, отражающий процесс криминализации, и, к сожалению, не единственный. Многие злоумышленники, у которых раньше не было материальной заинтересованности, воодушевились феноменальным успехом «фишеров» и сменили направление своей «деятельности». Можно сказать, что фишинг стал своего рода локомотивом, потянувшим за собой остальных злоумышленников. Эта тенденция явно прослеживается на фоне эволюции вирусов, наблюдавшейся в течение всего прошедшего года.
В 2004 году Symantec обнаружил 11900 новых вирусов, что более чем в 4 раза превышает показатели 2003 г. Большую тревогу у экспертов вызывает изменение вредоносного кода, имеющее криминальный подтекст. Symantec, в частности, отмечает постоянный рост количества троянских программ в почтовом трафике. Во втором полугодии среди пятидесяти наиболее распространенных образцов вредоносного кода, программы с троянскими функциями составляли 54%, тогда как в конце 2003 г.— только 36%. В результате значительно возросло количество компьютеров-«зомби», а также число украденных номеров кредитных карт, паролей и другой конфиденциальной информации. Динамика роста шпионских программ и «троянов» наблюдается и в нынешнем году. По данным Panda Software во 2-м квартале текущего года вредоносный код этого типа наиболее часто встречался в почтовом трафике.
Данная тенденция имеет еще одно неприятное последствие. Возросшее число троянских программ косвенно влияет на увеличение количества спама в почтовом трафике. В прошедшем году доля спама в общемировом объеме электронной почты составила около 80%. В настоящий момент большая часть спама рассылается компьютерами-зомби, захват которых производится непосредственно при помощи таких программ. По данным специалистов Symantec, на протяжении второй половины 2004 г. наблюдалось уменьшение количества бот-сетей, однако предполагается, что в будущем их количество будет расти в связи с развитием различный средств получения новых ботов. Правда, по данным MessageLabs, с началом 2005 г. наметилась тенденция уменьшения количества спама в почтовом трафике, которая наблюдается и сегодня—за семь месяцев количество спама уменьшилось с 83% до 67%.
Еще одни пример изменения мотивации компьютерных злоумышленников—статистика атак хакеров на организации различных секторов экономики. За прошедший год количество атак на финансовый сектор увеличилось в 6 раз, тогда как организации нефинансового сектора стали реже подвергаться компьютерным нападениям. Надо отметить, что традиционно наиболее атакуемыми являются компании в сфере электронной торговли. В первом полугодии 2004 г. на сектор e-commerce приходилось около 16% всех атак.
Специалисты отмечают сплочение киберпеступников. Все чаще уязвимости операционных систем и программных приложений, используемые для атаки на информационные ресурсы организаций, ищутся преступниками целенаправленно. Кроме того, эксперты отмечают сокращение времени между первым упоминанием об уязвимости и появлением вредоносного кода.
В России не ведется подсчета ущерба, который наносят экономике киберпреступления. Единственным источником информации является так называемый отдел «К» МВД РФ, занимающийся расследованием преступлений в Сети. Судить о масштабах компьютерных угроз в нашей стране можно только по официальным данным, предоставляемым МВД, согласно которым в 2004 г. в России замедлился рост количества киберпреступлений. Однако наряду с замедление темпов нарушений в ИТ-сфере, представители МВД отмечают повышение их сложности и увеличение наносимого ущерба.
Можно предположить, что на самом деле количество таких преступлений значительно выше, поскольку данные МВД в большей части основаны на случаях, о которых было заявлено потерпевшими. Как известно, многие предпочитают замалчивать такие инциденты, разбираясь с ними самостоятельно. Либо просто их не замечают. Серьезного мониторинга, проводимого на Западе Symantec, в нашей стране пока не существует.
В первом полугодии 2005 г., вроде бы, не наблюдалось крупных вирусных эпидемий. Однако в отношении масштабов вирусных угроз в нынешнем году, компании, мониторющие трафик, расходятся во мнениях.
Так, по данным антивирусного разработчика Eset, доля инфицированных писем в почтовом трафике уменьшилась за период с января по июль с 9% до 4,6%. Динамику уменьшения числа вирусов в почтовом трафике отмечает также Panda Software. В то же время, статистика MessageLabs говорит об увеличении числа инфицированных писем: на конец июля каждое 28 письмо содержало вирус, против каждого 50 в начале года. Несмотря на расхождение данных, в среднем считается, что степень инфицирования остается на уровне прошлого года. Очевидно, оснований говорить о сколь-либо существенном снижении вирусной угрозы пока нет.
Однако ущерб, наносимый вирусами, может быть перекрыт за счет высокого уровня угроз в целом, а также стремительно растущей популярности фишинга, шпионского ПО и методов социальной инженерии, используемых злоумышленниками. По предварительным оценкам mi2g, на начало года ущерб от фишинга превышал возможные последствия всех других угроз.
По мнению специалистов, вообще в текущем году не стоит ожидать меньших размеров ущерба от компьютерных рисков. С ростом значимости ИТ для бизнеса, по мнению экспертов Eset, растет и размер ущерба. Если раньше некая угроза наносила вреда на $1, то сегодня этот ущерб составляет уже $3. Невнимание к вопросам защиты информации со стороны компаний приводит, в конечном итоге, к многомиллиардным издержкам.
Илья Разумов
«Черные» хакеры
Термином «хакер» называют разных специалистов. Применительно к компьютерам, он используется в двух основных значениях, положительном и отрицательном. В первом случае речь идет о блестящих программистах и технических экспертах, и, в общем, это верное толкование слова. Однако, за последние десятилетия термин «хакер» начал больше ассоциироваться с компьютерными злоумышленниками и криминальными элементами.
«Хакинг» подразумевает наличие профессиональных навыков, которые могут быть использованы во благо и во зло. Аналогичное сравнение можно провести со слесарем, который вскрывает замки—как в злонамеренных, так и в безобидных целях. Сегодня сообщество хакеров делится на две основные категории: “носящих” белые и черные шляпы.
Хакеры «в белых шляпах» — это фанаты изучения и работы с компьютерными системами, глубоко разбирающиеся в предмете. Они интересуются коммерцией, решением сложных вопросов, а зачастую просто одержимы компьютерами, при этом, как правило, используют свои навыки в рамках закона. Типичный пример — специалисты, изучающие степень защиты системы, разрабатывающие и внедряющие инструменты защиты и работающие в качестве сотрудников отделов информационной безопасности, либо консультантов. Хакеры же «в черных шляпах»—представители того класса вандалов, которых так любят изображать в статьях и фильмах Социальные отщепенцы, несущие хаос и разрушение, они ищут уязвимости систем и осуществляют атаки на сети.
В реальности, между этими двумя категориями хакеров есть как много сходств, так и различий. Не все действия тех, кто «в белых шляпах», абсолютно легальны, а «черношляпников» — наоборот, незаконны. Все зависит от мотивов, движущих этими людьми. Первоначально это могли быть любопытство, шпионаж, интеллектуальный вызов или финансовая нажива.
Сообщество хакеров «в черных шляпах» делится на несколько категорий: хакеры (известные также как кракеры и взломщики систем) — это люди, которые пытаются взломать защиту системы на удаленных компьютерах; фриксы (также известные как фрикеры и синие боксеры)—это люди, которые используют в своих целях или получают контроль над телефонными системами; авторы вредоносного кода (malware) — это хакеры, пишущие самовоспроизводящиеся программы в системах без авторизации, которые часто производят вредный побочный эффект; пираты — хакеры, взламывающие защиту от копирования и делающие доступными коммерческие программы;
циферпанки (cypherpunks — криптоанархисты) — хакеры, которые свободно распространяют способы взлома криптозащиты, доступные обычно только суперкомпьютерам.
Сегодняшнее определение хакинга родилось в Массачусетском технологическом институте в 1960-е годы, где хакером назвали разработчика, который устранял ограничения. Это было время, когда была обнародована Unix OS, первая многоплатформенная операционная система.
В начале 1970-х открытие тона 2600Гц, который воспроизводился обычным свистком, позволило фрикерам запросто взломать телефонную (междугороднюю) линию и осуществлять бесплатные звонки. Этот мошеннический трюк стал широко известен, но исправить ситуацию было невозможно, не произведя замену всех телефонных станций. В 1970-х была основана компания Microsoft и был заключен первый контракт на создание операционной системы для ПК, появились первые компьютерные доски объявлений, позволившие фрикерам и хакерам удаленно обмениваться знаниями и опытом; была учреждена рабочая группа InterNetworking Working Group для разработки стандартов работы в сети.
В 1980-х произошло осознание сущности хакинга, в особенности, после выхода фильма “Военные игры” в 1983 году, а также после кражи миллионов долларов из банков и кибершпионажа. В эти годы были предприняты первые серьезные попытки борьбы с хакингом, произведены аресты и осуждения. Под юрисдикцию Секретной службы США перешли кредитные карточки и компьютерное мошенничество. По мере нарастания волны взломов правительственных и корпоративных компьютеров, в 1986 году Конгресс принял Акт, по которому компьютерное мошенничество стало считаться преступлением. Кевин Митник был первым осужденным хакером, который в первый год отсидки тайно контролировал электронную почту отделов безопасности крупных предприятий.
В 1988 году самовоспроизводящийся червь Моррис был запущен в правительственную сеть США ARPAnet (предшественницу интернета) для проверки эффекта на Unix-системах. Он заразил около 6000 компьютеров в сети, выведя из строя правительственные и университетские системы. Самый первый интернет-червь показал, насколько разрушительным может оказаться его воздействие, автор этого червя получил трехлетний условный срок, небывалую известность и заплатил штраф в размере $10000.
В 1990-е появились две программы, которые способствовали развитию хакинга. Значение Microsoft Windows всем ясно и сегодня; хакеры поняли, что любой домашний компьютер стал доступной целью для атак и вывода из строя. Обнародование Linux, с другой стороны, сыграло важную роль в укреплении безопасности, так же, как и появление межсетевых экранов, специального программного обеспечения для борьбы с хакерами и безопасных каналов связи.
По мере того как мир осознавал важность безопасности, начала распространяться информация сообщества хакеров «в белых шляпах», появились первые системы обнаружения вторжения IDS, которые, впрочем, не получили должного распространения.
1990-е годы показали, как просто хакеры могут проникнуть во Всемирную Паутину. Типичные примеры — AOHell, бесплатное приложение, которое позволило группе неопытных новичков нанести ущерб America Online, переполнив почтовые ящики пользователей AOL; проникновение в операционную систему Microsoft Windows NT; атака на компьютеры Пентагона и похищение программного обеспечения; червь Мелисса, который быстро стал самой дорогостоящей эпидемией malware (сокращение от malicious software — вредоносные программы).
И, наконец, был продемонстрирован наиболее изощренный хакинг. Массовая рассылка писем и червей помогла молодым хакерам буквально парализовать мир, в то время как DDoS-атаки, ботнеты и Distributed Cracking (возможность «разнести» перебор пароля по нескольким ПК) превратились в руках хакеров в смертельное оружие против домашних и офисных пользователей. Массовое обрушение веб-сайтов и воровство кредитных карт показали, что частная информация не может больше находиться в безопасности. Рено Биду
Риски и угрозы для финансовых структур
Операционные риски представляют серьезную проблему для финансовых организаций во всем мире. Утечка информации, фальсификация данных, вирусные эпидемии чреваты для банков серьезным ущербом. Могут пострадать как их финансовые показатели, так и имидж. При этом далеко не всегда угрозу следует ждать извне.
По определению, данному в Базельском соглашении о достаточности капитала (т.н. Базель II), операционным считается риск нанесения ущерба в результате неадекватных или ошибочных внутренних процессов, действий персонала и технических систем, а также внешних событий. Необходимо заметить, что само соглашение не описывает операционные риски и не поясняет, как с ними бороться — оно предназначено для вычисления размера покрытия этих рисков капиталом банка. Также Базель II предполагает внедрение в организации эффективной системы управления операционными рисками. Учитывая, что Базельское соглашение, утвержденное летом 2004 года, планируется активно применять и в России, именно исходя из данного в нем определения, мы рассмотрим основные операционные риски современным банкам и другим типам финансовых структур.
Надо отметить очень интересное и важное требование, прописанное в Соглашении. Совет директоров и менеджмент банка должны осуществлять надзор за механизмом управления операционными рисками. В том числе, им должна регулярно предоставляться отчетность о текущих рисках и суммах ущерба. Это требование вступает в разрез с отечественной практикой, согласно которой, руководители предприятий не желают заниматься вопросами сбоев в информационных системах, низка квалификация персонала и существуют другие «мелкие» проблемы, приводящие к большим потерям. Остается надеяться, что активное внедрение Базель II в России позволит изменить мнение многих руководителей в лучшую сторону.
Операционные риски можно условно разделить на несколько подвидов. Во-первых, риск утечки или разрушения необходимых для бизнес-процессов информационных активов. Умышленное или случайное удаление каких-либо файлов автоматизированной банковской системы (АБС) может привести к невозможности выполнения принятых на себя обязательств и нанесению ущерба своим клиентам.
Во-вторых, риск использования в деятельности финансовой структуры необъективных или сфальсифицированных информационных активов. Самый простой пример данного риска — фальсификация платежного поручения. Более сложными вариантами являются подмена одного из участников финансовой транзакции или повтор ранее переданной платежки.
В-третьих, риск отсутствия у руководства финансовой организации объективной и актуальной информации. Это особенно ярко проявляется в атаках «отказ в обслуживании», которые приводят к отказу и простою отдельных компонентов АБС.
В-четвертых, риск распространения невыгодной или опасной для финансовой структуры информации. Этот риск имеет достаточно много проявлений — от слухов, компромата и клеветы до утечки из банка каких-либо документов, попадание которых в СМИ может привести к ущербу для банка. В эту же категорию можно отнести и вирусную эпидемию, вырвавшуюся за пределы корпоративной сети финансовой организации и повлекшую за собой удар по ее репутации, а возможно и заведение уголовного дела по статье 273 УК РФ.
Разумеется, данные риски применимы не только по отношению к основным бизнес-процессам финансового института, но и к второстепенным процедурам, например таким, как подмена главной страницы Web-сервера банка или атака на заражение персонального компьютера центра обработки вызовов.
К главным причинам возникновения операционных рисков можно отнести: недостаточную квалификацию персонала финансовой организации и отсутствие регулярных тренингов и обучения. «Человеческий фактор» по-прежнему является основой бедой российского бизнеса, т.к. большинство сотрудников отечественных компаний не обучены грамотному применению информационных технологий и их знания не распространяются дальше «владею Microsoft Word, Internet Explorer и ICQ»;
непонимание важности информационной безопасности и недооценка существующих угроз. Отсутствие поддержки со стороны руководства приводит к ослаблению системы управления рисками, нехватке финансирования и выполнению действий и мероприятий по повышению уровня защищенности, «спустя рукава»;
отсутствие или недостаточная проработка процедур управления рисками и в том числе политики безопасности. Отсутствие плана действий в случае наступления того или иного риска приводит к нерациональному, а зачастую и вообще отсутствию решения возникшей ситуации;
отсутствие эшелонированной системы защиты информационных активов финансовой организации от всех перечисленных выше угроз. Безопасность компании равна безопасности самого слабого звена. Злоумышленнику достаточно найти всего одно «слабое звено» в системе управления рисками, и он сможет причинить ущерб банку, страховой компании или иному финансовому институту;
наличие уязвимостей на различных уровнях инфраструктуры АБС. Выбрасывание на рынок «сырого» программного обеспечения приводит к обнаружению в нем большого числа дыр и уязвимостей, которыми пользуются злоумышленники для совершения своих «черных дел».
Последствия от перечисленных выше операционных рисков могут быть самыми разными — внутреннее и внешнее мошенничество, умышленные, либо случайные (ввиду низкой квалификации) ошибки персонала, сбои банковских систем, нарушение процессов обработки и хранения данных и т.д. Все эти последствия приводят к прямому финансовому или косвенному ущербу.
Последние примеры (утечка данных из Центрального банка, MasterCard и др.) показали, что проблема ущербов финансовых структур давно вышла за пределы детективов и голливудских боевиков, став реальностью наших дней. Несмотря на «молодость» многих операционных рисков, они причиняют уже не только головную боль сотрудникам служб безопасности, но и серьезный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions» (The World Bank, June 2002) приведены следующие примерные суммы потерь от атак «отказ в обслуживании» для различных типов финансовых структур: брокерская компания — 6,5 млн. долл. в час; процессинговый центр — 2,6 млн. долл. в час; банкомат — 14,5 тыс. долл. в час;
онлайн-аукцион — 70 тыс. долл. в час.
Отойдя от сухой статистики, можно вспомнить и некоторые курьезные случаи. Начиная с 1997 года и до начала 2002 года, один из западных валютных трейдеров «играл» на нескольких трейдинговых площадках, необоснованно подтасовывая различные данные в информационных системах. В результате его противоправной деятельности ущерб составил около 600 миллионов долларов. Другой пример—логическая бомба, установленная одним из сотрудников международной финансовой корпорации, привела к удалению в компьютерной системе 10 миллиардов файлов. Это произошло в марте 2002 года и повлекло за собой трехмиллионный ущерб, затронувший свыше 1300 компаний, обслуживаемых в данной системе. Однако гораздо более серьезным оказалось снижение доверия к данной финансовой корпорации и отказ некоторых клиентов от ее услуг.
Собственно, помимо прямых финансовых потерь, всегда надо помнить и о косвенном ущербе. Он может заключаться в отзыве лицензии на оказание тех или иных банковских услуг, снижении рейтинга, оттоке клиентуры (в том числе и к конкурентам), искам со стороны пострадавших клиентов и т.п.
Формально источники операционных рисков могут быть как внутренними, так и внешними. Однако сегодня основную угрозу видят исходящей именно изнутри финансовой организации. В 2004 году Национальный центр оценки угроз секретной службы США (National Threats Assessment Center, NTAC) и координационный центр CERT при Университете Карнеги-Меллона провели исследование множества внутренних инцидентов в различных финансовых структурах.
Данный отчет обнаружил ряд очень интересных фактов. Так, например, большинство инцидентов совершается людьми с очень низкой технической квалификацией. Как правило, они используют не технические уязвимости, а пробелы в политике организации информационной безопасности.
В 87% случаев злоумышленники использовали разрешенные команды и программы. В 70%—слабости в приложениях, а в 61%—дыры в сетевом оборудовании, системном ПО или аппаратуре. В 78% случаях нарушители имели учетные записи в атакуемой системе, а в 43% случаев даже действовали открыто — под своими именами. Только в 26% инцидентов была зафиксирована маскировка под других пользователей. Только 23% обнаруженных нарушителей находились на технических должностях, 17% из них имели права администратора. 39% не подозревали о реализуемых в организации мерах по информационной безопасности.
Большая часть всех инцидентов (81%) планировалась заранее. Причем в 85% этих случаев информация о планируемом преступлении была известна третьим лицам (коллегам, друзьям, членам семьи и т.д.). Основной мотив совершения преступления — жажда наживы (81%). 27% злоумышленников на момент совершения преступления имели серьезные финансовые трудности. В 23% случаев основным мотивом была месть, в 15%—недовольство руководством и порядками в компании. Помимо финансовой выгоды, были и другие цели. 27% хотели саботировать бизнес-процессы в компании, а 19% совершили кражу конфиденциальной информации.
Возраст внутренних злоумышленников находится в разбросе от 18 до 59 лет. Причем 42% из них — женщины (несмотря на это, миф о том, что все хакеры — мужчины, очень живуч). 54% злоумышленников не женаты/не замужем.
В 61% инцидентов преступления были обнаружены людьми, не отвечающими за безопасность (коллегами, клиентами и т.п.). И также в 61% случаев обнаружение было неавтоматизированным. Процедуры аудита и мониторинга помогли в 22%. Журналы регистрации помогли идентифицировать источник преступления в 74% случаев.
Финансовый ущерб наступил практически во всех зафиксированных случаях — его размер варьировался от 168 долларов США до 691 миллиона. 83% всех инцидентов происходили изнутри атакованной организации и в 70%—в рабочее время. В 30% случаев доступ осуществлялся из дома нарушителя. Число атак никак не зависело от размера организации. Например, число преступлений в банках с 100 и с 10000 сотрудниками было одинаковым.
Что делать? Не касаясь подробно темы снижения операционных рисков, хотелось бы перечислить некоторые основные механизмы. Во-первых, необходимо планирование управления этими рисками и в частности, управления информационной безопасностью. Во-вторых, необходим регулярный аудит финансовой компании на предмет снижения операционных рисков (в том числе, аудит безопасности). В-третьих, нужно регистрировать все осуществляемые в информационных системах действия. И, наконец, обеспечивая непрерывность бизнес-процессов, необходимо гарантировать обеспечение банковской тайны. Правда, принятие новых законов в последнее время серьезно усложнило эту задачу. Алексей Лукацкий
Перспективы безопасности
О перспективах дальнейшего развития средств защиты можно говорить, исходя из общих тенденций развития информационных технологий (ИТ), а также эволюции киберугроз. Зависимость бизнес-процессов от ИТ продолжает возрастать. Соответственно, любые простои или нарушения функционирования сети могут привести к серьезным последствиям для компаний — от финансового ущерба до банкротства. С другой стороны, увеличивается объем трафика в глобальных и корпоративных сетях, границы между которыми размываются. Развитие беспроводных технологий делает их периметр крайне нечетким.
С технологическим прогрессом неразрывно связана эволюция угроз, для которых ИТ становятся и каналом реализации, и мишенью. В числе наиболее значимых тенденций в области хакерских технологий можно, в частности, выделить следующие.
Рост числа многовекторных атак. Атаки в защищаемые пределы предпринимают уже не только через один канал несанкционированного доступа. Гораздо эффективнее воздействовать сразу на несколько уязвимых мест. Например, Web-сервер, ICQ, разделяемые каталоги, электронная почта и т.д. Не получится проникнуть за оборонительный рубеж через один канал—получится через второй. В будущем подобные виды атак будут превалировать над другими.
Рост скорости распространения атак. В 1980-е годы эпидемией считалось распространение бутового вируса на дискете по компьютерам одного отдела в течение нескольких недель. Сейчас вредоносная программа (например, червь) может заразить все уязвимые узлы (а их сотни миллионов) в течение нескольких минут.
Инфраструктурные атаки. Если раньше основной мишенью были корпоративные сети, то сейчас фокус сместился на операторские сети. Это гораздо опаснее, поскольку атака на ядро сети оператора приводит к отказу всех его клиентов, соответственно масштабы ущерба намного превосходят последствия одиночной атаки, даже на очень большую компанию. В последнее время наметилась также тенденция атак на критичные инфраструктуры/приложения — АСУ ТП (SCADA), систему управления полетами, медицинские системы, системы управления электростанциями (в том числе атомными) и т.д. Подобные атаки давно вышли из разряда невинных проделок и приводят к очень серьезным последствиям, и не только финансовым (экологические катастрофы, человеческие жертвы и т.д.).
Атаки на приложения. Если раньше бюллетени по информационной безопасности изобиловали описанием атак сетевого уровня (дыры в ICMP, TCP, DNS, UDP, ARP и т.д.), то сейчас ситуация коренным образом изменилась. Атаки поднимаются все выше — Apache, IIS, SAP R/3, Oracle, 1С и т.д. В будущем ситуация ухудшится еще больше — SOAP, XML, Web-сервисы… Все они станут мишенью злоумышленников. Сюда же можно отнести и рост так называемого grayware — spyware, adware, pornware и т.д.
Рост некомпетентности пользователей по мере компьютеризации страны. Федеральная программа «Электронная Россия», «Электронная Москва», «Электронный Татарстан» и многие другие направлены на компьютеризацию всех регионов страны. Однако за оснащением сельских школ компьютерами и установкой на оживленных улицах интернет-киосков все забывают об обучении пользователей. А ведь именно низкая квалификация и пресловутый «человеческий фактор» являются основными источниками проблем информационной безопасности.
Мобильный спам. По информации Wireless Services, за прошедший год объем SMS-спама в США вырос более чем вдвое. Если год назад спам составлял 18%, то сейчас — 43% от всех SMS-сообщений. Пользователи, привыкшие к засорению своих почтовых ящиков и уже не обращающие внимания на предложения купить «Виагру» или посетить уникальный семинар, с легкостью отзываются на сигнал мобильного телефона. Тем более, что в отличие от электронной почты, на экране мобильного телефона просто нет места, чтобы сразу высветить адрес отправителя SMS, что вынуждает пользователя открывать пришедшее сообщение.
Пока частота SMS-спама не так велика — в среднем 5 сообщений в неделю, но наблюдаемая тенденция вызывает опасения. Только за первые 9 месяцев 2004 года мобильный спам превысил в 3 раза число почтовой рекламы.
Оффшорный кибертерроризм. Некоторые специалисты опасаются появления так называемого оффшорного кибертерроризма, в рамках которого злоумышленники могут внедрять вредоносный код в программное обеспечение, создаваемое в оффшорных зонах.
Утечка биометрических данных. Увеличение интереса госструктур к биометрической идентификации своих граждан делает актуальным вопрос об утечке данных — отпечатков пальцев, геометрии руки, сетчатки глаза. Паспорт или кредитка подлежат замене, а отпечатки пальцев нет. В настоящее время не существует биометрические сканеров, способных распознавать муляжи.
Появление сетей нового поколения Internet-2, NGN, IIN и т.д., а также рост числа узлов, подключаемых к глобальным сетям, приводит к лавинному росту объема передаваемого трафика. А это в свою очередь приводит к сложностям при обнаружении следов несанкционированной активности, так как современные средства защиты с большим трудом могут обрабатывать трафик на скоростях выше 1 Гбит/сек. В современных условиях частичное решение проблемы заключается в балансировке нагрузки между несколькими средствами защиты, но по мере роста сетевых скоростей такой подход скоро перестанет быть эффективным. Поэтому первой тенденцией можно назвать рост пропускной способности средств защиты.
Другой стороной медали, связанной с увеличением сетевых скоростей, является рост числа ложных срабатываний, что приводит к сигнализации об атаках, которые в реальности не происходят, или которые не могут нанести ущерб корпоративным ресурсам. Как следствие, администратор безопасности начинает пропускать сообщения от средств защиты, что в свою очередь отрицательно сказывается на уровне защищенности информационной системы.
Решением данной проблемы, которую некоторые консалтинговые компании назвали «смертью систем обнаружения атак», является применение систем управления информационной безопасностью. Основная задача таких систем — сбор, анализ и определение корреляции событий безопасности от разнородных средств защиты и снижение числа сообщений, которые требуют принятия решений от администратора безопасности. В России сейчас отмечается активизация спроса на такие системы, которые на Западе уже давно и прочно обосновались в арсенале многих служб информационной безопасности.
События последних лет показывают, что современные атаки не просто наносят ущерб конкретным компаниям и организациям,—они несут разрушения и операторам связи, сметая все на своем пути. Достаточно вспомнить распределенные атаки «отказ в обслуживании» и массовые эпидемии червей, зафиксированные в последние годы. От них в первую очередь страдает инфраструктура операторов связи, на которую и распространяются данные атаки. Ведь здесь нет никакой разницы — атаковать Web-сервер небольшой компании или магистральный маршрутизатор, на котором сходятся потоки от сотен и тысяч заказчиков.
Поэтому неслучайно выделение на рынке средств сетевой безопасности в отдельное направление систем отражения DDoS-атак. Причем используют эти системы относительно новые подходы к идентификации несанкционированной активности. Если раньше они ориентировались, в основном, на сигнатурные принципы обнаружения атак, то сегодня основной акцент делается на поведенческих или «аномальных» методах, которые позволяют обнаруживать, в том числе, и многие неизвестные атаки. Кстати, необходимо заметить, что тенденция замены сигнатурных методов поведенческими отмечается не только в сетевой безопасности, но и в области защиты отдельных узлов. Например, многие современные средства предотвращения атак на сервера и рабочие станции строятся именно по этому принципу.
Защита оконечных устройств также «выходит из тени» и становится все более актуальной. Это связано с активным внедрением концепции виртуального офиса, согласно которой получить доступ к корпоративной сети можно из любой точки земного шара (разумеется, в которой есть доступ к Интернет). Таким образом, границы корпоративной сети становятся размытыми. И если раньше их можно было эффективно защитить с помощью межсетевого экрана, то сейчас любой мобильный или домашний пользователь выходит из-под защиты этого корпоративного «телохранителя», а значит, становится беззащитным перед лицом хакерской угрозы. «Масла в огонь» подливают различные технологии беспроводного и мобильного доступа. Поэтому все важнее становится защита каждого мобильного компьютера, имеющего доступ к корпоративной сети.
Малая производительность таких систем усложняет их защиту. Если установить отдельно антивирус, отдельно персональный межсетевой, отдельно систему контроля утечки информации и т.д., то все ресурсы компьютера будут тратиться на решение задачи его защиты в ущерб основным бизнес-процессам. Поэтому современный рынок диктует иные требования, а именно, объединение защитных функций в одном решении. Аналогичная тенденция наблюдается и в области сетевой безопасности — производители выпускают устройства, совмещающие в себе межсетевые экраны, системы предотвращения атак, антивирусы и т.д.
Из вышеперечисленных тенденций вытекает одна и, пожалуй, самая главная, — постепенный отказ от «навесных» систем защиты и переход к интегрированной безопасности. Интегрированной в сетевую инфраструктуру, приложения, операционные системы, в базы данных, смартфоны, микроволновые печи и т.п. Это позволяет учесть вопросы информационной безопасности еще на этапе проектирования автоматизированной системы, что и является залогом роста защищенности корпоративной сети и ее ресурсов.
Забегая далеко вперед, можно предположить, что постепенно небольшие игроки рынка информационной безопасности будут постепенно вытеснены с него более сильными своими. Это лишний раз подтверждают те шаги, которые предпринимают ведущие поставщики ИТ-решений во всем мире.
Итак, направления развития средств защиты намечены, перспективные технологии информационной безопасности определены. Пожалуй, информационная безопасность—это единственная область современных технологий, где год от года наблюдается заметный рост. Как показывают исследования Gartner, инвестиции в сетевую безопасность растут независимо от масштаба компании — это правило действует и для предприятий, насчитывающих десять сотрудников, и для гигантов со штатом в несколько десятков тысяч человек.
Важность средств информационной безопасности понимают все — от руководителя компании до руководителя информационной службы. Если в 2002 году угроза нарушения информационной безопасности компании не входила в бизнес-приоритеты компаний по всему миру, то в 2003 году эти опасения поднялись в рейтинге уже на 12 место, а в 2004 году вышли на первое. В 2005 году информационная безопасность стала «номером один» в числе выбранных приоритетных технологий, а снижение информационных рисков становится главной инициативой. Алексей Лукацкий CNews Analytics
Рис. Вячеслава Шилова
