CC BY-NC-ND
100
1Е.И. Познякова
СПЕКТР УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ТОЧКИ ЗРЕНИЯ НЕПРЕРЫВНОСТИ БИЗНЕСА
Существующие методы анализа риска основаны на расчете абсолютного ущерба от реализации угроз, не учитывая влияние атак на бизнес. В данной статье проведен анализ основных угроз с точки зрения непрерывности бизнеса. Показатели, которые используются в данной области, позволят получить более качественные оценки для последующего принятия решений об инвестициях в средства защиты информации.
Ключевые слова: угрозы информационной безопасности, оценка рисков, непрерывность бизнеса, анализ последствий для бизнеса.
При определении параметров для анализа рисков в часто используемой программе Гриф говорится только о «критичности работы отдельных ресурсов» или об их влиянии на работу информационной системы. Однако такой подход не учитывает влияния на бизнес-процессы. В современных условиях невозможно рассматривать информационную систему изолированно, поскольку даже сама цель внедрения любой системы - увеличение эффективности бизнеса.
В то же время в области обеспечения непрерывности бизнеса складывается тенденция к сужению спектра угроз до отказа информационной системы (либо по причине природных явлений, бедствий, либо из-за отказа оборудования или программного обеспечения). Такие опасные угрозы, как действия инсайдеров, распределенные атаки, вредоносный код и т. д., не рассматриваются как возможные события, влияющие на состояние непрерывности бизнеса.
Таким образом, с одной стороны, анализ рисков информационной безопасности не учитывает ряд факторов, с другой - методология непрерывности бизнеса не включает часть наработок в области обеспечения ИБ. Необходимо всесторонне исследовать
приведенные проблемы с целью построения более эффективных методов оценки возможных влияний на бизнес от реализации различных угроз.
Последнее время все больше компаний задумывается о разработке плана обеспечения непрерывности бизнеса. В стандарте ISO 27001 такой процесс рассматривается как составляющая часть информационной безопасности. Отчасти именно с этим связано то, что под непрерывностью бизнеса понимают отказоустойчивость и защиту от естественных угроз (стихийных природных явлений, физических процессов), а в качестве средств защиты выбирают системы резервного копирования и восстановления данных после сбоев. Однако, согласно последним исследованиям, среди самых опасных угроз выделяют такие, как внутренние угрозы, распределенные атаки и т. д. В принципе, поскольку реализация угроз приводит к ущербу, то любая угроза влияет на непрерывность бизнеса. Конечно, это влияние проявляется при большом количестве атак, если ущерб от каждой небольшой.
В современном мире необходимо, чтобы доступ мог быть осуществлен ко всей необходимой информации практически из любого места. Именно в этом случае можно говорить о полноценной непрерывности бизнеса. Таким образом, становится очевидно, что защита от стихийных бедствий и отказов - это только часть всего спектра угроз информационной безопасности, которые могут привести к потере устойчивости бизнеса.
Можно определить следующие потребности бизнеса:
- необходимость обеспечения для сотрудников непрерывного доступа к сервисам в соответствии с требуемыми уровнями обслуживания, несмотря на угрозы безопасности и различные нарушения обычного ритма деятельности - от непредвиденных объемов работ до природных катастроф;
- способность восстанавливать ИТ-сервисы для сотрудников, партнеров и клиентов при минимальных затратах времени и средств;
- клиенту необходимо обеспечивать требуемые уровни готовности и масштабируемости, а также непрерывность бизнес-операций в случае непредвиденного роста объемов работ или возникновения угроз для ИТ-среды.
При поверхностном анализе обеспечение этих потребностей сводится к внедрению средств резервного копирования и восстановления данных различных конфигураций. Эта типичная ошибка сопровождается, с одной стороны, неоправданно высокими ожиданиями и требованиями по безотказности информационных технологий компании, что влечет значительное увеличение расходов на
ИТ, не воспринимаемое бизнесом, с другой стороны, оставляет значительный риск потери клиентов и бизнеса при наступлении чрезвычайных ситуаций при сохранении в этой ситуации непрерывности информационного обеспечения. План обеспечения непрерывности бизнеса должен касаться каждой бизнес-функции и каждого подразделения или работника, которые используют компьютерные приложения в своей работе. Вопросы непрерывности информационного обслуживания бизнеса должны входить составной частью в план обеспечения непрерывности бизнеса компании в целом, а не подменять его.
Отметим, что все перечисленные меры являются финансово затратными, и их реализация должна опираться на принцип разумной достаточности. Это означает, что предприятие обязано понимать вероятность наступления угрозы, от которой оно защищается, а также оценить возможный ущерб. И только исходя из этой информации можно принимать решение о тех или иных способах защиты, поскольку в ряде случаев их внедрение будет экономически невыгодно. Но проблема еще и в том, что оценка вероятности реализации той или иной угрозы, по сути, очень приблизительна и субъективна. Например, если провести опрос 100 самых успешных менеджеров по оценке рисков за день до событий в США 11 сентября 2001 г. относительно того, как они оценивают вероятность разрушения двух бизнес-центров в течение следующих 24 часов, то практически никто бы не присвоил этой угрозе самую высокую степень риска.
Редко учитываются другие угрозы непрерывности, такие как:
- архитектурные особенности систем, не связанные с их сбоями и ошибками1, но влияющие на непрерывность бизнеса (отсутствие удаленного доступа к какой-либо системе);
- угрозы, возникающие в определенные промежутки времени -проектные риски (например, риск неуспешного перехода с одной информационной системы на другую, риск неуспешного внедрения новой информационной системы, риск неготовности персонала к проведенным изменениям).
Проектные риски значительно сложнее учитывать и зачастую невозможно решить в рамках одного проекта, если в компании параллельно с одним проектом ведется целая проектная программа из нескольких взаимозависимых проектов. Проекты, связанные с информационными технологиями, зачастую имеют сильный уклон в технические аспекты. Безусловно, проектная команда может и должна разработать превентивные меры: например, продублировать канал информационного взаимодействия, разработать процедуры копирования критической информации на внешние носители и
передачи этого носителя в смежное подразделение через курьера, процедуры перехода с выделенных каналов связи на коммутируемые с потерей скорости передачи данных в 50-100-200 раз. Но зачастую отдельно взятый проект не может ответить на более общие интегральные бизнес-вопросы2:
- насколько уменьшилась производительность (пропускная способность) отдельного бизнес-подразделения в связи с падением основного программного комплекса и(или) переходом на резервные механизмы;
- остался ли после перехода на резервные механизмы уровень производительности бизнес-подразделения достаточным для того, чтобы продолжать бизнес в штатном режиме, или упал ниже критической отметки и необходимо вводить в действие аварийный план по соответствующему сценарию;
- насколько сильно влияет падение производительности отдельно взятого конкретного подразделения на бизнес других подразделений, могут ли они продолжать работу в штатном режиме, или у них также необходимо вводить в действие аварийный план;
- кто, на основании каких критериев и каким образом принимает решение о вводе в действие аварийного плана, каким образом происходит оповещение смежных бизнес-подразделений о вводе в действие в отдельном бизнес-подразделении и(или) в ряде смежных подразделений аварийного плана, кого в этом случае нужно будет оповестить и как они должны будут себя вести
От того, что ИТ при наступлении чрезвычайной ситуации начнет привлекать для устранения проблемы всех программистов, бизнес не устоит, все будут усиленно стараться, но в конце концов система упадет, если эта задача будет сведена исключительно к задаче обеспечения непрерывности ИТ обслуживания. Задача сохранения непрерывности в большей степени является задачей бизнеса - суметь устоять при временной недоступности ИТ сервиса.
К сожалению, защита от сбоев оборудования и катастроф не обеспечивает непрерывность бизнеса в полном смысле этого слова. Невозможно сводить все только к аппаратно-программному обеспечению и доступности сервисов. Хотя защита внешней оболочки безусловно важна, но основой всех процессов служит все-таки информация. С точки зрения бизнеса правильнее говорить о непрерывности работы с информацией, что включает и доступ к необходимым сервисам, и ряд новых угроз.
Под непрерывностью работы с информацией понимается, что доступ к информации может быть осуществлен из любого места, в
любое время, причем эта информация должна быть полной и достоверной. Таким образом, непрерывность работы с информацией созвучна понятию безопасности информации, т. е. состоянию защищенности информации от воздействий, нарушающих ее статус. Это еще раз доказывает связь информационной безопасности и непрерывности бизнеса, хотя каждый процесс включает ряд своих особенностей.
Рис. 1. Взаимосвязь непрерывности бизнеса и информационной безопасности
Рост динамики бизнеса приводит к необходимости получать доступ к информации из любой точки мира, причем максимально быстро. Более того, все большее число компаний держит штат удаленных сотрудников, что экономически выгодно и удобно. Большинство информационных систем включают функционал для удаленного доступа, однако далеко не всегда обеспечивают его защиту. Удаленный доступ организован по общедоступным каналам связи, за защищенность которых не может отвечать информационная система предприятия.
По данным российской компании РептеЫх3, существенная доля утечек информации происходит в результате утери или кражи мобильных накопителей. Но не менее важной представляется и защита информации в момент ее передачи по открытым каналам. Даже полное шифрование всей передающейся информации не может обеспечить компании стопроцентную защиту. Основная проблема здесь связана с человеческим фактором: если сотрудник может выносить информацию (даже зашифрованную) за пределы корпоративной сети, то он может и передать ее конкурентам. Един-
ственный способ защиты от внутренних угроз без ограничения мобильности пользователей заключается в полной классификации всех конфиденциальных данных и тотальном контроле всех действий, которые с этими данными производятся.
В реальных условиях классификация данных - задача довольно трудоемкая. По сведениям аналитического центра компании РептеЫх (диаграмма 1), только 13% российских компаний проводили классификацию в течение последнего года, а 41% организаций вообще не работали над этой проблемой.
13%
да, в течение
да, более трех лет назад
Диаграмма 1. Классификация данных в российских компаниях
Классификация данных приобретает особенную актуальность в связи с лавинообразным ростом количества создающейся информации. В одном из аналитических исследований компании IDC указано, что общемировой объем цифровой информации с 2006 по 2010 г. вырастет в шесть раз и достигнет космической цифры в 1 зеттабайт (1021 байт). В случае отдельной организации объем данных также постоянно растет, а их структуризация соответственно ухудшается. Более того, актуальность классификации сложно поддерживать по прошествии некоторого времени, это дорогостоящий и трудоемкий процесс. Использование же поисковых механизмов не столь эффективно, поскольку не обеспечивает высокую скорость работы.
Даже если выполнены указанные ранее условия, сотрудник не может быть уверен в том, что он читает правильный и ничем не ис-
каженный документ. Проблема целостности приобретает максимальную актуальность для особо важных документов, таких как, например, финансовые отчеты. Последние исследования (диаграмма 2) показывают, что угрозы искажения информации, утраты данных и информационного саботажа являются основными рисками внутренней безопасности. Особенно важно отметить, что никакое резервное копирование и зеркалирование не позволит избежать искажения информации в документе, поскольку искаженный документ просто будет скопирован. Права на редактирование могут выдаваться пользователям в соответствии с политикой компании, но это не исключает угрозы со стороны тех, кому эти права необходимы для работы.
Диаграмма 2. Самые опасные угрозы внутренней информационной безопасности
По мнению специалистов компании РептеЫх, наиболее перспективный способ обеспечения целостности доступа связан с организацией служебной базы данных, включающей все события и инциденты, касающиеся доступа к корпоративным документам. В идеальном варианте в этой базе должны быть не только отчеты о событиях, но и копии самих документов старых ревизий, которые всегда можно восстановить. Наличие подобной базы данных позволяет не только гарантировать целостность, но и добиться соответствия с рядом нормативных документов, таких как акт Sarbanes-Ох1еу, соглашение BaseШ, стандарт PCIDSS. Все эти нормативы
содержат требования по обеспечению целостности информации, а также по ее защите от инсайдеров, саботажников и сотрудников, которые вносят ошибки из-за невнимательности или неумения работать с информацией.
Однако не только внутренние угрозы наносят огромный ущерб. В настоящее время практически в любом крупном предприятии интегрирована распределенная информационная система, а значит, вероятность реализации распределенных атак только увеличивается. Подобные атаки могут осуществляться, например, враждебными многоагентными системами, основанными на трех моделях: модели невлияния, модели скрытых каналов и модели Open Agent Architecture (OAA)4. Опасность состоит в том, что такие действия «невидимы» для средств защиты, а следовательно, к моменту обнаружения утечки или утраты информации нанесенный ущерб может достигнуть огромных размеров. Кроме того, на восстановление потребуется гораздо больше ресурсов, при том что, весьма вероятно, полное восстановление невозможно, если работа злоумышленника проводилась в течение продолжительного периода времени и затронула большие массивы данных.
Еще одной распространенной угрозой в последнее время являются DoS-атаки (Denial of Service). Это разновидности атак злоумышленника на компьютерные системы, цель которых довести систему до отказа, т. е. создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам либо этот доступ затруднен. Существует мнение, что специальные средства для обнаружения DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто отмечались успешные атаки, которые были замечены жертвами лишь через двое-трое суток. Бывало, что негативные последствия атаки (типа flood) заключались в излишних расходах по оплате трафика, что выяснялось лишь при получении счета. К тому же для эффективного противодействия необходимо знать тип, характер и другие показатели DoS-атаки, а оперативно получить эти сведения как раз и позволяют системы обнаружения. Их легко осуществить, трудно остановить, и они очень эффективны. DDoS, известная как распределенная атака на отказ в обслуживании, легко выполняется в большой сети. Сложно быстро остановить эти угрозы, можно только их смягчить, причем еще сложнее определить источник атаки. С точки зрения непрерывности бизнеса следует отметить, что, если нельзя быстро остановить атаку и перейти на резервную систему, подобные угрозы могут привести практически к банкротству.
Таким образом, становится очевидно, что спектр угроз, приводящих к потере устойчивости бизнеса, гораздо шире, чем он рассматривался до настоящего времени. Необходимо провести тщательный анализ последствий для бизнеса каждой угрозы.
Как было сказано ранее, современные методы оценки рисков не позволяют в полной мере учесть действительный ущерб для предприятия от реализации атак, поскольку не всегда можно опираться лишь на абсолютные величины потерь. Хотя один из самых известных методов - CRAMM (CCTA (Central Computer and Telecommunications Agency) Risk Analysis and Management Method) - учитывает обеспечение непрерывности бизнеса, он по-прежнему рассматривает только сценарии отказа работы информационных систем, исключая другие угрозы5.
Необходимо провести анализ возможных путей использования наработок процесса определения последствий для бизнеса (BIA - Business Impact Analysis) для оценки рисков информационной безопасности. Это позволит повысить качество оценки, производимой современными методами, а также расширить представление об обеспечении непрерывности бизнеса, увеличить эффективность разрабатываемых планов противодействия атакам злоумышленников.
Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в информационную безопасность для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этой проблемы необходимо применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков / затрат на ИБ). Однако подобные системы нуждаются в постоянном усовершенствовании и оптимизации. Сочетание результатов исследований в области непрерывности бизнеса и информационной безопасности позволит построить более формализованный метод, отвечающий требованиям бизнеса.
Примечания
См.: Ульянов В. Непрерывность бизнеса по-новому // Экспресс Электроника. 2008. № 158. Март.
См.: Галактионов В. Обеспечение непрерывности бизнеса [Электронный ресурс] // Сайт В. Галактионова. [М., 2008]. URL: http://www.galaktionoff.ru/ unpub/Crash.htm (дата обращения: 19.12.08).
2
См.: Инсайдерские угрозы в России 2008 [Электронный ресурс] // Сайт «Perimetrix». [М., 2008]. URL: http://www.perimetrix.com/downloads/rp/ Insider_Security_Threats_m_Russia_2008.pdf (дата обращения: 19.12.08). См.: Грушо А.А, Тимонина Е.Е. Распределенные атаки на распределенные системы [Электронный ресурс] // Сайт «ЦИТ Форум». [М., 2008]. URL: http://www.citforum.ru/ security/articles/distributed/ (дата обращения: 19.12.08).
См.: Business continuity tool. CRAMM [Электронный ресурс] // Сайт «CRAMM». [М., 2008]. URL: http://www.cramm.com/capabilities/bcm.htm (дата обращения: 19.12.08).
4
5
