Будни отдела информационной безопасности: злоумышленники и разгильдяи
От автора: по понятным причинам ни имя человека, со слов которого написана эта статья, ни его должность, ни название банка, в котором он работает, не раскрываются.
🕛 17.09.2009, 14:50
Сегодня отделы информационной безопасности есть во многих фирмах и даже в государственных организациях. Чем они занимаются? Что входит в обязанности их сотрудников? Как не попасть в поле зрения сотрудников этих отделов? Обо всём этом - рассказ сотрудника одного из банков, пожелавшего сохранить своё инкогнито.Сам я, вообще говоря, в отделе информационной безопасности нашем формально не числюсь - я просто админ. Но вся деятельность их у меня как на ладони, потому что вечно приходят то логи сервера поднять, то поставить свой софт защитный попросят, то просто проконсультироваться… Там мужики скрытные работают, почти все в прошлом в органах служили, они о своей работе распространятся не любят. Ну, не любят они - я расскажу, только без имён и лиц, как говорится.
Чем отдел ИБ занимается? В разных конторах, наверное, по-разному, но как у нас - так это, в основном, борьба с утечками информации. Конечно, и с вирусами борются, и с попытками в сеть проникнуть, и за тем, чтобы бэкапы создавались, следят… И я слежу, бывает, если они чем-то более важным заняты. Но это всё просто, мало времени на это уходит. Антивирус у нас хороший, на файрволе хорошем тоже мы не экономили, так что здесь проблемы возникают редко. А вот с документами разными проблем не оберёшься.
Раньше всё гораздо проще было. С вирусами и атаками боролись админы, то есть мы, а с утечками документов вообще никак не боролись - брали подписку о неразглашении, и на этом успокаивались. Но, в общем, доигрались: однажды произошла утечка данных по юрлицам, бравшим у нас кредиты, а там же, понимаете сами, всё: и годовой оборот, и вся кредитная история, и залоговое имущество… Словом, для пары наших клиентов это всё закончилось печально, проблем у них было достаточно, ну и банк тоже по голове получил ощутимо. Правда, как-то руководство со всеми договориться всё-таки ухитрилось, и даже до суда не дошло, но в целом история получилась очень неприятная. Тогда и решено было организовать отдел, который не должен допустить, чтобы такое повторилось. И пока, тьфу-тьфу, не допускает.
Как вообще борются с утечками? Вообще-то, конечно, по-разному, и подписка о неразглашении тоже играет свою роль. Первое - это, конечно, разграничение прав доступа. Это азы безопасности, без этого всё остальное можно вообще выкинуть. Если у вас каждый клерк может тихонько свистнуть квартальный финансовый отчёт, о какой тогда безопасности вообще говорить? Второе - защита внутреннего трафика шифрованием. Если даже кто-то проберётся через файрвол, всё равно ничего особо интересного у нас найти не сможет - все бэкапы хранятся на зашифрованных разделах, корпоративный чат тоже шифруется, так что украсть какой-то важный документ проблематично. Но, правда, это всё не спасает от, пардон, разгильдяйства самих сотрудников. Вот это, наверное, самое большая проблема, с которой очень сложно этому отделу бороться.
Они всех сотрудников проверяют, когда устраиваться приходят - это тоже одна из их обязанностей. Кадровики, конечно, плюются, что иногда очень хороших кандидатов заворачивают, но это всё-таки намного дешевле, чем потом устранять их последствия. К нам на работу не так-то просто устроиться: если хоть малейшее пятно на репутации, хоть малейшее подозрение, особенно если это кандидат на какую-нибудь руководящую должность - всё, до свидания, можно идти пытать счастья в другом месте. Но даже те, кто проходит отбор, не всегда оказываются на высоте. И, как мне объясняли безопасники, в основном совсем не по злому умыслу, а по разгильдяйству и банальной небрежности. Бывает, просто впопыхах по e-mail кому-то письмо отправляют с какими-то документами, из адресной книги не тот адрес выхватят - вот тебе уже и утечка информации. Или по аське менеджер общается с клиентами, окна перепутает - тоже потенциальная угроза утечек. Но ведь нельзя просто запретить аську, скайп, электронную почту - тогда можно просто сразу весь банк закрыть, будет полная уверенность в безопасности. Приходится ловчить, пользоваться специальной системой предотвращения утечек данных.
Как эту систему выбирали - вообще отдельная история. Ни наши доблестные защитники, ни мы тогда почти не представляли, от чего защищаться, как, и что нам вообще нужно. Решили пригласить самую известную контору, которая занимается системами защиты от утечек их сейчас DLP-системами называют. Не буду название говорить, чтобы проблем потом не было. Они прислали нам своих специалистов, начали свой консалтинг. Всё красиво - слова умные, отчёты длинные, цифры убытков в отчётах - как до Луны расстояние в сантиметрах. За триальную версию, что самое интересное, платить надо, и не так чтобы мало - несколько килобаксов. Но банк наш заплатил, они её поставили на десяток компов и сервер, показали начальству, как всё хорошо работает. И говорят, давайте, мол, внедрять нашу DLP-систему. Хорошо, говорим, давайте, вас для этого сюда и позвали. Внедряли они её, чтобы не соврать, месяца три - мы оборудования кучу нового для неё накупили, шлюз поставили, чтобы он всё фильтровал и не пропускал утечки…Ещё Oracle пришлось купить, который по цене всё купленное оборудование раза в три превзошёл, хотя и нужен он нам был только для этой DLP-шки, до этого как-то и MS SQL обходились.
В общем, в один прекрасный день наши внедренцы пришли и сказали, что всё готово, и можно запускать систему в работу. Запустили, тут же первые предупреждения посыпались - безопасники наши тогда разбираться начали, с сотрудниками задушевные беседы вести. Ко мне даже приходили, но я доказал им, что чист перед ними. А к обеду прибегают наши менеджеры, говорят - катастрофа, ни одно письмо отправить не можем, от начальства по шапке получите. Они и к начальству сбегали, так нам сказано было: делайте что хотите, но чтобы через полчаса всё заработало. Посмотрели - и вправду, шлюз лёг. Пытаемся поднять, запустить снова систему - через пять минут всё по-новому. Плюнули, отключили эту DLP, звоним её поставщикам ругаться. Они приехали, посмотрели, сказали, что у нас слишком много трафика идёт, и сервер не справляется его фильтровать. Попробовали ставить параллельно второй сервер, но он тоже регулярно "валился". Плюс большой проблемой стали ложные срабатывания: если письмо казалось DLP-шке подозрительным, то она его задерживала, и пока кто-нибудь из нашего отдела его не просматривал, оно дальше не шло. На это тоже была масса жалоб, да и начальству сильно не понравилось, что защита так затрудняет работу всех, кто с клиентами общается. Так что пришлось от этой DLP-системы отказаться, хотя и было жалко денег, потраченных на её покупку, и особенно на внедрение - оно вышло дороже, чем сама лицензия. Был у этой системы и ещё один минус, на который безопасники активно жаловались. Там при внедрении нужно было передавать этим внедренцам многие документы, а это, сами понимаете, не очень здорово с точки зрения безопасности. Они ведь хоть и подписывали кучу бумаг о неразглашении, всё равно, если ничего никому не показывать, как-то спокойнее.
Сейчас у нас, конечно, тоже есть система защиты, но уже другая. Начальство она устраивает больше, потому что ничего не блокирует, а только анализирует трафик и выдаёт предупреждения, и их так называемые бизнес-процессы не страдают. Безопасники ругаются, конечно, и говорят, что лучше бы блокировала, но если от этих блокировок и вправду бизнес страдает, то можно и без них обходиться. Хотя, надо сказать, у новой системы и плюсы есть: она и "аську" мониторит, и Скайп, и поиск у них по архиву хорошо сделан… Но вот блокировки нашим защитникам всё-таки не хватает. Хотя они и нашли выход.
Когда система сообщает об утечке, дальше всё зависит от канала, по которому она была. Если через печать, то просто изымают распечатанное. Если по "аське" или "Скайпу", то уже ничего не попишешь, остаётся только наказать виновного. А вот если утечка файла по почте, или через девайсы какие-нибудь, то приходится разбираться, что называется, на местах. Сначала - на рабочем месте, откуда была возможная утечка. Если там всё чисто, и тревога была ложной, то всё хорошо, можно спокойно заниматься своими делами и дальше. А вот если подтвердится, что информация всё-таки утекла, у отдела ИБ появляется задача срочно устранить утечку. Я говорил уже, что из ста утечек девяносто девять происходят по причине банального разгильдяйства сотрудников. Чаще всего бывает, что они просто не успевают всё, что нужно, на работе сделать, и берут документы себе домой. Сейчас вот у нас, например, просто завал по кредитам - каждый день по нескольку сотен заявок поступает, и, конечно, девочки, которые их обрабатывают, буквально тонут в этих бумагах - вернее, не в бумагах даже, а в вордовских файлах, PDF’ах там всяких и всём таком. И хотя им регулярно объясняют, что так делать нельзя, всё равно находится какая-нибудь, которая или на флэшку себе информацию о клиентах перепишет, или по почте на свой mail.ru отправит… С такими мороки больше всего. Сотрудникам отдела ИБ приходится потом их флэшки чистить, а чаще всего и домой выезжать, и домашние компьютеры тоже чистить. Многие ещё и возмущаются, мол, какое вы право имеете. Но им объясняют, что к чему, что кроме квартальной премии можно и вообще работы лишиться, а на дворе кризис, и никто её никуда за одни только красивые глаза не возьмёт, а к приличным банкам после такой формулировки в трудовой вообще на пушечный выстрел не подпустят. Особенно умным не они объясняют, а начальство. Одному молодцу, как мне говорили, даже сам управляющий мозги вправлял - хотя тот у нас всё равно потом недолго проработал… С большинством, в общем, можно договориться.
Но это я про девяносто девять случаев рассказал, а есть ведь ещё один. Такой случай, когда кто-нибудь недалёкий решает "слить" кому-нибудь информацию - или нашим конкурентами, или конкурентам нашего клиента, или может журналистам даже… Вот здесь уже простым выездом на дом не ограничишься. Инсайдеры - так их называют хитрые: запакуют, например, нужный файл в архив, поставят пароль какой-нибудь длинный, и попробуй докажи, что он что-нибудь важное вынес. Только у нас есть в DLP-шке такой модуль, который контролирует все документы, которые на пользовательских компах лежат. И если видно, что по сетке пришёл файл, который на этом компе не должен лежать, то потом шифруй его, не шифруй - всё равно не отмажешься. А с архивами инсайдеры тоже не очень умно поступают - пересылают себе спокойно, думая, что пароли типа "qwertyuiop" их спасут. Не знают, наивные, что архивы приносят мне, а у меня стоит полный набор утилит по подбору пароля, так что простеньким паролем на ZIP от нас ничего не спрячешь. Параллельно безопасники ведут психологическую обработку нашего доморощенного инсайдера, чтобы узнать, зачем ему данные понадобились, кому он их сбыть собирался… Ну, а когда всё проясняется, такого человека с треском увольняют. Безопасники уверяют, что после такого ни в один банк не возьмут - охотно им верю.
Сложно ли работать в отделе информационной безопасности? Не знаю. Я бы, наверное, не смог. Нет там админской вольницы, а всякой рутины море. DLP-шка, хотя всё фильтрует и что-то даже сама анализирует, всё-таки подкидывает много информации, которую нужно разбирать вручную. Мне так кажется, большей частью работу отделу ИБ подкидывают не технологии, а люди - и злоумышленники, и разгильдяи. А раз так, работы у них всегда будет достаточно, какую бы технически классную защиту банк не поставил. И это правильно, потому что только живой человек, профессионал, может грамотно обеспечивать безопасность.