На рубеже 2000–2001 гг. стало ясно, что мошенничество с использованием сети Интернет стремительно превращается в хорошо организованный преступный вид бизнеса. Правда, тогда это было очевидно в полной степени только специалистам по информационной безопасности, а также специальным подразделениям правоохранительных органов, например, − ФБР.

Это уже сейчас говорят со всех трибун о том, что по уровню доходности и скорости окупаемости своих сомнительных проектов воротилы киберкриминала обогнали своих «коллег» по торговле оружием и наркотиками,. Но в те времена начало сотрудничества Microsoft и ФБР вызвало неоднозначную реакцию как сообщества вокруг корпорации, так и внутри ее.

Но это было абсолютно необходимым и, как сейчас стало понятно, небезуспешным, шагом. Бороться с криминалитетом, использующим в своих целях продукты и уязвимости Microsoft, лучше всего с помощью криминальной полиции или ФБР. А разработчикам следует заниматься технологиями, т.е. своими прямыми обязанностями.

Аналитикам ресурса www.cio-world.ru удалось побеседовать с Эдвардом Гибсоном, старшим советником по безопасности Microsoft UK (Chief Сyber Security Adviser), имеющим за плечами двадцатилетний опыт спецагента ФБР в области борьбы с киберпреступностью.

- Господин Гибсон, расскажите, пожалуйста, немного о себе и о том, как Вы приняли предложение Microsoft о сотрудничестве?

Для меня, действительно, очень важно объяснить, почему Microsoft предложил мне эту работу. Я, думаю, что даже внутри корпорации еще далеко не всем понятно, в чем заключается моя деятельность.

Последние пять с половиной лет моей службы в ФБР я провел, как лицо, приписанное к посольству США в Великобритании. Там мне было поручено возглавить расследования, которые ФБР проводило в этой стране, связанные с киберпреступностью, т.е. с преступностью, использующей сеть Интернет. Это было интересное время, и я профессионально развивался одновременно с ростом интернет-бандитизма в Великобритании. Можно сказать, что я − его ровесник и знаю его «с пеленок». В 2000–2001 годах Великобритания только столкнулась с таким явлением, как киберпреступность, в отличие от США, где подобный вид криминала уже не был в новинку. И это стало настоящим вызовом для всех служб безопасности королевства. В мои задачи, кроме всего прочего, входила координация определенных моментов в вопросах, касающихся работы местных спецслужб и спецслужб США.

Таким образом, где-то за год-полтора до того момента, когда я должен был выйти  в отставку, был отмечен всплеск киберпреступности. В этих условиях, как мне стало известно, Microsoft начала уделять гораздо больше внимания этой проблеме. Но все равно, на тот момент состояние дел в корпорации в этом отношении можно было охарактеризовать как «ужасное». Топ-менеджмент Microsoft уже тогда осознавал, что компании необходимо предпринять кардинальные шаги и сделать что-то особенное для того, чтобы изменить свою репутацию и восприятие общественностью.

Некоторые коллеги считают, что меня взяли на работу в качестве некоторого жеста доброй воли для общества, как говорят в России – «свадебным генералом».

Я это понимал, и поэтому, когда мне предложили вступить в ряды компании, я ответил отказом! Но, тем не менее, решил съездить в штаб-квартиру корпорации и побеседовать с некоторыми сотрудниками.  По своей природе я очень недоверчивый человек. Мне нужно сначала увидеть все самому, прежде чем принять какое-то решение. Когда я это сделал, то понял – Microsoft действительно стала очень серьезно относиться к вопросам безопасности. И не только к собственной, но и своих клиентов. Взвесив все «за и против» я дал согласие.

- Как вы оцениваете усилия Microsoft и их итоги в вопросах обеспечения ИБ?

Если бы компания тогда не произвела изменений в области безопасности, то, я думаю, мир сегодня не был таким, каким мы его привыкли видеть. Microsoft – это технологическая компания. Ее персонал хорошо разбирается в технологических вопросах. Я – специалист в области киберпреступности. В результате нашей совместной работы удалось многое изменить и достичь того, что называется − синергией. Сегодня Microsoft просто одержим идеей безопасности и защиты своих пользователей.

Надо сказать, что до этого ничем подобным в компании не занимались. И «первый блин не оказался комом», чем мы очень гордимся. Я смог помочь корпорации понять, каким образом люди могут в корыстных целях использовать продукты компании, в том числе те, которые только планируются к выходу. Были пресечены попытки вовлечения персонала нашей компании в бизнес киберпреступников, порой даже невольного и неосознанного для них. Например, мы узнали, что организованная преступность начинает активно участвовать в чат-румах на нашем сервере MSN. Мы взяли и избавились от этих чат-румов…

По своему собственному опыту могу сказать, что организованная преступность в первую очередь использует не уязвимость в операционных системах, не дыры в прикладном программном обеспечении, и не какие-либо технологические наработки в целом. Преступников, прежде всего, интересуют – люди. Именно поэтому мы получаем спам по электронной почте, поэтому у нас пытаются выкрасть персональные данные, просят помочь жертвам всяческих происшествий из Нигерии или даже призывают участвовать в лотерее самой компании Microsoft.

У нас в корпорации в этом случае приводят в пример Билла Гейтса, который не отдал ни цента через Интернет. Не потому, что он великий человек, а потому, что хорошо знает природу мошенничества в сети.

- Как повлиял кризис на криминальный интернет-бизнес, в частности, на динамику внешних угроз для компаний?

В условиях нынешнего экономического кризиса стало очевидно, что некоторые люди порой готовы идти на то, что они обычно не стали бы делать в нормальных условиях. Организованная преступность прекрасно об этом осведомлена, и использует этот факт на полную мощность.

Например, сегодня во многих странах люди не могут найти работу. Организованная преступность, воспользовавшись данным фактом, создает подставные компании и набирает туда «на работу» самых способных из них. В качестве тестовых испытаний на профпригодность людям предлагают проникать в компьютеры небольших и слабозащищенных легальных компаний. Далее, когда набранный персонал продемонстрировал свои навыки в деле, им даются указания взламывать ИТ-системы уже, например, крупных банков. А, если те пытаются отказаться, выясняется, что у них нет возможности просто так взять и уйти с этой работы. Доходит до угроз физической расправы над ними. Вот некая общая точка зрения на внешние угрозы, а конкретные факты можно приводить еще очень и очень долго.

Заслуживает дополнительного внимания тот факт, что сейчас, по нашим наблюдениям, начинается процесс создания неких подпольных учебных центров для преступных нужд. Иными словами, все то, что характерно для обычного криминалитета, не чуждо и их «кибернетическим коллегам», в том числе и профессиональная подготовка собственных кадров. Но, тем не менее, подставная компания сегодня – это более просто и эффективно. Речь идет, прежде всего, о странах, где можно за очень небольшие деньги взять на работу большое количество талантливых людей.

- Насколько корпорация Microsoft защищена от проникновения в свои ряды выходцев из подобных подставных компаний?

В компании очень жесткий процесс приема на работу. У Microsoft есть целая группа сотрудников, которые осуществляют постоянный мониторинг нашей собственной инфраструктуры. Мы не забываем о, так называемых, внутренних угрозах и возможном существовании инсайдеров.

От действий инсайдеров не защищены даже такие структуры, как ФБР. Там их называют bed apples («плохие яблоки»), и для их распознавания используются детекторы лжи, расследуются факты биографии и т.д. Но, тем не менее, время от времени  «на чистую воду» выводятся сотрудники, которые, как оказывается, работают «на два фронта». Я знаю, что подобные вещи происходят и в спецслужбах России и других стран. Поэтому инсайдеры это общая проблема!

Это подтверждается данными исследований и опросов, которые показывают, что по-прежнему максимальную угрозу компаниям в плане информационной безопасности представляют свои же собственные сотрудники. И сейчас топ-менеджмент компаний очень сильно волнует то, что во времена нынешнего экономического кризиса, актуальность данной проблемы возрастает многократно.

К примеру, сотрудник, осознающий, что его вскоре могут сократить или уволить, наверняка, воспользуется своими правами доступа к информации – спискам клиентов, данным кредитных карт и т.д., после чего скопирует их себе «на всякий случай». Хуже обстоит дело с сотрудниками ИТ-департаментов. Они обладают данными об уязвимостях ИТ-инфраструктуры компаний и другой информацией для доступа к ней извне. «Ночным кошмаром» для служб безопасности в этих условиях становятся банальные «флешки», mp3-плееры, цифровые фотоаппараты и т.д. Даже самим правоохранительным органам трудно справляться с ростом объемов цифровых данных, которые необходимо защищать.

Существует проблема «человеческого фактора» и со стороны лояльных сотрудников, – усталость или халатность, в результате которых случаются инциденты. Это характерно для всех стран мира.

- В России пока окончательно не определились – является ли контроль служебной переписки нарушением конституционных прав граждан. А как обстоят дела с этим в США?

В США – это абсолютно нелегальное занятие, если сотрудники не давали на это письменного согласия. В американских и британских компаниях все сотрудники при приеме на работу должны быть осведомлены о том, что всё то, что произведено персоналом в рабочее время – является собственностью компании. Потенциальным сотрудникам предлагается подписать документ, в котором излагаются некоторые политики информационной безопасности, в частности, правила работы с сетью Интернет.

Microsoft – не исключение. Все сотрудники нашей корпорации, включая персонал российского офиса, при приеме на работу подписывают аналогичный документ, в котором содержится запрет на выполнение тех или иных видов деятельности в Сети и описываются механизмы контроля над соблюдением этих требований. Если Вы отказываетесь подписывать подобный документ, Вас не возьмут на работу, невзирая на ту должность, которую Вам предложили.

- Что происходит с безопасностью в компаниях и, в частности, банках США при их банкротстве? Прекращается ли действие политики безопасности при его объявлении?

Нет. При банкротстве банка госорганы США немедленно посылают туда специальную команду людей, которые принимают на себя контроль над этими вопросами. Возможно, некоторым исключением стал случай с банкротством одного из крупнейших инвестиционных банков мира – Lehman Brothers. Правительство США допустило это нестандартное банкротство. Но даже, несмотря на это, там появились сотрудники специальных федеральных служб, которым удалось навести должный порядок в вопросе воспрепятствования утечке данных как на электронных носителях, так и на всех остальных. Хотя, пресса пишет, что ущерб от действий инсайдеров все же был немалым. Но я стараюсь доверять фактам, а не газетным статьям…

Вообще говоря, вопросы обеспечения защиты информации в банках на всех этапах их жизненного цикла, это часть организации банковской деятельности на территории США. В соответствующих документах все это описано очень подробно.

В середине 80-х годов мы уже прошли кризис сберегательных банков и не только. К счастью, все это не прошло бесследно. Результатом анализа стало то, что мы смогли разработать и освоить механизмы действий в подобных обстоятельствах. Это уникальный опыт того, что надо, и, что не надо делать, когда банк терпит крах. Сейчас мы в большинстве случаев пожинаем положительные плоды этой работы. При этом, заметьте, ни один вкладчик не теряет ни своих денег, ни персональных данных. Что касается других секторов экономики, то там тоже есть свои механизмы. Поверьте, они работают.

Что еще хотелось бы сказать о банкротствах. Депрессия – это та вещь, куда мы сами себя пытаемся загнать. В России, я считаю, хорошая экономическая система, способная преодолеть кризисы. И чтобы улучшить ситуацию, как в этом вопросе, так и в любом другом, как в России, так и в США или Великобритании, надо это просто захотеть сделать.

- Вернемся к Microsoft. Имеются ли в портфеле решений корпорации продукты, предназначенные для противодействия инсайдерам?

Да, конечно. Это часть того, что мы называем эшелонированной обороной наших клиентов. И это скорее не отдельный продукт, а свойство платформы Microsoft целиком. Все наши решения содержат функционал, направленный на обеспечение информационной безопасности.

Например, сюда входит технология цифровых прав на документ. Она заключается в том, что все документы Microsoft шифруются и вместе с ними распространяется политика их использования. В ней четко определено, какие пользователи, в течение какого срока могут выполнять те или иные действия с полученным документом. Например, руководитель отдела рассылает конфиденциальное письмо подчиненным о планах выпуска новых продуктов. Далее он прописывает список этих сотрудников, устанавливает срок действия этого документа и дает права только на чтение.

Существует и механизм защиты от попыток изъять эту политику из документа. Он заключается помимо всего прочего в том, что при попытке открыть файл при помощи любой программы, даже не произведенной в Microsoft, например, Adobe, следует обращение к специальному серверу внутри компании, который производит проверку атрибутов этого документа и дает или не дает права на его чтение.

Если, скажем, срок действия документа истек, то прав на расшифровку дано не будет, документ при этом не будет удален, а помещен в хранилище. Более того, если этот файл пытаются открыть вне защитного периметра компании, и нет связи со специальным сервером, ключ для расшифровки также будет недоступен.

Другая ситуация: срок действия документа не истек, а сотрудник был уволен. В службе Active Directory появляется запись об аннулировании его прав доступа. И если этот сотрудник попытается, по старой памяти, прочесть файл, благополучно унесенный в свое время на флешке, то сделать он этого не сможет.

Есть функционал платформы, препятствующий, например, снятию копии экрана при помощи Print Screen, пересылке по почте и т.д. Очевидным плюсом такого подхода является то, что очень легко определяются те люди, которые пренебрегли своими обязанности по контролю над распространением информации и в случае реализации инцидента в области информационной безопасности их можно точно определить.

- Можно ли в контексте борьбы с инсайдерами, говорить о том, что работа с тонкими клиентами (терминальным доступом) более безопасна?

Безусловно. Но только в том случае, если правильно настроена аутентификация пользователей. Если пароль на вход в систему написан на стикере, который приклеен к монитору – то нет. Мы рекомендуем использовать надежные средства аутентификации – смарт-карты или токены. В этом случае многие проблемы исчезают сами по себе, поскольку внутри тонкого клиента информация не хранится, все происходит на сервере. Дополнительным бонусом является то, что благодаря смарт-картам можно облегчить как работу пользователей, так и администраторов. Например, упрощается управление доступом клиентов к тем или иным приложениям с теми или иными правами на основе ролей. Для этого используется информация, хранящаяся в защищенной среде токена или карты.

- Обратимся к вопросам законодательства. Как удалось американскому правительству заставить компании сообщать о фактах утечек персональных данных?

В США в 37 штатах введены в действие собственные законы, которые требуют публикацию фактов и уведомления жертв. Так что это не совсем заслуга федерального уровня.

Что движет компаниями? Во-первых, это законы – их надо исполнять. Но есть и иные факторы. Предположим, я – клиент некоей компании. Захочу ли я с ней сотрудничать, зная, что она не соответствует нормам законодательства, а мои данные могут пропасть в любой момент. В условиях рыночной экономики такая компания долго не просуществует.

- Как в США регулируются права и обязанности в области ИБ компаний, пользующихся услугами аутсорсинга? Кто за что отвечает?

Законодательство и Великобритании, и США в этом вопросе очень похоже. Тот факт, что ваша компания что-то передает на аутсоринг, не снимает с нее ответственности за сохранность информации. Вы сами добровольно берете на себя соответствующие риски. И в случае возникновения инцидента, именно вы, и никто другой, будете отвечать по всей строгости закона. Другое дело, что после этого есть возможность в судебном порядке расквитаться с аутсорсером согласно заключенному контракту. Это уже ваши с ним проблемы. Но повторюсь, страдает репутация компании, понижается курс акций именно вашей компании. Поэтому, при аутсорсинге следует подходить к выбору партнера самым ответственным образом.

- Какие инициативы корпорация поддерживает в области обучения безопасному использованию своих продуктов и работе в Интернет?

Как уже упоминал в своих интервью мой российский коллега по Microsoft Владимир Мамыкин, в этой области у нас есть ноу-хау. Мы издаем книги о том, как писать безопасные продукты. Предназначены они для всех желающих, для нас самих, а также для партнеров. У нас есть издания и на русском языке, например, «Защищенный код», «Совершенный код», а также книги о том, что такое Security Development Lifecycle, как организовывать процесс создания безопасных приложений и т.д.

Все это применимо как к самой корпорации, так и к нашим партнерам. Я уже говорил, что Microsoft «помешана» на безопасности. Все что делается в компании проходит через призму безопасности. Но не только.

Значительную угрозу пользователям несут они же сами по причине своей неосведомленности в вопросе правильного использования продуктов, методов безопасной работы в среде Интернет: в блогах, социальных сетях и т.д. Ведь от собственной глупости пользователя никто защитить его не сможет! Это огромный пласт нашей работы во всем мире со всеми категориями пользователей, включая представителей правоохранительных органов.

Автор: Вадим Ференец
Источник: CIO