ИБ в Большом Городе

По мере того как растут и развиваются города, появляются новые «высокотехнологичные» поселения (технопарки, иннограды, олимпийские объекты и др.) — все более востребованными становятся комплексные инструменты для модернизации городских систем.

Перевод этих систем в инфокоммуникационное пространство может существенно оптимизировать городское планирование, повысить эффективность принятия управленческих решений и заметно улучшить качество функционирования городской инфраструктуры и предоставления услуг в здравоохранении, образовании, социальной сфере, связи, на транспорте, в розничной торговле, коммунальных услугах и на других важных направлениях жизни современного города. При всем разнообразии подходов к реализации комплексных информационных систем, для повышения эффективности городской инфраструктуры ключевым элементом остается безопасность.

События в Крымске, когда не сработали самые элементарные системы оповещения о приближающейся беде, — наглядное свидетельство состояния дел с внедрением технологий безопасности в городской среде. Технологии, реализованные в рамках аппаратно-программных комплексов (повышение технической оснащенности, применение современных средств мониторинга, механизмов анализа накопленных данных и оперативного реагирования), вкупе с организационными мерами могли бы стать действенным шагом в создании безопасного города.

К сожалению, особенностью многих городов России является отсутствие системного централизованного механизма обеспечения безопасности населения. Развитие городской инфраструктуры происходит на фоне возрастающих угроз распространения терроризма и экстремизма, распространения мобильных технологий, в условиях отсутствия единого информационного пространства для экстренного обмена информацией между силами, участвующими в обеспечении безопасности. В городах нет единых межведомственных информационных центров, аккумулирующих данные и осуществляющих мониторинг всех систем, которые применяются для обеспечения безопасности (информационные порталы, видеонаблюдение, мониторинг ЖКХ и пр.). В крупных российских городах на решение подобных задач направлена программа «Безопасный город».

Двигатели ИБ

Главным фактором влияния на рынок информационной безопасности являются требования законодательства. Хотя в России они далеко не всегда выполнялись, все же проверки, создающие риски для нарушителей, в обязательном порядке предпринимались. Но вот соблюдение требований регуляторов и реальная защищенность — это в России нередко два параллельных мира.

«Еще 5-6 лет назад, — вспоминает гендиректор Avanpost, — если формально требования регуляторов были выполнены, никто не мог придраться к предприятию. Предпринимались минимальные меры для успешного прохождения ведомственной проверки, а то, что в корпоративной сети зияли бреши, зачастую никого особенно не волновало».

В городах нет единых межведомственных центров, аккумулирующих данные и осуществляющих мониторинг всех систем обеспечения безопасности.

Однако с течением времени деятельность людей, совершающих противоправные действия на поле информационных технологий, стала коммерчески ориентированной. Сегодня «показательные выступления» хакеров-одиночек перестали быть модным делом. Зато появилось много образованных представителей хакерской «профессии», которые не видят для себя интеллектуальных и моральных препятствий на пути к большим деньгам.

Сегодня подавляющая часть противоправных действий, связанных с нарушением информационной безопасности в городской среде, ориентирована на коммерческую составляющую: нарушители стараются монетизировать собственные знания. Такая монетизация делится на два больших блока.

Самый простой и понятный — это кража живых денег через системы дистанционного банковского обслуживания у юридических лиц, с карточек у физлиц и т. д. Существует масса вариантов реализации этого способа, но в целом это кража реально существующих денег, которые потом можно обналичить.

Другой блок относится к корпоративной системе взаимодействия, в рамках которой незаконно добывается ценная информация с целью ее последующей продажи. Это может быть конкурентная разведка, заказное выуживание конфиденциальных сведений и тому подобное. Часто воруют базы контактов физических лиц для последующей продажи их рекламным агентствам, которые занимаются рассылкой спама. Существует также опасность воровства паспортных данных, после чего на владельцев этих документов открываются фирмы-однодневки для схем обналичивания.

Факторы риска

Кража информации, приносящая немалые деньги, привлекает к себе интерес преступных группировок: иногда воровство из систем ДБО может быть более прибыльным и менее опасным, чем торговля наркотиками и оружием. На этом поприще начинает вырастать целая индустрия, оборот которой в последние годы увеличивается стремительными темпами. А руководителям организаций, помимо требований регуляторов, все труднее становится игнорировать реальную составляющую информационной безопасности. Трудно не заметить кражу идеи, если на ее разработку компания потратила много времени и денег, а конкуренты, не вложив ни рубля, эту идею реализовали и выпустили на рынок продукт с опережением. Для физических лиц особенно чувствительна кража денег с банковского счета. Опасность подобных инцидентов в настоящее время столь велика, что этого не могут не замечать даже простые граждане.

Требования регуляторов усиливаются с каждым годом. Отчасти это объясняется принятием Конвенции по защите персональных данных, вступлением в ВТО и пр. «Российские регуляторы стараются соответствовать международным нормам, хотя и не всегда делают это адекватно, — отмечает Андрей Конусов. — Но динамика есть. Из последних результатов этой деятельности — принятие закона „О персональных данных", который вступил в силу в прошлом году и для которого участники рынка мучительно придумывают способы исполнения. Еще один заслуживающий внимания закон — „О национальной платежной системе", с прописанными в явном виде требованиями. Множество новых нормативных актов сейчас появляется в недрах министерств и ведомств».

Отдельный вопрос касается здравоохранения. Потому что именно информация о здоровье граждан в любом виде является персональными данными самой высокой категории, что означает соответствующие требования к защите, сопоставимые с защитой государственной тайны. Формально любая районная поликлиника или стоматологические кабинеты должны иметь у себя аттестованные рабочие места, весь набор ИТ-архитектуры для защиты самых мощных государственных секретов — и все это должным образом администрировать и отчитываться.

Единственный в настоящее время позитивно обсуждающийся момент, который все-таки способствует выполнению требований, — это возможность наступления серьезной ответственности. До тех пор пока штраф за несоблюдение требований закона «О персональных данных» для юридических лиц составляет до 50 тыс. руб., для физических — до 10 тыс., а проект, который нужно реализовать, чтобы соответствовать закону, обходится в миллионы рублей, — серьезного исполнения требований ожидать не стоит.

Сказанное можно проиллюстрировать на примере портала гос­услуг, где посетителям приходится вводить личную информацию, которая очень слабо защищена. Хакеру начального уровня не стоит труда за 10 минут получить с портала госуслуг выгрузку интересующих его паспортных данных. «Это очень показательно, — констатирует Конусов, — когда центральные ресурсы, олицетворяющие электронные сервисы государства, имеют уровень защищенности, сравнимый с уровнем безопасности сайта какой-нибудь начинающей компании».Особняком стоит электронное правительство и межведомственное государственное взаимодействие. «Реализуют эти программы компании крупного масштаба, которые понимают, что серьезная ответственность за недоделки не наступит», — отмечает Андрей Конусов.

«В настоящее время, — замечает Андрей Конусов, — профессиональное сообщество обсуждает возможность повышения санкций за нарушение требований закона «О персональных данных» в десятки раз, и это было бы благом. Разовый штраф должен быть хотя бы сопоставим со стоимостью исполнения правил.»

Конечно же, весьма желательно, чтобы руководители более серьезно прислушивались к комментариям профессионального сообщества на стадии написания нормативных актов. Потому что, например, на этапе обсуждения закона «О персональных данных» проходило несколько парламентских слушаний, а финальный этюд оказался вовсе не таким, каким задумывался. После обсуждений документ передавался на разработку в различные ведомства, но, к сожалению, по сути ничего принципиально не изменилось.

«Люди из этих министерств всю жизнь отвечали за безопасность, но никогда не думали о бизнесе: для них это было неважно, — поясняет глава компании Avanpost. — А ведь безопасность и эффективность — это два часто противоположных вектора, между которыми следует найти разумный баланс. Где-то риски безопасности допустимы, потому что это значительно повышает эффективность, а где-то бизнес критичен к рискам — и нужно идти на компромисс. Российские ведомства абсолютно логично могут обосновать любое требование, потому что само по себе, в отрыве от контекста, оно правильно. Но то, что исполнение этого требования делает практически невозможной работу предприятия, выводит из строя целую отрасль, — это никого не волнует».

Серьезный фактор, с которым сегодня уже невозможно не считаться, — это растущая консолидированность криминальной среды, которая уже выходит на законодательный уровень и уже пытается лоббировать свои интересы. Для одной стороны несовершенство законов – главная проблема, для другой – возможность уйти от ответственности. Для того чтобы собрать базу показаний, которая в состоянии выдержать весь натиск профессиональных адвокатов (ведь люди с деньгами наймут лучших), нужно иметь четкие законы и абсолютно неопровержимые доказательства, а этого добиться не просто.

Еще одна сторона проблемы связана с тем, что российские следователи и суды чрезвычайно мало искушены в этих вопросах. Судьи зачастую очень смутно представляют, о чем идет речь в случае компьютерных преступлений. Поэтому, чтобы отследить преступление, наблюдение ведется иногда годами: необходимо набрать историю, большое количество хотя и маленьких, но регулярных «проколов». Ведь люди привыкают к большим деньгами и начинают их неосторожно тратить — и тогда их можно привлечь если не за кражу, то хотя бы за неуплату налогов.

«Мы сейчас находимся в той точке, когда преступная кибериндустрия переходит на уровень серьезной угрозы безопасности национальной экономики», — считает Андрей Конусов. Он выделяет два направления удара.

• Очень часто жертвами киберпреступников становятся начинающие компании. В отношении крупного бизнеса преступники ведут себя более осторожно, поскольку он имеет возможность применить собственные способы раскрытия преступлений и наказать. А вот компании среднего масштаба, тот самый долгожданный средний класс, стартапы, которые только становятся на ноги, — эти первичные деньги начинают отстреливать просто путем кражи. И бизнесы начинают закрываться, оказавшись в сплошных долгах.

• Вовлечение в преступную деятельность большого количества молодых, неокрепших умов, причем лучших, талантливых ребят, которые разбираются в информационных технологиях. Они смотрят на рынок и видят два пути своей карьеры. Либо долгий, эволюционный — в роли системного администратора, специалиста, программиста, которому приходится запастись терпением и ждать, когда через несколько лет зарплата вырастет до 40, 50 тысяч. Либо альтернативный — в преступную группировку: у попавшего туда действительно есть шанс, что он всю жизнь будет воровать, но при этом в тюрьму не сядет. Однако далеко не всем хватает знаний, опыта и понимания системы, чтобы замести следы.

Борис Романов

CIO