Риски в кармане

Смартфон с секретом

«Порой в гаджетах пользователей можно обнаружить конфиденциальную информацию, например, пароли для учетных записей рабочей почты (17%). Несмотря на это, каждая пятая организация (21%) не принимает вообще никаких мер для защиты смартфонов и планшетов сотрудников, используемых для работы» – такие данные приводит Сергей Земков, управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии.

«Наиболее популярный способ защиты – антивирусное решение, но его использует сейчас только 40% компаний, а планирует обратиться в будущем 45%, – продолжает эксперт. – При этом угроз под мобильные платформы становится все больше: за прошлый год наши эксперты обнаружили в три раза больше новых вредоносных программ, их количество приближается к миллиону новых программ в год». Впрочем, не все так плохо – согласно этому же опросу 48% респондентов сообщили, что более обеспокоены вопросами мобильной безопасности, чем год назад.

«Даже небольшим компаниям сегодня необходимо иметь внятную политику безопасности по работе с корпоративными сервисами с мобильного устройства, иметь возможность удаленно управлять устройством, оперативно реагировать на внештатные ситуации, такие как попытка целевой атаки или кража устройства. В обязательном порядке требуется установка защитного ПО», – уверен Земков.

По мнению директора по развитию бизнеса Stack Group Владимира Лебедева, существует и другой аспект: «В отличие от служебных рабочих станций и корпоративных средств связи, личный смартфон невозможно полностью оснастить средствами защиты юридически». Одним из вариантов решения проблемы Лебедев считает ограничение использования персональных гаджетов: «Не давать устройству попасть в защищаемый периметр как логически, ограничивая использование мобильных приложений и доступ с таких устройств к беспроводным сетям, так и физически, например, вводя запрет на использование личных устройств в помещениях, где ведутся конфиденциальные переговоры».

Доверять ли «облакам»?

До массового распространения смартфонов данные в большинстве случаев хранились локально – на жестких дисках десктопов и ноутбуков. Теперь же львиная доля информации находится в «облаке». На первый взгляд это повышает безопасность, ведь облачные сервисы постоянно совершенствуются. Но в реале риски значительно выросли.

Согласно данным Аналитического центра InfoWatch, за 2016 год объем утечек данных через сетевые каналы передачи данных (браузер, облачные хранилища) вырос на 12% и составил 69,5%.

«Необходимо только узнать учетные данные, не требуется разработки и внедрения специального вредоносного ПО», – комментирует Алексей Качалин, заместитель директора по развитию бизнеса Positive Technologies в России. То есть потерянный смартфон – это зачастую записная книжка с данными по доступу к огромному множеству данных, как личных, так и корпоративных.

Впрочем, данные могут быть похищены и напрямую из удаленных хранилищ. Более того, Михаил Кондрашин, технический директор Trend Micro в России, считает, что «облачные системы становятся ключевой целью хакеров, так как, в отличие от внутренних информационных систем, открыты для попыток взлома». Кроме того, «в облачных сервисах пользователь в еще меньшей степени контролирует реальное состояние данных, – добавляет Алексей Качалин. – Их защищенность средствами шифрования может подменяться ограничением прав, при этом сами данные могут храниться в незашифрованном виде. Даже факт удаления данных не является панацеей – часто блоки лишь помечаются как удаленные в интерфейсе или, будучи удаленными пользователем, могут быть извлечены из резервных копий».

Немаловажен и вопрос выбора между использованием собственного сервера компании и облачным сервисом. С одной стороны, значительно проще и зачастую дешевле платить за «облако», не задумываясь о настройке и обслуживании сервера. «Из года в год облачные провайдеры предлагают все более богатые функциональные возможности по все более привлекательной цене», – говорит Михаил Кондрашин. «В результате область применения собственных вычислительных мощностей постепенно сужается. Наверное, ключевой вопрос, который должен стоять перед подразделением ИТ в таких условиях, формулируется следующим образом: как мигрировать существующие информационные системы в «облако» без компромисса с безопасностью?»

Но Кирилл Уголев, руководитель направления инфраструктурных решений ИБ группы «Астерос», рекомендует с осторожностью относиться к переходу к облачным технологиям, что подтверждается опытом российских компаний: «Сегодня никто не хранит критически важные данные на внешних облачных ресурсах. Сами же сервис-провайдеры очень «осторожно» относятся к предоставлению услуг по безопасности. Если посмотреть на сервисы, которые предлагают облачные провайдеры, то по большей части они сводятся к аренде инфраструктуры. Российские реалии таковы, что сегодня «облака» обеспечивают хранение данных, при этом мало кто берет на себя ответственность за их конфиденциальность и отсутствие утечек».

Подтверждает его мнение Алина Хегай, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу компаний ЛАНИТ): «Имея собственный сервер, проще организовать контролируемую зону: обеспечить контролируемый физический доступ в помещение, где он размещен (СКУД, видеонаблюдение), вести списки сотрудников, кто имеет доступ в помещение, самостоятельно настраивать аудит действий и иные средства защиты информации для более тщательного контроля и оперативного реагирования на инциденты».

«Как правило, на одном облачном сервисе хранятся данные не одной и даже не нескольких, а десятков или сотен компаний, что, естественно, делает такие сервисы «лакомым куском» для злоумышленников. К тому же, как любая другая информационная система, созданная человеком, облачные сервисы содержат в себе потенциальные уязвимости, которые могут быть использованы вирусописателями. Главным вопросом является сложность аудита и контроля систем информационной безопасности для клиента. Размещая свою информацию в публичном облачном сервисе, компания не имеет никакой возможности проверить уровень обеспечения безопасности. И даже если бы провайдеры облачных сервисов допускали своих клиентов к проведению аудита информационной безопасности своих серверов, далеко не у каждого клиента найдутся специалисты необходимой квалификации. Помимо собственно облачных сервисов, необходимо также помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне клиента. Не менее важна внутренняя политика, регламентирующая, кто из сотрудников имеет доступ к данным в «облаке» или информацию какого уровня секретности можно хранить в «облаке» и т. д. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из «облака», а какие – на локальных ресурсах, какую именно информацию стоит размещать в «облаках», а какую необходимо хранить «у себя».

Угрозы сегодня и завтра

Переход к электронным платежам – общемировая тенденция, причем с каждым годом появляются все новые методы, способствующие отказу от наличных. Например, в 2016 году была представлена технология платежей с использованием мобильного телефона. По мнению Дмитрия Огородникова, директора центра компетенций по информационной безопасности компании «Техносерв», в скором времени мы столкнемся с атаками и хищениями денежных средств именно за счет использования возможности осуществления платежей подобным способом. Кроме того, в обозримом будущем стоит ждать неприятностей со стороны «интернета вещей»: «Уже сейчас в мире используется порядка миллиарда таких устройств, а к 2020 году их количество, по прогнозам, увеличится до 6–7 миллиардов».

«В мире нет ни одного комплексного решения для обеспечения информационной безопасности устройств «интернета вещей», – считает Андрей Арефьев из InfoWatch. – И главный вызов для вендоров в этой сфере – как учесть все эти условия для разработки комплексного решения по защите огромного количества разнообразных устройств».

Возвращаясь в день сегодняшний, нельзя не сказать о том, что практически каждый человек сталкивался с ситуациями взлома аккаунта. «Наиболее часто встречающиеся в последнее время – это работа по схеме взлома аккаунта соцсетей и мессенджеровfacebook, skype, whatsup) и массовая рассылка от имени владельца сообщений с просьбой занять в долг. Суммы просят небольшие, от 3000 до 10 000 рублей, и, к сожалению, достаточно высок процент переводов», – добавляет Огородников.

Кстати, стоимость непосредственного взлома аккаунта невелика. Так, в анонимной сети TOR на специальных хакерских форумах стоимость взлома аккаунта на mail.ru,skype колеблется от 2000 до 15 000 рублей в зависимости от сложности и наличия исходных данных о жертве.

По данным Сергея Земкова, за последние несколько лет «ландшафт» киберугроз значительно изменился. «Если еще не так давно большинство таргетированных атак (то есть четко спланированных операций по взлому и проникновению в конкретные системы) были направлены в сторону государственных и исследовательских организаций, то начиная с 2014 года хакеры переключились на бизнес, в первую очередь на финансовые организации, – говорит Земков. – Использование инструментов таргетированной атаки при проникновении в инфраструктуру банка может принести много денег и крайне оперативно. Наглядный пример – нашумевшая атака Carbanak, от которой, по нашим оценкам, пострадало около 100 банков по всему миру и которая привела к совокупному ущербу примерно в один миллиард долларов. Только пересмотрев и где-то усовершенствовав подходы к обеспечению безопасности, крупные компании смогут эффективно противостоять угрозам нового типа. Для этого в первую очередь нужно уделять большее внимание технологиям обнаружения активного заражения, в то время как современные средства защиты нацелены на предотвращение заражения и, если оно произошло, не способны обнаруживать его в динамике».

Михаил Кондрашин из Trend Micro дополняет картину: «Нарождающийся пласт угроз – это атаки, которые невозможно заблокировать традиционными средствами безопасности. В качестве примера можно привести атаки на IoT. Уже более миллиарда долларов суммарно было похищено в ходе так называемых BEC-атак (Business Email Compromise), в ходе которых при помощи филигранно созданных писем электронной почты злоумышленники под видом распоряжения начальства провоцируют имеющих соответствующие полномочия сотрудников перевести им крупные суммы денег. Стоит упомянуть и BPC-атаки (Business Process Compromise), когда злоумышленники посредством взлома нарушают бизнес-процессы в компании так, что в результате вроде бы штатной работы предприятия злоумышленник крадет деньги или получает какую-либо другую выгоду».

Как жить

И все же, несмотря на все риски и угрозы, решений, позволяющих жить и работать комфортно, немало. Да и системы защиты развиваются и становятся все более совершенными.

«Существуют специализированные системы управления и защиты парка мобильных устройств (MDM, Mobile Device Management), – говорит Сергей Земков. – Такие системы как раз и призваны защитить данные компании за счет разделения «корпоративное/личное». При этом компания может задать достаточно гибкую политику для работы с корпоративными данными, почти не вторгаясь в личное пространство своих работников».

Другой вопрос, что проблему безопасности нельзя решить без должного отношения людей. «Если человек сам открывает файл и сам разрешает установку приложения, то задача злоумышленников существенно облегчается», – говорит Сергей Золотухин, менеджер по развитию бизнеса компании Group-IB. «Помочь здесь может только внимательность и аккуратность пользователя компьютера или смартфона, – добавляет он. – Несмотря на то, что в последнее время на эту тему появляется очень много материалов, проблема недостаточной информированности все еще актуальна. Своевременное и, главное, правдивое донесение до пользователей информации о киберпреступниках очень важно в формировании модели безопасного поведения как отдельного человека, так и бизнес-сообщества».