10.07.2012

Скандал с взломом почты Навального в контексте ИБ

Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.

Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.

Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.

Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?


Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.

Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.

Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.

28 коммент.:

vsv комментирует...

Полностью подписываюсь под резуме. Кратко, сжато, емко.

Alexander Gornik комментирует...

Скажите, а что мешает количество буровых запомнить (записать на бумажку) и отправить из дома / сказать лично?

По-моему, это уже сильно за гранью ИБ. При чем тут BYOD?

Задача ИБ (и вообще безопасности) - предотвратить утечку юридически значимых документов, отчетности там, подписей и прочего.

Остановить утечку передаваемой на словах информации невозможно, только если набирать на 100% надежных людей. Но это уже про другое.

Михаил Емельянников комментирует...

Проблема борьбы с утечками и инсайдом никогда не решалась и может решаться техническими методами. DLP - не более чем способ снизить риски до приемлемого уровня, однако этот уровень часто не определяется или определяется формально (произведение веротности из пальца, поскольку распределения нет, на последствия из другого). Я всегда говорю на своих курсах, что информацию, которую хотят украсть, украдут обязательно. И никакие запреты не помогут.Будут учить наизусть по строчке и записывать после выхода. Однако во многих случаях DLP, IRM/RMS и IAMS позволяют предотвратить большинство инцидентов, поэтому их и надо использовать. Не всегда бизнес воюет с кимами филби и рудольфами абелями.

vgarry комментирует...

Хотел написать, но увидел посты и понял что буду повторяться. Поэтому коротко. Проблема обеспечения конфиденциальност и - не только и не столько техническая проблема.
Этот случай, кстати, будет хорошей проверкой на то, можно ли привлечь разгласившего за факт разглашения в такой уважаемой компании.

Владимир Гнинюк комментирует...

Принимая во внимание указанный мотив побудивший к таким действиям, то как «повышение осведомленности» поможет в будущем?

Но разве, что «хактивисты» возьмут на вооружение технологии анонимизации, а пострадавшие пострадавшими останутся…

biakus комментирует...

Немного оффтоп: хотелось бы знать ваше мнение по этому документу -
http://www.scrf.gov.ru/documents/6/113.html
Насколько сбалансированы в нем направления государственной политики в плане ИБ?

pushkinist комментирует...

тут byod и не пахнет
для отправки подобной инфы подключения к корпсети не требуется: на компе посмотрел, в телефон натыкал пальцем.

защититься от такого нельзя, но реагировать на всплывшие инциденты и наказывать - нужно.

также как уголовный кодекс и пдд ведь сами по себе не предотвращают нарушений, нарушить их можно в любой момент. они просто устанавливают правила и говорят о возможном наказании.
а если бы их не было в принципе, нарушений было бы в сто раз больше.
с dlp как-то похоже.

Владимир Гнинюк комментирует...

Очень сомневаюсь, что данные люди не были осведомлены, что "разглашать" - нехорошо. Были ли в данном случае зацитированы "уголовный кодекс и пдд" - не знаю.

Часто единственным и действенным методом повышение осведомленности, является только цитирование обвинительного приговора суда, да еще и желательно к бывшему реальному сотруднику...

Алексей Лукацкий комментирует...

biakus, я по этому документу как раз завтра планировал пройтись

Алексей Лукацкий комментирует...

Повышение осведомленности - это не панацея, но мера, способствующая среди прочего росту защищенности. Если ребенку каждый день говорить, что надо мыть руки перед едой, то он начнет это делать. Так и с ИБ ;-) Нужна планомерная работа. Но полностью исключить инциденты все равно не удастся.

Что же касается, данного случая, то мне кажется (если верить информации о данной Арине Тюриной и ее фоткам в Интернете), что девочка просто не понимала до конца, что она делает и считала, что ее действия не наказуемы (по УК РФ) и что она помогает борцам с тиранией. Тут, как мне кажется, достаточно было регулярно напоминать про 183 УК РФ и ссылки на реальные приговоры. Девочку бы это отрезвило.

doom комментирует...

2 Алексей

Не уверен, что тут помогла бы работа с персоналом. К сожалению, у нас УК РФ уже практически как инструмент на службе режима воспринимается - поэтому его нарушение "во благо" скоро уже натурально подвигом будет считаться.

Так что тут пресловутый случай "может в консерватории что-то поменять".

Владимир Гнинюк комментирует...

А Hell-a привлекать будут?

Алексей Лукацкий комментирует...

Hell'а еще поймать надо ;-)

Артем Агеев комментирует...

Hell часто на рабочем месте отсутствует? ;);)

Имхо политика ИБ должна еще коррелировать и с моралью.

Все эти люди думали, что раскрывают преступления. Тут сработала политика более высокого уровня, которая и разрешила "утечку" (что кстати прекрасно видно в оригинале на примере писем сотрудницы Дворковича).

Ronin комментирует...
Этот комментарий был удален автором.
Ronin комментирует...

Немного странно читать такие заметки на фоне полной тишины в ИБ-блогах о более актуальном событии - http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=89417-6&02
Новый законопроект вносит интересные правки в ФЗ «Об информации, информационных технологиях и о защите информации»

Фин комментирует...

>путем похищения документов, подкупа или угроз, а равно иным незаконным способом

Алексей, поясните пож-та, где здесь со стороны Навального похищение, подкуп, угрозы, либо иной незаконный способ? Судя по переписке, ему предоставили документы добровольно, безвозмездно, мало того, нашли его сами.

Ronin комментирует...

а там скорее не со стороны Навального, а со стороны упомянутого аудитора - сбор иным незаконным способом. Впрочем, навальный ведь также собирал информацию незаконным способом - он спросил про число установок, а ему ответили, то есть аудитор не написал первым в почту "Алексей, день добрый, хотела бы вам сообщить, что там-то стоит 1 установка...". Так что сбор со стороны сабжа все же был. Другое дело - относится ли данная инфа к КТ и оформлено ли все это должным образом? Если да, то почему же тогда нет никаких судебных разбирательств с привлечением к ответственности?

Фин комментирует...

>Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой.

Бывают ситуации форс-мажорные, когда принципы дают сбой, не бывает 100% надежных систем безопасности, Вы же знаете. В обычной ситуации, когда речь не идёт о нечистоплотности, коррупции и круговой поруке в проверяемой организации, при этом штатные механизмы соблюдения ЗАКОНА не работают (по крайней мере, по мнению сливающей инфу было так), принципы сбоев не дают.

Фин комментирует...

>Если верить Hell'у

вот как раз хотел спросить у Вас как у одного из лучших специалистов области - как Вы считаете, можно ли верить тому, что эти письма подлинные? Вроде бы как при прошлом сливе некоторые проправительственные блоггеры утверждали что там все письма с электронной подписью и тп.

Фин комментирует...

>а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом.

традиционные меры опять же не работают потому что закон не работает - нельзя остановить коррупционеров штатным путем (либо, участники так думают). Если это так, сдвигать фокус на неработающее законодательство ИМХО не правильно :)

Фин комментирует...

Артем Агеев:
>Тут сработала политика более высокого уровня, которая и разрешила "утечку"

ну просто пять баллов, емко и точно.

Фин комментирует...

Ronin
>он спросил про число установок, а ему ответили

183 УК РФ
>незаконным способом

не соглашусь, что СПРОСИТЬ - это незаконно)

slmaxim комментирует...

Думаю, что вина Навального в данном случае меньше, чем его источников, с другой стороны его можно считать организатором преступного (неожиданно, да!?) формирования, идеологом и собственно, главным ответственным персонажем. Один только факт, что он явно побуждал людей совершать предступления, говорит об этом. Честно говоря, считаю таких людей как Навальный, Удальцов и иже с ними не более чем агитаторами и провокаторами, поэтому обидно, когда люди, по роду деятельности и складу ума умеющие отличать зерна от плевел, реально ведутся на призывы, направленные на впечатлительную молодежь.
И еще - слабо верится, что адекватные люди, сотрудники серьезных организаций с хорошим доходом и мотивацией, не осознавали того, что совершали преступления, разглашая конфиденциальную информацию. Думаю, имел место подкуп.

slmaxim комментирует...

А вообще - офф топ - очень приятно видеть такой взгляд на в общем-то обыденное событие, сразу видно профессионала. Есть чему учиться!

Mikhail комментирует...

Алексей, а распространение частной переписки по по федеральному телеканалу у нас ничем не карается?

а по поводу того, что украли. Украсть можно всё, никакие DLP и работа с персоналом не поможет. Документы с грифом "СС" - и те воруют.
Максимум чего можно добиться для получения эффекта защиты, чтобы стоимость кражи информации превышала ценность этой информации.

Алексей Лукацкий комментирует...

Частная переписка передает быть таковой, если доступна неограниченному кругу лиц ;-)

slmaxim комментирует...

Алексей, это по факту, а юридически даже со сведений составляющих государственную тайну формально не снимается гриф секретности при опубликовании их в открытых источниках, разве нет? Мне что-то такое из института помнится