Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.
Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.
Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?
Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.
Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.
Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.
Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.
Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?
Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.
Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.
Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.
28 коммент.:
Полностью подписываюсь под резуме. Кратко, сжато, емко.
Скажите, а что мешает количество буровых запомнить (записать на бумажку) и отправить из дома / сказать лично?
По-моему, это уже сильно за гранью ИБ. При чем тут BYOD?
Задача ИБ (и вообще безопасности) - предотвратить утечку юридически значимых документов, отчетности там, подписей и прочего.
Остановить утечку передаваемой на словах информации невозможно, только если набирать на 100% надежных людей. Но это уже про другое.
Проблема борьбы с утечками и инсайдом никогда не решалась и может решаться техническими методами. DLP - не более чем способ снизить риски до приемлемого уровня, однако этот уровень часто не определяется или определяется формально (произведение веротности из пальца, поскольку распределения нет, на последствия из другого). Я всегда говорю на своих курсах, что информацию, которую хотят украсть, украдут обязательно. И никакие запреты не помогут.Будут учить наизусть по строчке и записывать после выхода. Однако во многих случаях DLP, IRM/RMS и IAMS позволяют предотвратить большинство инцидентов, поэтому их и надо использовать. Не всегда бизнес воюет с кимами филби и рудольфами абелями.
Хотел написать, но увидел посты и понял что буду повторяться. Поэтому коротко. Проблема обеспечения конфиденциальност и - не только и не столько техническая проблема.
Этот случай, кстати, будет хорошей проверкой на то, можно ли привлечь разгласившего за факт разглашения в такой уважаемой компании.
Принимая во внимание указанный мотив побудивший к таким действиям, то как «повышение осведомленности» поможет в будущем?
Но разве, что «хактивисты» возьмут на вооружение технологии анонимизации, а пострадавшие пострадавшими останутся…
Немного оффтоп: хотелось бы знать ваше мнение по этому документу -
http://www.scrf.gov.ru/documents/6/113.html
Насколько сбалансированы в нем направления государственной политики в плане ИБ?
тут byod и не пахнет
для отправки подобной инфы подключения к корпсети не требуется: на компе посмотрел, в телефон натыкал пальцем.
защититься от такого нельзя, но реагировать на всплывшие инциденты и наказывать - нужно.
также как уголовный кодекс и пдд ведь сами по себе не предотвращают нарушений, нарушить их можно в любой момент. они просто устанавливают правила и говорят о возможном наказании.
а если бы их не было в принципе, нарушений было бы в сто раз больше.
с dlp как-то похоже.
Очень сомневаюсь, что данные люди не были осведомлены, что "разглашать" - нехорошо. Были ли в данном случае зацитированы "уголовный кодекс и пдд" - не знаю.
Часто единственным и действенным методом повышение осведомленности, является только цитирование обвинительного приговора суда, да еще и желательно к бывшему реальному сотруднику...
biakus, я по этому документу как раз завтра планировал пройтись
Повышение осведомленности - это не панацея, но мера, способствующая среди прочего росту защищенности. Если ребенку каждый день говорить, что надо мыть руки перед едой, то он начнет это делать. Так и с ИБ ;-) Нужна планомерная работа. Но полностью исключить инциденты все равно не удастся.
Что же касается, данного случая, то мне кажется (если верить информации о данной Арине Тюриной и ее фоткам в Интернете), что девочка просто не понимала до конца, что она делает и считала, что ее действия не наказуемы (по УК РФ) и что она помогает борцам с тиранией. Тут, как мне кажется, достаточно было регулярно напоминать про 183 УК РФ и ссылки на реальные приговоры. Девочку бы это отрезвило.
2 Алексей
Не уверен, что тут помогла бы работа с персоналом. К сожалению, у нас УК РФ уже практически как инструмент на службе режима воспринимается - поэтому его нарушение "во благо" скоро уже натурально подвигом будет считаться.
Так что тут пресловутый случай "может в консерватории что-то поменять".
А Hell-a привлекать будут?
Hell'а еще поймать надо ;-)
Hell часто на рабочем месте отсутствует? ;);)
Имхо политика ИБ должна еще коррелировать и с моралью.
Все эти люди думали, что раскрывают преступления. Тут сработала политика более высокого уровня, которая и разрешила "утечку" (что кстати прекрасно видно в оригинале на примере писем сотрудницы Дворковича).
Немного странно читать такие заметки на фоне полной тишины в ИБ-блогах о более актуальном событии - http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=89417-6&02
Новый законопроект вносит интересные правки в ФЗ «Об информации, информационных технологиях и о защите информации»
>путем похищения документов, подкупа или угроз, а равно иным незаконным способом
Алексей, поясните пож-та, где здесь со стороны Навального похищение, подкуп, угрозы, либо иной незаконный способ? Судя по переписке, ему предоставили документы добровольно, безвозмездно, мало того, нашли его сами.
а там скорее не со стороны Навального, а со стороны упомянутого аудитора - сбор иным незаконным способом. Впрочем, навальный ведь также собирал информацию незаконным способом - он спросил про число установок, а ему ответили, то есть аудитор не написал первым в почту "Алексей, день добрый, хотела бы вам сообщить, что там-то стоит 1 установка...". Так что сбор со стороны сабжа все же был. Другое дело - относится ли данная инфа к КТ и оформлено ли все это должным образом? Если да, то почему же тогда нет никаких судебных разбирательств с привлечением к ответственности?
>Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой.
Бывают ситуации форс-мажорные, когда принципы дают сбой, не бывает 100% надежных систем безопасности, Вы же знаете. В обычной ситуации, когда речь не идёт о нечистоплотности, коррупции и круговой поруке в проверяемой организации, при этом штатные механизмы соблюдения ЗАКОНА не работают (по крайней мере, по мнению сливающей инфу было так), принципы сбоев не дают.
>Если верить Hell'у
вот как раз хотел спросить у Вас как у одного из лучших специалистов области - как Вы считаете, можно ли верить тому, что эти письма подлинные? Вроде бы как при прошлом сливе некоторые проправительственные блоггеры утверждали что там все письма с электронной подписью и тп.
>а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом.
традиционные меры опять же не работают потому что закон не работает - нельзя остановить коррупционеров штатным путем (либо, участники так думают). Если это так, сдвигать фокус на неработающее законодательство ИМХО не правильно :)
Артем Агеев:
>Тут сработала политика более высокого уровня, которая и разрешила "утечку"
ну просто пять баллов, емко и точно.
Ronin
>он спросил про число установок, а ему ответили
183 УК РФ
>незаконным способом
не соглашусь, что СПРОСИТЬ - это незаконно)
Думаю, что вина Навального в данном случае меньше, чем его источников, с другой стороны его можно считать организатором преступного (неожиданно, да!?) формирования, идеологом и собственно, главным ответственным персонажем. Один только факт, что он явно побуждал людей совершать предступления, говорит об этом. Честно говоря, считаю таких людей как Навальный, Удальцов и иже с ними не более чем агитаторами и провокаторами, поэтому обидно, когда люди, по роду деятельности и складу ума умеющие отличать зерна от плевел, реально ведутся на призывы, направленные на впечатлительную молодежь.
И еще - слабо верится, что адекватные люди, сотрудники серьезных организаций с хорошим доходом и мотивацией, не осознавали того, что совершали преступления, разглашая конфиденциальную информацию. Думаю, имел место подкуп.
А вообще - офф топ - очень приятно видеть такой взгляд на в общем-то обыденное событие, сразу видно профессионала. Есть чему учиться!
Алексей, а распространение частной переписки по по федеральному телеканалу у нас ничем не карается?
а по поводу того, что украли. Украсть можно всё, никакие DLP и работа с персоналом не поможет. Документы с грифом "СС" - и те воруют.
Максимум чего можно добиться для получения эффекта защиты, чтобы стоимость кражи информации превышала ценность этой информации.
Частная переписка передает быть таковой, если доступна неограниченному кругу лиц ;-)
Алексей, это по факту, а юридически даже со сведений составляющих государственную тайну формально не снимается гриф секретности при опубликовании их в открытых источниках, разве нет? Мне что-то такое из института помнится
Отправить комментарий