Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.
Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.
Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?
Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.
Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.
Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что "собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом" карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи - "незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе". И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.
Второй вопрос, который возникает, изучая это дело, - репутация. Если верить Hell'у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young - одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.
Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: "Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?" Ответ Тюриной: "По 08 счету числится вроде (!) одна. Сдают в лизинг". Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?
Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.
Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.
Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность - это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую - значит гарантировать повторные успешные попытки слива конфиденциальной информации.