Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
Приветствую Вас после непродолжительного перерыва, вызванного моим пребыванием в отпуске.

Насколько часто вашей компании приходится предоставлять свои данные, возможно, содержащие конфиденциальную информацию и о ней и о ее клиентах, посторонним лицам или организациям? Настало время, когда руководители должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими.

В сегодняшнем выпуске рассылки публикуем статью руководителя отдела по услугам в области информационных технологий и ИТ-рисков компании "Эрнст энд Янг", г-жи Мишель Мур "Руководитель на страже безопасности".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Компания Инфотекс приняла участие в пресс-конференции, посвященной выходу новой сетевой версии ПО "Мастер Паролей"
• Компания Инфотекс представила свои решения в области построения защищенных сетей на партнерском семинаре Cisco Systems
• Приглашаем посетить стенд компании Инфотекс на российской выставке информационных технологий SOFTOOL'2002

Введение
Насколько часто вашей компании приходится предоставлять свои данные, возможно, содержащие конфиденциальную информацию и о ней и о ее клиентах, посторонним лицам или организациям? Уверена, вы тут же назовете массу подобных случаев. Конечно, мы пытаемся защитить себя договорами о конфиденциальности и неразглашении информации, но делаем это скорее для собственного успокоения, прекрасно понимая, как трудно будет доказать вину партнера в суде, да и спасет ли это ваш бизнес, если жизненно важная информация уже находится у конкурентов.

Хотя вопросам информационной безопасности и уделяется достаточно серьезное внимание во многих компаниях во всем мире, применяемые ими методы управления рисками непоследовательны и зачастую недостаточны. В результате такого безответственного отношения предприятия могут слишком поздно обнаружить, что отдача от крупных инвестиций в технологии страдает из-за неадекватных бизнес-процессов, отсутствия процедур тестирования, проблем с обучением персонала, действий третьих лиц и деловых партнеров.

Обеспечение информационной безопасности зачастую по-прежнему рассматривается как технический вопрос, за который должен отвечать исключительно отдел ИТ. Принятые в результате такого подхода технологические решения не учитывают бизнес-процессов компании. В то же время важно понимать, что управление вопросами информационной безопасности имеет принципиальное значение для существования компании и получения преимуществ перед конкурентами.

Руководитель - главное звено в системе безопасности
Современная экономическая ситуация требует, чтобы руководители компаний рассматривали безопасность и доступность информации как приоритеты для всей компании, управляли этими процессами и предвидели грядущие изменения. Нельзя ограничивать стратегию информационной безопасности техническими решениями, ее составной частью должен стать глубокий анализ деловой культуры и тех рисков, с которыми компания имеет дело. Если вы хотите, чтобы эта стратегия приносила практическую пользу уже сегодня, она должна быть основана на информированности, быть объективной и служить основой для принятия тактических и оперативных решений. От того, как будет выстроена стратегия, зависят успехи или неудачи вашей компании.

Основной фактор роста риска -- неравномерное распределение инвестиций в средства защиты и общих инвестиций в информационные системы. За последние 20 лет информационные технологии проникли во все сферы управления и ведения бизнеса, однако вопросам безопасности отводилось второстепенное место. Увеличение числа компаний, использующих в своей работе электронные средства связи, привело к бурному росту "взаимосвязанных уязвимых мест", которые ставят под угрозу целые технологические цепочки или отрасли. В то же время число хакеров, способных взламывать и повреждать системы, также росло по экспоненте. Замедлить или обратить вспять рост этого риска можно только используя комплексный подход, объединяющий физическую защиту и информационную безопасность в рамках единой для всего предприятия системы правил, стандартов и инструкций, поскольку стратегия безопасности надежна настолько, насколько надежно ее слабейшее звено. Не менее важна готовность увеличить инвестиции в безопасность, так как компаниям придется изо всех сил наверстывать упущенное - ведь ставки в этом вопросе крайне высоки для любой организации, в какой бы отрасли она ни работала.

Сегодня картина выглядит достаточно оптимистично, если принять во внимание происшедшие в последнее время изменения. Появилось понимание того, что разграничение информационной безопасности, физической защиты и обеспечения непрерывной деятельности - далеко не лучший способ снизить общий уровень риска для компании. Вместо разделения этих функций следует разработать комплексную стратегию, реализуемую на базе единого набора правил, стандартов и инструкций, охватывающих все три области. Но для реализации такой стратегии необходимо сформулировать новые правила, внедрить подкрепляющие их технологии и обучить персонал соблюдению этих правил. Сегодня руководители, обеспокоенные риском в области информационной безопасности, понимают, что он не ограничивается простой утратой данных, а угрожает всей инфраструктуре компании - об этом свидетельствует печальный опыт компаний, пытавшихся восстановить свою работу после трагических событий 11 сентября 2001 года в США.

Почему мы так много говорим об этом сегодня? Чем вызван рост риска, связанного с угрозой безопасности? К сожалению, постоянно увеличивается число хакеров, получающих в свое распоряжение все более и более совершенные средства взлома. Отмечается резкий рост числа зарегистрированных атак - почти в 18 раз за период с 1998 по 2001 год. Расширяется диапазон угроз - от уничтожения данных до разрушения инфраструктуры предприятий и потери репутации. Немаловажно, что с каждой новой атакой возрастают затраты на ее ликвидацию. На уничтожение вирусов Code Red I и II во всем мире потребовалось $2,6 млрд., а мировые расходы на борьбу с вирусом I Love You составили $8,7 млрд. долларов. Внедрение любой новой технологии еще более расширяет спектр рисков. Например, распространение беспроводных технологий может привести к резкому росту рисков, создавая незащищенные точки входа в системы, которые ранее считались безопасными.

Создавая действительно всеобъемлющую систему безопасности необходимо выделить три наиболее важных аспекта - предотвращение несанкционированного доступа к системам и рабочей среде (ограничительные меры); поддержку необходимого доступа для уполномоченных лиц и обеспечение целостности данных (функциональные меры); обеспечение работы систем и непрерывности деятельности компании в целом в случае хакерских атак или чрезвычайных ситуаций (восстановительные меры). Если вы не учтете все эти составляющие, вам не удастся снизить общий уровень риска, поскольку все компоненты системы взаимосвязаны. Правила бесполезны, когда их не соблюдают или когда персонал не обучен их правильному соблюдению и не понимает их значения. Далее. Важно понимать, что безопасность - это не проект, имеющий начало, середину и конец. Постоянная эволюция угроз заставляет предприятия непрерывно развиваться вслед за ними, чтобы не допустить отставания и резкого возрастания риска. Таким образом, необходимы концептуальные изменения в философии бизнеса: инвестиции в безопасность должны соответствовать реальному риску, а не зависеть от финансовых результатов деятельности компании.

Перед лицом фактов
Итак, очевидно, что управление и координация эффективной системы обеспечения безопасности -- это задача, которую следует решать на уровне высшего руководства компании. Слабое знание этого вопроса не может быть для руководителей поводом уклоняться от его обсуждения. Как же добиться, чтобы обсуждаемые на заседаниях правления вопросы обеспечения безопасности основывались на потребностях предприятия, а не являлись реакцией на чрезвычайные происшествия или громкие статьи в прессе?

Чтобы оценить место информационной безопасности в вашей компании, искренне ответьте на несколько вопросов, проанализируйте и оцените результаты.

• Понимает ли высшее руководство вашего предприятия, что задачу обеспечения информационной безопасности следует решать именно на уровне руководства и что ее нельзя передавать исключительно под ответственность отдела ИТ? Согласована ли стратегия обеспечения информационной безопасности вашего предприятия с его общей стратегией?
• Существует ли в вашей организации четкое распределение обязанностей по обеспечению информационной безопасности?
  Могут ли руководители определить критические участки деятельности предприятия и угрожающие ему риски? С какой периодичностью эти данные подвергаются пересмотру?
• Знаете ли вы, сколько средств затрачивается на информационную безопасность и на что именно они затрачиваются? Можете ли вы оценить отдачу от этих вложений?
• Какие последствия для предприятия будет иметь серьезное нарушение безопасности (репутация, доходы, юридические последствия, результаты операционной деятельности, доверие инвесторов)?
• Считают ли в вашей компании, что система информационной безопасности может быть инструментом, стимулирующим новые виды деятельности (например, сможет ли ваша организация увеличить объем операций в интернете, внедрив эффективную систему информационной безопасности)?
  Насколько вам грозит риск приобрести репутацию компании, небрежно относящейся к вопросам информационной безопасности?
• Какие меры вы приняли к тому, чтобы действующие из лучших побуждений (или наоборот) третьи лица не смогли нанести ущерб безопасности вашей организации?
• Каким образом вы проводите независимую проверку того, что управление информационной безопасностью организовано в вашей компании должным образом?
• Как вы оцениваете эффективность предпринимаемых вами мер по обеспечению информационной безопасности?
• Способна ли ваша компания точно определить, к какому ущербу для ее финансового положения и репутации приведет перерыв в ее работе, а не просто признать, что такие последствия существуют? В частности, можете ли вы дать определение операционным убыткам в коммерческих терминах (например, какие могут быть потери вследствие упущенных благоприятных возможностей или финансовые убытки в результате того, что 10000 сотрудников не имели доступа к системам в течение четырех часов)?

Важно понимать актуальность этих вопросов и задавать их своевременно. Безответственно оставлять ответы на потом, реагировать на события после того, как они происходят.

И еще один тест. Если какое-либо из приведенных ниже высказываний вы не можете отнести к вашей компании, задумайтесь. В этом случае руководители, потенциальные партнеры компании, директора и специалисты в области безопасности должны незамедлительно принять соответствующие меры.

• Последовательный, комплексный подход к вопросам обеспечения информационной безопасности во всей организации.
• Сбалансированный подход, учитывающий возможности технологий, процессов и кадровых ресурсов.
• Ясное представление о затратах и известная отдача от вложенных средств.
• Регулярные и разумные меры по проверке эффективности систем и процедур.
• Критерии качества и показатели, помогающие оценить эффективность.
• План периодической переоценки рисков и систем безопасности.

Наступило такое время, когда руководители компаний должны осознать важность информационной безопасности, научиться предвидеть будущие тенденции и управлять ими. Эффективная работа систем безопасности должна стать первоочередной задачей для всего предприятия в целом.

Заявить о важности проблемы и выделить ресурсы на ее решение - далеко не одно и то же. Настало время раскошелиться - Харрис Миллер, президент Американской ассоциации информационных технологий, San Diego Union-Tribune, 5 ноября 2001 г.

Опрос показал: 85% из 500 респондентов -- руководителей отделов ИТ считают, что их компании "адекватно" защищены - однако больше половины (55%) из этих 85% сообщили об инцидентах за последний год - Опрос по информационной безопасности за 2001 г., InfoWorld, ноябрь 2001 г.

В ходе международного опроса 4500 специалистов по безопасности исследователи установили, что совокупный размер убытков от инцидентов в области безопасности информационных систем в период с сентября 2000 года по сентябрь 2001-го составил $1,6 трлн. - Международный опрос по информационной безопасности, отчет InformationWeek, сентябрь 2001 г.

Мы активизируем все работы, связанные с безопасностью, Мы все разжирели и расслабились, а теперь нам придется потратить время на создание систем защиты - Кевин Мюррей, директор по информационным системам, American International Group Inc., InformationWeek, 15 октября 2001 г.

В международном масштабе наибольшую озабоченность вопросами информационной безопасности выражают телекоммуникационные компании - 8,5 по десятибалльной шкале; вторыми идут банки - 8,4. Для компьютерной индустрии коэффициент составил 8,1, а для индустрии развлечений - 7,7 - Международный опрос по информационной безопасности, отчет InformationWeek, сентябрь 2001 г.

Мишель Мур - руководитель отдела по услугам в области информационных технологий и ИТ-рисков компании "Эрнст энд Янг" (опубликовано в журнале "Сетевой" №7-8/2002).

Также исследование выявило, что около 48% компаний стали серьезней относиться к угрозе компьютерного терроризма после событий 11 сентября, хотя в 49% компаний отношение к данной проблеме на изменилось. Примерно в половине компаний за последний год расходы на информационную безопасность увеличились, а в 38% компаний намерены и в 2003 г. увеличивать расходы по этой статье.
(источник - http://www.cnews.ru/, опубликовано 11.09.2002)

Ситуация с безопасностью, впрочем, была ясна и без признания Валентайна. В августе Microsoft выпустила восемь заплаток для своих продуктов, в этом месяце - еще две. Несмотря на усилия компании, дыры в программах компании обнаруживаются регулярно. "Мы пришли к выводу, что мы не можем продолжать разработку ПО методами, используемыми в настоящее время, если мы планируем выпускать защищенные программные продукты", - говорит Валентайн.

Сейчас в Microsoft ищут новые способы тестирования безопасности программ. Исследовательское подразделение Microsoft работает над средствами проверки программного кода непосредственно в ходе работы над ним.
(источник - http://www.compulenta.ru/, опубликовано 11.09.2002)

Всегда находятся злоумышленники, готовые попытаться получить доступ к чужим банковским счетам. Надавно один известный шведский хакер, попросивший не разглашать свое имя, связался с агентством Reuters и продемонстрировал, как, используя дыры в последней реализации майкрософтовской версии SSL (Secure Socket Layer), можно обмануть систему защиты сервера Microsoft, из числа тех, которые обычно используются в банках. Ему удалось в течение нескольких минут, взломав системы безопасности, получить доступ к серверам трех крупнейших шведских банков.

Однако, по мнению Kleintjes, не меньшую опасность представляют хакеры, которые проникают на персональные компьютеры клиента с помощью троянских программ. Некоторые программы способны отслеживать последовательность нажатия клавиш на компьютере. Так злоумышленнику может стать известен вводимый пользователем пароль для управления банковским счетом. Для того чтобы обезопасить клиентов банка на этот случай Kleintjes предлагает предоставить им возможность альтернативного ввода пароля при помощи графического интерфейса, в котором пароль вводится с помощью курсора и мыши.

Впрочем, ввод пароля с помощью графического интерфейса может служить гарантией защиты только до тех пор, пока он будет являться новинкой. По мере его широкого распространения могут появиться трояны, заточенные на этот способ ввода. Впрочем, действенным выходом остается применение комбинированных средств защиты, например парольного доступа и авторизации при помощи электронной подписи.
(источник - www.sec.ru, опубликовано 11.09.2002)

За этим, по сведениям "Лаборатории Касперского", немедленно следует уничтожение всех файлов в системном каталоге Windows.

"К сожалению, случай с Firehand Technologies Corporation, допустившей коммерческую реализацию продукта без его тщательной проверки на наличие деструктивных "бомб-закладок", - далеко не единственный пример оплошности софтверных компаний, - комментирует находку Евгений Касперский. - С другой стороны, это еще одно доказательство коварства вредоносных программ последнего поколения, обнаружить которые зачастую непросто. Надеюсь, что этот инцидент заставит всех производителей программных продуктов с большим вниманием относиться к проблемам безопасности собственных пользователей".

Мы же позволим себе предположить, что троян был встроен разработчиками намеренно. Невозможно представить себе пользователя, случайно набрирающего в поле "User ID" строку "czy czy". Так же трудно представить себе сотрудников компании, рассылающих пользователям, заплатившим за ПО деньги, зловредный идентификационный код.

А вот использование трояна в качестве средства борьбы с пиратством выглядит вполне правдоподобно. Достаточно встроить троян в программу и опубликовать на варезных сайтах серийный номер с тем самым "czy czy". Попытка ввести нелегальный серийный номер закончится для любителя халявы плачевно.

PS. Скачать FireHand Ember Millenium можно здесь.
(источник - www.compulenta.ru, опубликовано 10.09.2002)

Это объясняет, почему некоторые антивирусные компании поспешили заявить, что очередная активизация Klez.E не принесла особого вреда. Так, компания Sophos сообщила, что 6 сентября не зафиксировано ни одного случая потери данных, связанного с деятельностью вируса. В "Лаборатории Касперского" считают, что данные Sophos односторонни и отражают, главным образом, состояние дел британских корпоративных пользователей. "В России Klez.E имел достаточно негативные последствия", - говорит Зенкин.

Klez.E поражает компьютеры, работающие под управлением Windows, и может использовать уязвимые места в Internet Explorer. Активизировавшись, он заполняет файлы на заражённом компьютере случайном содержимым. Испорченные файлы не подлежат восстановлению и должны быть заменены с резервных копий. Более подробную информацию о Klez и способах борьбы с ним можно найти здесь.
(источник - www.compulenta.ru, опубликовано 10.09.2002)

В начале сентября компания Инфотекс подписала договор о сотрудничестве с компанией Рускард.

ПО "Мастер Паролей" от Рускард позволяет с помощью единого электронного носителя (смарткарты) обеспечить ввод паролей практически в любое прикладное ПО пользователя. Сейчас Инфотекс рассматривает возможность встраивания ПО "Мастер Паролей" в свою продуктовую линейку ViPNet, как средства авторизации при входе в защищенную сеть.

Целью сотрудничества является создание комплексного решения по защите информации, объединяющего преимущества решений ViPNet и ПО "Мастер Паролей" и обладающего оптимальным соотношением цена/функциональные возможности.

На семинаре специалистами Инфотекс был сделан доклад по решениям компании в области построения защищенных сетей.
Были затронуты следующие вопросы:
- история компании Инфотекс и ее положение на российском рынке систем информационной безопасности;
- лицензии и сертификаты компании;
- модульная структура решения ViPNet [CUSTOM] и возможности использования в решении задач заказчика;
- характеристики ViPNet;
- нововведения в версии 2.8., удаленное защищенное управление маршрутизирующим оборудованием и каскадирование ViPNet [Координаторов];
- реализованные проекты.

Необходимо отметить, что ранее в компании Step Logic, одной из крупнейших партнеров Cisco Systems в России, проводились испытания на предмет совместной работы ПО ViPNet и оборудования Cisco в сетях для защищенной передачи данных и защищенной IP-телефонии. По результатам испытаний составлено заключении о том, что после шифрования ViPNet существует возможность различать по крайней мере 8 типов IP-трафика, чего более, чем достаточно, для приоритизации голосового или видео трафика в случае использования IP-телефонии или проведения аудио-, видеоконференций.

На семинаре также присутствовали специалисты от НИП "Информзащита" и ОАО "Элвис+", что привнесло объективность в оценку сделанного доклада и заданные слушателями вопросы. Все это, несомненно, будет способствовать дальнейшему развитию решений на базе технологии ViPNet.

Место проведения: Москва, Всероссийский выставочный центр (павильон № 69).
Время проведения: 24 - 28 сентября 2002 года
Учредители выставки: Министерство науки и технологий РФ, Правительство Москвы, Отделение информатики, вычислительной техники и автоматизации РАН, Торгово-промышленная палата РФ.

Постоянные участники выставки - лидеры российского рынка информационных технологий уже серьезно заявили о себе и в стране, и за ее рубежами, как квалифицированные разработчики сложнейших систем в области управления, автоматизации технологических процессов, телекоммуникации, научных исследований, образования, а также широкого спектра прикладного программного обеспечения.

В рамках выставки проходит Всероссийская Конференция "Информационные технологии в России". Конференция включает несколько разделов по ключевым направлениям развития ИТ.

На стенде № H08 наши специалисты продемонстрируют последние достижения компании по защите распределенных информационных корпоративных ресурсов на базе технологии ViPNet и ответят на Ваши вопросы. Здесь можно посмотреть схему расположения стенда H08 компании Инфотекс.

Кроме того, 24 сентября в конференц-зале на 2 этаже с 15.00 по 18.00 в секции "Защита корпоративной сети от внешних и внутренних атак" с докладом "Интернет как среда для безопасных коммуникаций" выступит Гусев Дмитрий Михайлович, директор отдела маркетинга компании Инфотекс.

Ждем Вас на нашем стенде.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.