Контакты
Подписка
МЕНЮ
Контакты
Подписка

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Ориентиры безопасности в отечественном телекоме

Владимир Ульянов
Руководитель аналитического центра компании Perimetrix


Безопасность для компаний операторов связи, пожалуй, не менее важна, чем спектр предоставляемых услуг, зона покрытия или качество связи. Но чем руководствоваться при обеспечении безопасности, на что обращать внимание и откуда ожидать удара?

Определяющий фактор стабильности бизнеса

Вопросы безопасности в области телекоммуникаций являются отнюдь не праздными. Современные компании все плотнее работают с индивидуальными клиентами. В условиях жесткой конкуренции клиентская база расширяется в значительной степени за счет отдельных пользователей. Реалии сегодняшнего дня диктуют повышенные требования к сохранности сведений, которыми обладают телекомы. И, прежде всего, это – персональные данные граждан. Рынок телекоммуникаций чрезвычайно широк. Здесь представлены и относительно небольшие провайдеры, и транснациональные операторы связи. Однако все испытывают схожие проблемы. И доверие со стороны партнеров, клиентов остается определяющим фактором стабильности бизнеса и укрепления бренда.

Вообще, сфера телекоммуникаций считается довольно зарегулированной. Даже несмотря на то, что российским телекомам предъявляется значительно меньше нормативных требований, чем европейским или североамериканским.

О нормах: обязательных и рекомендательных

Прежде всего, любая компания-оператор ориентируется на закон "О связи". Надо напомнить, что сам документ регулярно пересматривается. Только в 2006-2007 годах Государственная дума четырежды вносила в него различные изменения. Однако вопросы безопасности в большей сте пени контролируются другими нормативными актами. Определяющая роль здесь принадлежит стандарту "Базовый уровень операторов связи" – набору правил и рекомендаций, гарантирующих некоторый уровень безопасности коммуникационных услуг. Несмотря на консультативный характер документа, специализация на актуальных угрозах принесла ему широкую популярность. Выполнение правил и рекомендаций "Базового уровня", помимо собственно обеспечения безопасности, укрепляет доверие между партнерами в телекоммуникационной отрасли. Операторам связи приходится немало взаимодействовать друг с другом, и уверенность, что партнер руководствуется аналогичными нормами безопасности способствует сближению.

Немало в "Базовом уровне" говорится именно о защите персональных данных. Так, компаниям рекомендуется гарантировать конфиденциальность сведений абонентов, данных биллинговых систем, передаваемых по каналам связи или хранимых в информационных системах операторов.
Кроме того, необходимо отметить один исключительно важный пункт стандарта. В разделе 4.4 приводится рекомендация: в кратчайшие сроки уведомлять партнеров в том случае, если база данных их (партнеров) клиентов была скомпрометирована. Известна западная практика информирования о подобных утечках всех пострадавших. Положение российского стандарта гораздо мягче по отношению к компаниям. Однако это только первый шаг, может быть слишком осторожный, но указывающий на необходимость раскрывать подобные факты.
Кстати, согласно "Базовому уровню" хранить журналы, регистрирующие инциденты информационной безопасности (ИБ), положено не менее трех лет. Причем не только хранить, но использовать технические средства для обнаружения инцидентов в самих журналах.

В отличие от "Базового уровня", Федеральный закон "О персональных данных" является документом обязательным. Он не предназначен специально для компаний, работающих в области телекоммуникаций, однако весьма актуален для операторов связи.
Закон действует с начала 2007 г., однако до сих пор не доказал своей эффективности. На рис. 1. представлены мнения специалистов о том, как повлияют закон "О персональных данных" и "Базовый уровень" на развитие безопасности телекомов. Очевидно, что большинство отдает предпочтение именно необязательному стандарту.


Рис. 1. Эффективность нормативных актов
Источник: Perimetrix, 2008 г.

Исполнители просто не понимают, каким образом выполнять декларируемые требования. Дело в том, что сам закон должен сопровождаться дополнительным стандартом безопасности. В текущем же состоянии закон фактически бесполезен. Выбор всех мер и средств безопасности – целиком по усмотрению самой организации. А значит, ни о каком единообразии не может быть и речи. В отношении закона ясно одно: чтобы соответствовать его требованиям, многим компаниям, в том числе и в телекоммуникационной области, понадобится серьезно реорганизовать свои ИТ-системы.

Впрочем, неопределенность документа – это не единственная его беда. Предполагается строгое наблюдение за выполнением его положений. Но как это сделать – трудно представить. Ведь, по сути, любая организация работает с персональными данными. По крайней мере, хранит сведения о собственных сотрудниках. Но проверять все юридические лица на предмет соответствия положениям закона – на это не хватит никаких ресурсов и времени. Выборочная же проверка грозит злоупотреблениями. Тем не менее это тоже первый в своем роде шаг или "блин", и его обязательно надо было сделать или "испечь".

Выполнение норм закона "О персональных данных" и "Базового уровня" способствует укреплению ИБ в целом и позволяет свести к минимуму вероятность утечек данных.

Проблемы – внутри самих компаний

Но ведь не только законы и правила являются двигателем в деле обеспечения безопасности. Прежде всего, интересы самого бизнеса должны мотивировать компании на защиту информации. И часто так получается, что выходит с точностью до наоборот.

Недавнее исследование компании Perimetrix выявило наиболее актуальные угрозы в области телекоммуникаций (рис. 2).


Рис. 2. Наиболее опасные угрозы в области телекоммуникации
Источник: Perimetrix, 2008 г.

Большинство специалистов озабочены внутренним характером угроз. С заметным отрывом лидируют утечки информации. Далее следует халатность служащих и лишь потом вирусы, хакеры и спам. Кстати, аналогичная ситуация наблюдается и за рубежом. Так, по данным Deloitte, наибольшее опасение в телекомах вызывает возможность передачи данных третьим лицам через электронную почту.

Некоторые из перечисленных угроз можно если не исключить вовсе, то, по крайней мере, уменьшить риски, связанные с ними. Именно для этого предназначены межсетевые экраны, антивирусы, спам-фильтры, дублирование ключевых систем и резервное копирование. Однако сложившихся мер борьбы с утечками и халатными пользователями пока нет. Наверное, и по этой причине тоже внутренние угрозы являются наиболее опасными. На рынке имеются решения, в том числе и комплексные, для защиты от утечек, однако в большинстве своем это устаревшие по своей идеи системы, использующие вероятностные методы с низкой эффективностью.

Из диаграммы, показанной на рис. 3, можно узнать, что же чаще всего "утекает" из телекомов. Тройка "лидеров" – это детали конкретных сделок (55%), персональные данные (50%) и финансовые отчеты (49%).


Рис. 3. Наиболее востребованные инсайдерами сведения
Источник: Perimetrix, 2008 г.

Результаты исследований еще раз демонстрируют: проблемы сосредоточены внутри компаний. Это одновременно и хорошо, и плохо. Хорошо потому, что нарушитель уже известен – им, скорее всего, окажется собственный сотрудник. Плохо – потому что не понятно, как, какими методами с ним бороться. Если в других отраслях можно использовать запрещающие политики, то перекрывать каналы связи в телекомах очень тяжело. Вот почему так важно изменить подход: не запрещать, а контролировать с помощью прогрессивных технических решений. Это вполне реально.

На страже безопасности

Разговор о мерах безопасности всегда надо начинать не с инструментов, а с основ, то есть с политики безопасности. Именно этот документ, которому не всегда уделяется должное внимание, описывает основополагающие принципы построения систем ИБ. Совместное исследование журнала "Information Security/Информационная безопасность" и компании Perimetrix "Безопасность корпоративного информационного пространства-2008", проведенное в марте 2008 г., выявило печальные факты: многие компании, в том числе и области телекоммуникаций, попросту игнорируют или недооценивают некоторые аспекты ИБ. Так, классификации данных уделяют внимание лишь 43,2%. И даже столь важный вопрос, как обеспечение непрерывности бизнеса, в рамках политики безопасности рассматривают только 44,7% компаний. Между тем даже кратковременный отказ линий связи может нести клиентам телекомов (и соответственно самим операторам) огромные убытки.

Далее не следует забывать об организационных мерах безопасности, к которым относится и инструктаж персонала. Но в трети компаний отсутствуют программы обучения и информирования работников об угрозах и действиях по предотвращению инцидентов. А еще треть организаций ограничивается одноразовым инструктажем при приеме на работу. В данном контексте необходимо отметить, что большая часть утечек информации происходит не из-за внедренных инсайдеров, а именно по вине халатных сотрудников. Поэтому регулярные тренинги по ИБ помогут в значительной степени поднять защищенность информационных ресурсов.

Рассматривая вопрос о технических мерах защиты, обратимся вновь к исследованию "Безопасность корпоративного информационного пространства-2008". Респонденты рассказали, какие средства безопасности используются в их организациях (рис. 4).


Рис. 4. Какие решения для ИБ используются в организациях
Источник: "Information Security/Информационная безопасность", Perimetrix, 2008г.

Оказывается, компании хорошо защищены от вредоносных кодов и вторжений извне с помощью антивирусов и IDS/IPS-решений. И в то же время менее половины применяют DLP-решения. Получается, что от наиболее серьезных угроз в области телекоммуникаций сегодня мало кто защищен. Почему так происходит, уже говорилось выше. Если создатели антивирусов и систем предотвращения вторжений "отточили" свои инструменты за долгие годы использования, решения для ликвидации утечек еще нередко находятся в стадии разработки. Существующие продукты не способны закрыть все имеющиеся бреши. Впрочем, решения нового поколения уже на подходе, и к концу текущего года можно ожидать всплеск интереса к DLP-продуктам, что связано с появлением принципиально новых систем с высокой степенью эффективности.

Подводя итоги...

Итак, для отечественных телекомов написано уже несколько нормативных документов, регулирующих ИБ.

Но не все так гладко, как хотелось бы. Достаточно удачный стандарт "Базовый уровень" носит лишь рекомендательный характер, в то же время обязательный закон "О персональных данных" далек от идеала. Можно не сомневаться, что законодательная база еще будет совершенствоваться.

Однако настоящим стимулом к укреплению безопасности должно стать понимание простой истины: от защищенности данных напрямую зависит успех бизнеса. Отрасль телекоммуникаций развивается в направлении конечных индивидуальных потребителей услуг. И сохранность персональных данных клиентов, наряду с качеством услуг, является залогом хорошей репутации компании. Впрочем, телекомы богаты не только персональными данными. Детали конкретных сделок, финансовые отчеты, интеллектуальная собственность и бизнес-планы представляются для инсайдеров лакомым кусочком. Устранив угрозы утечек, телекомы минимизируют соответствующие риски, сэкономят массу сил и времени на расследование инцидентов и ликвидацию их последствий, а также предотвратят вероятный ущерб репутации компании.

Опубликовано: -2008
Посещений: 31123

Статьи по теме

  Автор

Владимир Ульянов

Владимир Ульянов

Руководитель аналитического центра компании Perimetrix

Всего статей:  1

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций