29 апреля 2011 г.

Кибер-безопасность по-малазийски

Красивая страна Малайзия. Куала-Лумпур – модерновый город с небоскребами под предводительством башен Петронас, историческим центром и национальными кварталами – маленькой Индией, арабским и непременным чайна-тауном, каждый из которых бережно хранит свою самобытность. И люди в этой стране замечательные – всегда улыбаются и искренне не только хотят помочь, но и помогают. Все это способствует бурному развитию туристического бизнеса, и собственно, именно так мы к этой стране в большинстве своем и относимся – еще один экзотический рай для продвинутых европейцев, вездесущих японцев и богатых американцев.
Между тем Малайзия, похоже, значительно обогнала нас не только в чистоте улиц, количестве и скорости строительства небоскребов, числе улыбок на квадратный метр площади. В стране бурно развиваются самые современные технологии. Но, в отличие от России, здесь очень трезво смотрят на происходящее и стремятся проактивно защищаться от угроз, искать новые пути решения и новые ответы на новые вызовы.
В малазийском выпуске газеты The Sun (300 тыс. только печатных экземпляров ежедневно) в каждом номере (!) – две-три статьи по проблемам информационной безопасности. Это отражает происходящее – в Малайзии практически ежемесячно проходят крупные мероприятия по безопасности информационных технологий и противодействию киберпреступности.
Вот события последней недели, которые произошли в период моей бизнес-поездки в эту страну.
На только что закончившемся Пятом саммите по киберпреступности Министерство науки, технологий и инноваций представило 10-й (!) малазийский план противодействия растущим угрозам киберпреступности. В нем масса интереснейших мероприятий, среди которых надо выделить создание Центра помощи пострадавшим от инцидентов с безопасностью – Cyber999, создание специального плагина для интернет-браузеров (пока для Mozilla и Chrom) “DontFishMe”, предназначенного для определения поддельных банковских сайтов и логотипа доверия Trust Mark (как вариант, с использованием цифрового сертификата), который будет размещаться на проверенных (и доверенных) сайтах, обеспечивающих должный уровень безопасности.
Запуск этих отнюдь не дешевых проектов имеет очень четкое обоснование. В созданный центр Cyber999 за первый квартал этого года было 3563 обращения, более 400 из которых связаны с созданием фишинговых сайтов, имитирующих сайты малазийских банков. Общие потери от киберпреступлений, включая фишинговые аферы и мошенничество в электронном банкинге, составили за прошедший год более 900 миллионов долларов.
Между тем, как отмечалось на финансовой конференции, завершившейся в прошедший уикенд, рост мобильного банкинга в стране составляет 200% в год.
На этом фоне компания Tricubes при поддержке правительства страны заявляет о создании к 2014 году системы денежных переводов по электронной почте, причем проблемы обеспечения безопасности специального веб-портала, шифрования трафика, авторизации и аутентификации пользователей являются ключевыми вопросами этого амбициозного проекта. Что интересно, сразу же после объявления о стартапе его начинают обсуждать не только специалисты, но и пресса, причем отнюдь не отраслевая.
Все это делается публично, на основе точно подсчитанной стоимости проектов, размера уже понесенных и возможных в будущем потерь, при активном участии правительственных органов, банков, телекоммуникационных компаний и просто граждан.
При таком развитии событий мы, может быть, и сохраним лидерство в области балета. А вот с безопасностью новых технологий и, главное, приложением усилий для подготовки ответов на новые вызовы информационного мира в далекой Малайзии, похоже, дела обстоят гораздо лучше.

17 апреля 2011 г.

Крупнейшая утечка данных о клиентах у них. А что нам?

Инцидент с глобальной утечкой персональных данных клиентов крупнейших компаний мира из почтовой системы компании Epsilon для России не стал значимым событием. Однако на него, на мой взгляд, стоит обратить внимание: похоже на то, что мир столкнулся с принципиально новой атакой на приватные данные. Очень коротко – суть события, информация о котором прошла 4 апреля.
Крупнейший в мире аутсорсер Epsilon, специализирующийся на электронной рассылке сообщений, отправляет в интересах своих клиентов более 40 миллиардов писем в год. Корпоративные клиенты Epsilon  – это более двух с половиной тысяч серьезных компаний, среди которых – U.S. Bank, JPMorgan Chase, Citibank, Visa, Capital One, McKinsey, Ritz-Carlton, Disney, Dell Australia и многие другие.
Взлом почтового сервера и хищение данных о клиентах неприятны сами по себе. Однако компания то ли не может установить масштаб инцидента, то ли старательно его скрывает, подчеркивая, что похищены только фамилии, имена и адреса электронной почты пользователей, что по ее мнению, не очень опасно. Такое поведение является весьма типичным -  по данным, полученным в исследовании McAfee, большинство компаний неохотно идут на расследование несанкционированных доступов в свои системы, опасаясь имиджевых потерь и просто элементарно экономя – качественное расследование стоит недешево. Каждая седьмая компания вообще не сообщала о проникновении злоумышленников в свою компьютерную сеть или об утечке информации, а о произошедшей утечке и понесенных убытках дает информацию только треть пострадавших. И это на западе, где законодательство значительно строже относится к попыткам скрыть негативную информацию, затрагивающую третьих лиц.
После кражи данных с сервера Epsilon большинство зарубежных экспертов в своих комментариях говорили о том, что сведения о принадлежности списков рассылки конкретным корпоративным клиентам значительно повышают шансы успешного фишинга – письма будут приходить от имени того банка или интернет-магазина, услугами которым получатель реально пользуется. Рик Фергюсон, директор Trend Micro по исследованиям в области безопасности и телекоммуникаций в регионе EMEA, советует клиентам пострадавших компаний внимательно относиться к электронным письмам в течение нескольких месяцев, а, может быть, даже и лет! Яркой иллюстрацией успешности целевого фишинга стал перевод в течение нескольких месяцев американским издательством Condé Nast оплаты за услуги типографии на подложный счет, который был изменен на основании простого электронного письма.
В прошедшую пятницу в сети появилась информация о том, что специалисты WebSense обнаружили на сайте Epsilon подмену веб-страниц. Пользователь, зашедший на сайт, при попытке проверить, была ли украдена его персональная информация, получает предложение загрузить специальную программку безопасности - Epsilon Secure Connect Tool, которая на самом деле является трояном. Еще раз подчеркиваю, все это происходит на официальном сайте пострадавшей ранее компании! Похоже, что атака является многоходовой, и на каждом последующем этапе будут использоваться результаты предыдущих.
Ситуацию существенно ухудшает стремительное повышение защищенности вредоносных программ. Обфускации (шифрованию) теперь подвергаются не просто имена функций, а целые блоки кода, при этом используются весьма стойкие алгоритмы шифрования, такие, как DES, а также механизмы управления электронными правами.
В этих условиях обычными средствами защиты распознать вредоносный код все сложнее и сложнее, а повсеместно применять реверсинг в пользовательских антивирусных программах и системах обнаружения вторжений дорого и сложно технически. В результате используемый направленными атаками вредоносный код не распознается средствами защиты и может работать на зараженной машине месяцами, а может быть, и годами. Чтобы не говорили производители антивирусов, но они пока не успевают за кибер-преступниками.
Мой сосед вчера поставил домашний компьютер на полную проверку. Антивирус в нем никогда не отключается, обновляется ежедневно, иногда даже – несколько раз в день. Нашел 17 вирусов и троянов. А сколько не нашел? И откуда они взялись? Вопросы риторические, ответ очевиден. Но крайне неприятен.
            Складывающаяся ситуация требует уже сегодня коренного изменения к безопасности систем, основанных, в первую очередь, на веб-технологиях. Разделение приложений и баз данных, вынос баз данных за дополнительные экраны, сплошное шифрование чувствительной информации – это уже не паранойя. Это реалии сегодняшнего дня для тех, кто действительно думает о защите информации.

10 апреля 2011 г.

Велик могучий русский языка!

Проводил в минувшую пятницу очередной курс по информационной безопасности – для кадровиков, которые часто остаются наедине с проблемами регулирования отношений между работником и работодателем по вопросам охраны коммерческой тайны, обработки персональных данных, особенно там, где айтишники существуют номинально, а безопасники ничем, кроме охраны и сопровождения грузов не занимаются (если они есть вообще). Но речь сейчас не об этом.
А о наших законах, которые наряду с двумя главными общеизвестными бедами нашей страны, похоже, уверенно становятся третьей. Аудитория, перед которой я выступал, особенно благоприятна для свежего взгляда на проблему – для них все это в диковинку, поэтому то, к чему мы уже привыкли, общаясь в профессиональной среде, здесь приходится тщательно разбирать и разбираться.
Долго, хором и поодиночке, читали часть 12  ст. 9 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (ФЗ-294): «О проведении плановой проверки юридическое лицо, индивидуальный предприниматель уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения». Я не верю в опечатки в законах. Они проходят через такое количество и таких рук, что опечатка там невозможна в принципе. Так что же тогда имели ввиду авторы под словами «не позднее, чем в течение трех рабочих дней»? Эта фраза на русский язык не переводится никаким образом. За один час предупредить можно? Это же не позднее? А за неделю? Это позднее или раньше?
Это самый яркий образец (умышленного?) лукавства в законе. Но есть и другие, не менее занятные. Закон относит к полномочиям органов контроля разработку и принятие административных регламентов проведения проверок, а также административных регламентов взаимодействия. При этом по просьбе руководителя проверяемой организации должностные лица органа государственного контроля обязаны ознакомить подлежащих проверке лиц с административными регламентами проведения мероприятий. Но вот что интересно. Обязанности разработать регламент закон не устанавливает. На сегодняшний день административных регламентов проведения проверок выполнения требований по защите персональных данных нет ни у ФСБ, ни у ФСТЭК, на которые Федеральным законом «О персональных данных» возложены функции контроля и надзора. 1 июля их представители могут прийти на проверки. Обязаны они иметь регламенты или нет? Вопрос, конечно, интересный.
Дальше – больше. ФЗ-294 обязывает органы контроля и надзора согласовывать планы проверок с прокуратурой, Генпрокуратура и контролирующие органы должны размещать планы проверок на своих сайтах. Такие планы есть. На сайте Роскомнадзора – в явном виде, на сайте Генпрокуратуры – в виде поисковой формы. Они  не совпадают! В плане Роскомнадзора проверка конкретной организации есть, в сводном плане Генпрокуратуры – нет. И что из этого следует? Можно проводить проверку или нет? Законна ли она? В ФЗ-294 ответа снова нет. Основанием для признания  результатов проверки, проведенной с грубым нарушением закона, недействительными является отсутствие согласования с прокуратурой только внеплановых проверок или отсутствие плановой проверки в плане самого контролирующего органа. Зачем же тогда затевать бодягу с генпрокуратурой?
Жалобы на несоблюдение законодательства в области персональных данных не могут являться основанием для внеплановых проверок – исчерпывающий перечень оснований есть в ФЗ-294. На исправление этого «перекоса» (по мнению регулятора) направлены изменения, принятые в первом чтение Госдумой. Но! Читаем Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2009 год (есть на сайте Роскомнадзора, за 2010 год не подготовлен, хотя постановление Правительства требует готовить его до 15 марта. Готовить, но не размещать): «Во втором полугодии отчетного периода необходимо отметить динамику снижения (почти на 50%) количества внеплановых проверок по сравнению с первым полугодием 2009 года. Это напрямую связано с вступлением в силу Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц …при осуществлении государственного контроля (надзора) …Очевидно, что отсутствие в указанном федеральном законе такого основания для проведения внеплановых проверок в области персональных данных как обращения или заявления граждан на действия (бездействие) Операторов резко снизило эффективность защиты их прав и законных интересов». Т.е. Роскомнадзор знает, что проверять на основании жалобы нельзя. Но проверяет! Правда, в два раза реже, чем хотелось бы…
Ах, как прав был безвременно ушедший Александр Иванов: «Велик могучий русский языка!». На нем можно писать законы, понять которые нельзя, а чиновник, тем не менее, всегда оказывается прав. А все остальные, соответственно, неправы…

8 апреля 2011 г.

Разрешимы ли неразрешимые проблемы персональных данных

Затаив дыхание, специалисты ждут второго чтения законопроекта депутата В.М.Резника и того, насколько радикальными будут изменения в законе «О персональных данных». Между тем, особых надежд на то, что принятие законопроекта снимет все вопросы, порожденные нынешним «неряшливым» законом, питать не стоит. Вряд ли результаты согласования проекта с Правительством приведут к еще большей либерализации норм закона. Скорее, наиболее радикальные предложения Резника будут скруглены и смягчены, а влияние государственных регуляторов на организацию обработки персональных данных сохранится.
Между тем за четыре года действия закона стало очевидно, что основная проблема кроется отнюдь не в построении подсистемы информационной безопасности. Для нее действительно нужны весьма серьезные вложения, да и применение только сертифицированных средств защиты не только усложняет выбор и архитектуру решения, но и отрицательно сказывается на таких потребительских характеристиках, как производительность или пропускная способность. Но что делать - примерно ясно. Хотя и дорого…
А вот с регулированием правовых проблем гораздо хуже. Пока видится, что даже  после принятия законопроекта в максимально полном варианте наиболее очевидные вопросы организации обработки персональных данных останутся без ответа. Как построить систему бронирования авиабилетов, если она находится в трансграничном  «облаке» монстров типа Sabre или Gabriel, билеты бронирует на большую группу один человек, не подтверждая согласие остальных (персональные данные оператор получает не от субъекта, а от третьих лиц), а для бронирования используется web-форма, в которой получение доказательств согласия субъекта на обработку невозможно в принципе. Надо ли, и если надо – то как, получать согласие получателя платежа - физического лица, если оно банку, осуществляющему платеж,  неизвестно в принципе? Как партнеры банков, входящих в систему электронных платежей, должны до начала обработки найти получателя платежа и уведомить его об этом? Как технически сделать невозможным доступ администратора медицинской информационной системы к информации о состоянии здоровья пациента, поскольку если этого не сделать, надо получать письменное согласие пациента на обработку данных не врачом.
Перечень подобных вопросов можно продолжать бесконечно. Какая-то часть из них, может быть, и снимется, если в закон будут внесены понятия конклюдентных действий субъекта, акцепта оферты или декларирования условий обработки. Но далеко не все. Да и застрявший с 2005 года на первом чтении законопроект о внесении изменений в законодательные акты в связи с принятием ФЗ-152 оптимизма не добавляет.
Значит, ответы надо искать сегодня.
Наиболее серьезно к реализации закона отнеслись, пожалуй, в российских банках. Там при активном участии Банка России и ассоциации российских банков наработана значительная практика регулирования вопросов обработки персональных данных, классификации информационных систем, разработки соответствующих нормативных документов.  С целью обобщить эту практику, систематизировать найденные решения, как получившие подтверждение регуляторов, так и принятые в силу невозможности изменить существующие бизнес-процессы, мною подготовлен семинар «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях», который состоится 22 апреля.  В основе семинара - практический опыт, приобретенный, в том числе, при  подготовке ответов на вопросы, направляемые в Консультационный центр Ассоциации российских банков, написании многочисленных статей и участии в спорах и дискуссиях, которых за эти годы прошло немало.

6 апреля 2011 г.

Практика защиты исключительных прав на коммерческую тайну в судах

Длительное время возможность использования института коммерческой тайны как инструмента защиты интересов собственника коммерчески ценной информации в России практически игнорировались. Причин этому много – и сложность реализации прописанных в законодательстве режимных мер, и отсутствие практики, и, соответственно, опыта правоприменения у милиции-полиции и судов, и непонимание топ-менеджментом того, зачем вообще все это нужно.
В последнее время ситуация начала меняться. Первым признаком подвижек для меня, например,  является появление большого количества образцов документов, направленных на реализацию режимных мер, в системах «Консультант» и «Гарант». Есть спрос – создаются и документы в правовых системах. Все чаще можно слышать ссылки на коммерческую тайну бизнесменов, категорически отказывающихся раскрыть чувствительную информацию при обращении к ним СМИ и, наконец, привлекли дополнительное внимание к проблеме громкие судебные дела, связанные с попытками самого раскрученного на сегодня блогера Алексея Навального получить доступ к коммерческим секретам крупнейших компаний, черпающих доходы «из трубы».
Видятся две главные причины всплеска интереса – кризис, резко обостряющий конкурентную борьбу, и неурегулированность отношений, связанных с коммерческой тайной, между целым рядом субъектов, в первую очередь – между хозяйственными обществами (акционерными и с ограниченной ответственностью) и их владельцами и акционерами. Объявив фактически единственным основанием для передачи коммерческой тайны работникам и контрагентам договор – трудовой или гражданско-правовой соответственно, законодательство совсем забыло о других участниках отношений, что создало совершенно фантастические возможности для злоупотребления правом и конкурентной разведки – купил одну акцию из нескольких миллионов, и можешь требовать фактически любую информацию о деятельности – вплоть до протоколов советов директоров и правлений, договоров и сделках и т.п., чем, собственно и воспользовался А.Навальный.
Другой лакуной является порядок предоставления информации по запросу органов власти, законности ее истребования, формы передачи. Особенно пикантной делает ситуацию отсутствие закона о служебной тайне и фактического права госорганов ограничивать доступ к информации о своей деятельности. А к ней, между прочим, относится и информация, полученная госорганами от коммерческих организаций в рамках реализации своих функций.
По всем этим проблемам споры уже многократно переводились в российские суды, как арбитражные (о предоставление информации, в основном), так и общей юрисдикции – по фактам коммерческого шпионажа, незаконной передачи секретов третьим лицам, увольнения работников по 81-й статье Трудового кодекса. Самые громкие – дела братьев Заславских о шпионаже против «Газпрома», менеджера «Северстали» Полярного, но есть и другие.
И выводы из результатов этих судебных дел получаются весьма занимательные, хотя далеко не однозначные.
Результаты этого анализа будут озвучены на моем авторском курсе "Реализация режима коммерческой тайны на предприятии" в Учебном центре «Информзащита». Ближайший курс состоится 12-13 апреля. Заодно расскажу и о тех механизмах охраны коммерческой тайны, которые выкристаллизовались в ходе моих последних консалтинговых проектов в крупнейших российских компаниях - порядке заключения лицензионных договоров, договоров об отчуждении исключительных прав на секреты производства и коммерческой концессии, договоров с иностранными партнерами, проведения с контрагентами совещаний, раскрывающих коммерческую тайну, особенностях представления информации о коммерческой тайне в органы власти, средствах повышения защищенности коммерческих секретов в информационных системах и о многом другом.