Раздел: Компьютерная документация -> Безопасность -> Защита информации

Безопасность телекомов

Телекоммуникации - особая отрасль. Гигантские сети крупнейших операторов связи соседствуют с небольшими сетями игроков поменьше, взаимодействуют между собой, доверяют данные и конфиденциальную информацию. Естественно, проблемы безопасности выходят при этом на первый план, и именно о них пойдет речь далее.

Российская отрасль телекоммуникаций все больше становится похожа на своих западных коллег. Прежде всего, это проявляется в регулировании данного сегмента рынка. Пока что российские телекомы должны удовлетворять намного меньшему числу нормативов, чем аналогичные компании в Европе и США, но ситуация постепенно меняется.

Во-первых, все ближе России становится «Базовый уровень информационной безопасности операторов связи». Это целый набор рекомендаций в области защиты данных. Причем все его положения могут очень легко превратиться в обязательные требования.

Во-вторых, уже давно у всех на слуху ФЗ «О персональных данных». Конечно, это не закон в сфере информационной безопасности (ИБ), но ряд положений по защите приватных сведений он имеет. Эти требования касаются в том числе и российских телекоммуникационных компаний. Итак, внимательно посмотрим на оба эти норматива вблизи.

«Базовый уровень»

Сегодня данный стандарт разрабатывается Международным союзом электросвязи, а в России наибольший вклад в его развитие вносит Ассоциация документальной электросвязи. В принципе использование рекомендаций различается в каждой стране, в зависимости от требований государственного регулирования. Так, одни регуляторы смогут использовать данные рекомендации в качестве лицензионных условий. Другие — смогут самостоятельно выдвигать требования о выполнении данных рекомендаций в качестве условия присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги для пользователей с тем уровнем безопасности, который гарантируется при выполнении «Базового уровня», а услуги с повышенным уровнем безопасности могут предоставляться оператором на платной основе.

Рекомендации «Базового уровня»

Прежде всего, отметим, что «Базовый уровень» рекомендует оператору связи иметь эффективную политику ИБ. Во-первых, политика должна быть зафиксирована (утверждена) в соответствии с внутренними процедурами компании. Во-вторых, политика должна включать раздел о разграничении ответственности между персоналом оператора, между оператором и его партнерами, между оператором и клиентом. В-третьих, положения политики ИБ рекомендуется включать в должностные инструкции персонала оператора. В-четвертых, применяемые методы защиты не рекомендуется направлять против третьих лиц (лиц, не причастных к созданию угроз ИБ) и/или их информационных ресурсов, а также причинять умышленный вред третьим лицам и/или их ресурсам. Наконец, в-пятых, возможный вред, причиняемый применяемыми средствами защиты, должен быть существенно меньше вреда, для противодействия которому эти средства используются.

Конечно, все рекомендации выглядят довольно логичными и, можно даже сказать, очевидными. Однако, по мнению аналитического центра InfoWatch, на практике многие представители телекоммуникационного бизнеса обходятся вообще без политики ИБ, так что требования «Базового уровня» вполне закономерны. Переходя к рекомендациям в сфере технических средств, отметим пункты 3.14 и 3.16–3.18. Если все остальные требования данной главы «Базового уровня» указывают на конкретные технические моменты обеспечения ИБ, то пункт 3.14, напротив, является концептуальным: «Оператору рекомендуется принимать технические и организационные меры, позволяющие установить источник нарушений системы безопасности…, а также позволяющие блокировать (деактивировать) атаки». Как указывают эксперты InfoWatch, операторы должны быть в состоянии выяснить, откуда происходит атака, например, в случае DoS-атаки или неправомерных действий внутренних нарушителей. Кроме того, компания должна быть в состоянии блокировать этот источник, чтобы избежать реализации инцидента ИБ.

Группа пунктов 3.16–3.18 также очень интересна. Раздел 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Здесь следует в первую очередь обратить внимание на проблему безопасности персональных данных. К ней мы вернемся несколько позже в контексте ФЗ «О персональных данных», но пока заметим, что именно уязвимость приватных сведений граждан является одной из главных специфических проблем телекоммуникационной отрасли.

Согласно разделам 3.17 и 3.18 компания должна вести журналы регистрации событий ИБ и хранить их, исходя из сроков исковой давности (в России общий срок — 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Таким образом, «Базовый уровень» предусматривает пассивные меры ИБ, состоящие в накоплении информации для расследования инцидентов ИБ постфактум.

Заключительным разделом «Базового уровня» является «Обеспечение взаимодействия». В этой главе любопытно отметить пункт 4.4: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, в России наконец-таки может появиться норма, которая закрепит обязанность оператора в разглашении факта и всех обстоятельств утечки персональных данных клиентов. Конечно, пока «Базовый уровень» только разрабатывается и в будущем может носить лишь рекомендательный характер. Однако, по мнению аналитического центра InfoWatch, тенденции развития нормативного регулирования в России однозначно указывают, что «Базовый уровень» довольно быстро станет обязательным. На практике требования этого норматива просто превратятся в условия получения лицензии на предоставление телекоммуникационных услуг.

ФЗ «О персональных данных»

Во время исследования 49% респондентов заявили, что основным препятствием на пути реализации требований закона является недостаточная конкретность его требований. Следовательно, уполномоченный орган, которому государство поручило следить за реализацией положений ФЗ «О персональных данных», должен выпустить соответствующий стандарт. Отметим, что этот орган уже выбран. Им является ФСТЭК России. Однако стандарт безопасности персональных данных все еще не разработан и не опубликован.

Между тем посмотрим, насколько легко будет телекоммуникационным компаниям выполнить положения ФЗ. Обращаясь к результатам исследования InfoWatch, заметим, что большая часть респондентов (47%) считает внедрение требований достаточно сложным, но выполнимым проектом. При этом информационную систему придется модернизировать довольно сильно. Почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять IT-инфраструктуру не следует, хотя повозиться все-таки придется. Еще 7% респондентов высказали мнение, что это очень легкий проект, а 14% назвали его весьма сложным. На основе ответов можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне реальными (диаграмма 1).

По мнению экспертов InfoWatch, при должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских телекомов больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

Кроме того, 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты. Таким образом, подавляющее большинство респондентов (71%) совершенно адекватно отреагировало на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек.

Специфика обеспечения ИБ в телекомах

Проблемы белорусского телекома

Столкнувшись с волной критики, оператор Velcom не стал отмалчиваться и сделал ряд заявлений. Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ФИО каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». Другими словами, Velcom попытался оправдаться. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Теперь Velcom предъявляет банку претензии и «рассматривает возможность предъявления иска о защите деловой репутации». К чему такое разбирательство может привести на практике, мы узнаем только со временем. Правда, эксперты InfoWatch отмечают, что инсайдеры слишком часто уходят от ответственности…

Проблемы петербургского телекома

Товар, представленный в ряде электронных магазинов (www.plati.ru, www.zaplati.net и www.privet.in), назывался просто и со вкусом — «База данных Valuehost.ru со всеми логинами и паролями». Информация о размещении базы датирована концом сентября 2006 года. Как уверяет продавец, скрывающийся под псевдонимом Money-monster, всего за 8886 рублей любой желающий получит логины и пароли к 101 тыс. сайтов (70 тыс. пользователей). То есть покупатель сможет изменить содержание сайтов, как ему заблагорассудится.

Между тем, обстановка вокруг питерской компании продолжала накаляться. Многие пользователи решили просто сменить хостингоператора, расторгнув договор с Valuehost и заключив новый с конкурентами. Однако не все так просто, за разрыв договора и смену DNS, старый оператор требует сумму, эквивалентную $30. В ответ на это юристы портала LawMix.ru вызвались помочь пострадавшим отстоять свое право бесплатно отказаться от услуг ненадлежащего качества. Ведь предоставление услуг хостинга подчиняется закону «О защите прав потребителей». На LawMix.ru бесплатно помогают оформить иск, а за вознаграждение берутся вести дело в суде. Все заявки принимаются через электронную почту.

По мнению аналитического центра InfoWatch, петербургской компании следовало заранее позаботиться о защите своей базы данных. Однако, уже допустив утечку, Valuehost вообще не следовало выставлять условия клиентам и требовать компенсации. В результате неумелых действий руководства инцидент приобрел скандальную известность. Однако время настоящих проблем, похоже, еще не пришло. История получила развитие 1 декабря, когда «Лаборатория Касперского» опубликовала предупреждение о массовом заражении веб-сайтов Valuehost троянской программой Psyme. Все началось с жалобы посетителя сайта www.5757.ru, предоставляющего ныне популярные SMS-услуги. Установленный «Антивирус Касперского», как положено, четко отработал попытку проникновения на компьютер, однако информация об инциденте все же дошла до «Лаборатории». И хорошо, что дошла. Дальнейшие исследования выявили 470 инфицированных сайтов, причем все они являлись клиентами провайдера. Между тем, Psyme — это не какой-нибудь хулиганский вирус, а нечто гораздо более серьезное. Эта вредоносная программа принадлежит к классу Trojan-Downloader, которая, по сути, открывает для злоумышленников ворота для доступа к зараженному компьютеру. С ее помощью можно устанавливать других зловредов, превратить компьютер в зомби для рассылки спама или участия в распределенной хакерской атаке, снимать любую информацию, в том числе коды доступа к банковским счетам и многое другое.

Очевидно, массовое заражение сайтов одного и того же хостинг-провайдера возможно только в том случае, если у преступников есть приватная база данных компании. По мнению экспертов InfoWatch, злоумышленники либо воспользовались базой, которая свободно продавалась в Интернете, либо сами являются инсайдерами. Комментируя инцидент, Денис Зенкин, директор по маркетингу компании InfoWatch, заметил: «Утечка логинов и паролей уже сама по себе бросает тень на репутацию оператора. Однако использование украденной информации для массового заражения сайтов ставит под угрозу уже весь бизнес Valuehost, так как пострадать могут не только клиенты компании, но и посетители их веб-сайтов. Думаю, это может быть одна из тех утечек, которая будет стоить компании всего бизнеса ».

Итоги

Автор: Алексей Доля
Источник: electronica.finestreet.ru