|
|
Обзор
Телеком 2008Обзор подготовлен
При поддержке
Сотрудники и партнеры телекоммуникационной компании теперь могут представлять не менее серьезную угрозу ее безопасности, чем внешние злоумышленники. Чаще всего именно они по роду деятельности имеют доступ к базам данных с конфиденциальной информацией. Исходя из этого, должна строиться и защита.
Еще пару десятилетий назад основная функция телекоммуникационной компании заключалась в передаче голоса и коротких сообщений (телеграмм) по кабельным и радио каналам. Сегодня же спектр услуг и информационных сервисов, предоставляемых связистами, существенно расширился. С помощью телефона или компьютера человек может получать и отправлять мультимедийные и текстовые сообщения, работать в интернете, пользоваться услугами электронной почты и т.д.
Разнообразие сервисов, а также стремительный рост объемов данных, передаваемых по сетям, провоцирует интерес со стороны мошенников несанкционированно получить и использовать в своих интересах эту информацию. В наибольшей степени это касается персональных данных клиентов. Как известно, в телекоммуникационных компаниях генерируются огромные базы, которые содержат подробную информацию обо всех клиентах компании (ФИО, паспортные и контактные данные, данные о доходах и т.п.).
Сегодня мы часто сталкиваемся с ситуацией, когда любой желающий может прийти на компьютерный рынок и за 100-150 рублей приобрести диск с закрытой базой данных того или иного оператора связи. Последствия — самые неприятные: урон репутации и огромные финансовые риски.
В связи с этим требования, предъявляемые к защите информации, постоянно ужесточаются. Инициаторами выступают сами операторы, так как защищенные сети связи обеспечивают максимальную безопасность и минимизируют вероятность несанкционированного доступа к конфиденциальным данным при оказании услуг.
Кроме того, требования к безопасности сетей контролируются на уровне государства, которое в праве лишить компанию лицензии и подвергнуть судебному расследованию в случае, если персональные данные о пользователе не защищены должным образом.
С принятием 27 июля 2006 года Федерального закона № 152-ФЗ «О персональных данных» вопрос об их защите стал еще более актуальным. Документ гласит о том, что граждане имеют право на неприкосновенность частной жизни при сборе и обработке частной информации, а компании, работающие с персональными данными, обязаны обеспечить их надежную защиту.
Сегодня производители оборудования и программного обеспечения предлагают широкий спектр инновационных технологических решений для организации сетевой защиты. Но внедрения подобных решений не достаточно для того, чтобы предотвратить несанкционированный доступ и защитить сети мобильной и фиксированной связи от манипулирования данными, злонамеренных атак и целенаправленных диверсий.
Подход к защите должен быть всесторонним и комплексным — использование соответствующих технических средств необходимо сочетать с организационными мерами — такими, как разработка и внедрение в компаниях политики использования сетей связи и информационных систем, а и также контроль её соблюдения. Как отмечает Павел Ковалев, менеджер отдела телефонии AVAYA компании CompTek, «комплексный подход к безопасности должен обязательно учитывать очевидную тенденцию к повышению мобильности коммуникаций. Под ней понимается возможность обеспечить доступ из любого места, в любое время и с любого устройства ко всем необходимым людям, данным и сервисам. Можно выстроить дорогостоящую и хитроумную схему защиты данных внутри офиса, но какой в ней будет толк, если стоит только сотруднику с ноутбуком покинуть офис, как хранящаяся в нем информация становится практически беззащитной?!»
Основные технологические механизмы защиты информации, используемые российскими телекоммуникационными компаниями, можно разделить на две основных группы. Это средства, обеспечивающие, во-первых, безопасность при передаче и обработке данных, а, во-вторых, ограничение доступа к ним, а также управление ими. К первой группе можно отнести межсетевые экраны, криптографические комплексы и виртуальные частные сети (VPN). Остановимся более подробно на каждом из перечисленных механизмов.
Межсетевой экран (другие названия — файервол, брандмауэр) — это комплекс аппаратных и/или программных средств, который предотвращает попадание в сеть потенциально опасных данных. «Высокоинтеллектуальные» межсетевые экраны могут анализировать поступающие и исходящие в (или из) сети данные, отслеживать попытки вторжения. Например, с помощью такого экрана можно анализировать контент, пересылаемый по электронной почте, а также данные, получаемые из интернета.
Если связь не защищена с криптографической точки зрения, вся информация отправляется в виде незашифрованной цифровой последовательности. В случае перехвата она может быть легко прочитана хакером. Каналы и сети передачи данных с шифрованием трафика, в отличие от открытых, позволяют защитить данные от использования злоумышленниками даже в случае перехвата.
Согласно уже упомянутому Федеральному закону о персональных данных, все системы, которые обрабатывают персональную информацию, должны обеспечить их шифрование (т.е. они не могут передаваться по открытому каналу). Но реализация данного метода защиты связана с некоторыми ограничениями. Дело в том, что компании, поставляющие устройства для криптографической защиты данных, должны обеспечить соответствие требованиям Федеральной комиссии по техническому и экспортному контролю (ФСТЭК). ФСТЭК, в свою очередь, руководствуется законом о персональных данных, согласно которому все алгоритмы шифрования должны быть сертифицированы по ГОСТУ. Зарубежной компании, сертифицированной по международным стандартам (ISO, des), практически невозможно пройти такую сертификацию, т.к. алгоритмы, используемые в международных стандартах, не имеют российской сертификации, и их нельзя использовать при шифровании.
Для того чтобы устанавливать свои устройства безопасности на российское оборудование, зарубежному производителю сетевого оборудования с функциями шифрования необходимо заключить договор с одной из российских компаний на разработку криптографического модуля для своих устройств. Сертификаты на производство комплексов по защите информации имеют лишь несколько российских компаний (например, «Крипто-Про»). Они и оказывают услуги по подготовке зарубежных компаний к защите персональных данных российских организаций и физических лиц.
Несмотря на всю сложность процедуры, некоторые иностранные производители оборудования уже прошли сертификацию, но пока их счет идет на единицы. Использование оборудования, не соответствующего ГОСТ, согласно ФЗ № 152-ФЗ «О персональных данных» считается противозаконным.
Суть VPN заключается в том, что поверх сети интернет создается еще одна частная сеть — своего рода туннель. С ее помощью можно объединить, например, несколько офисов компании. Коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, но за счёт шифрования создаются закрытые от посторонних каналы обмена информацией.
В последнее время технология VPN используется и для предоставления доступа в интернет. При этом на все устройства, имеющие доступ к глобальной сети, устанавливаются VPN-агенты, которые автоматически шифруют всю исходящую информацию и расшифровывают всю входящую. Поскольку данные, циркулирующие в интернете, представляют собой множество пакетов протокола IP, VPN-агенты работают именно с ними.
Раньше использование VPN было очень популярным среди российских компаний. Но, с недавних пор, согласно федеральному закону о персональных данных, VPN не может использоваться для защиты данных пользователей, а только исключительно для шифрования информации, используемой в технических целях.
Ко второй группе (средства, обеспечивающие ограниченный доступ к данным и управление им) относятся аутентификация и авторизация доступа, а также специальные программные продукты, позволяющие управлять учетными записями пользователей информационной системы.
Одним из наиболее простых методов контроля доступа к ресурсам является использование пароля, но он дает очень низкий уровень защиты. Достаточно однажды услышать или увидеть этот персональный код, чтобы обойти средства защиты. При этом, если пароль к различным информационным ресурсам разный, и их более трех, это создает дополнительные трудности: пароли нужно запоминать или где-то хранить, что также не безопасно.
Аутентификация и авторизация доступа могут быть организованы и более сложным образом — с помощью одноразовых паролей, по проксимити-картам, по отпечаткам пальцев, сетчатке глаза и др. Функции аутентификации и авторизации, как правило, возлагаются на специально выделенные для этого защищенные серверы.
Сотрудники и партнеры компании могут представлять не менее серьезную угрозу безопасности, чем внешние злоумышленники. Чаще всего именно они по роду деятельности должны иметь доступ к базам данных с конфиденциальной информацией. Для ограничения угрозы со стороны инсайдеров используются продукты класса Identity Lifecycle Management (управление жизненным циклом учетных записей).
Решения класса Identity Lifecycle Management отражают организационную сторону защиты данных. Они позволяют контролировать, чтобы при приеме на работу сотруднику предоставлялся доступ лишь к необходимым ему информационным ресурсам. При увольнении сотрудника доступ к данным сразу же блокируется — все его учетные записи в информационных системах компании отключаются или удаляются.
Продукты класса Identity Manager также позволяют управлять учетными записями партнеров компании, которые могут иметь доступ к определенным информационным системам через web-интерфейсы. Если партнер неожиданно становится конкурентом компании, в целях безопасности администратор может своевременно блокировать учетные записи всех его сотрудников.
Сегодня продукты по управлению учетными записями предлагаются многими производителями оборудования, но пока их внедрение не является обязательным требованием для телекоммуникационных компаний.
Каждый из рассмотренных методов технологической защиты персональных данных широко применяется современными телекоммуникационными компаниями, но даже их комплексное использование не может гарантировать компании абсолютной безопасности.
Андрей Камбаров, руководитель направления Service Delivery компании «Черус», отмечает, что внедрение системы безопасности является сложным комплексом организационно-технических мер и требует четкого понимания бизнес-процессов, связанных с защищаемыми системами. «Зачастую компания не в состоянии самостоятельно разобраться в тонкостях таких процессов в разрезе обеспечения их безопасности. Необходим аудит систем, четкое планирование процесса внедрения. Кроме того, любая система может считаться внедренной только тогда, когда все сотрудники компании научились и готовы использовать ее преимущества. В противном случае ресурсы, затраченные на внедрение, не принесут отдачи, и результаты будут далеки от желаемых. Как правило, это означает необходимость проведения обучения сотрудников компании работе в новых условиях. Помощь в решении этих сложных задач могут оказать компании, специализирующиеся на разработке и внедрении таких систем и процессов, ускоряя процесс и позволяя сэкономить финансовые и временные ресурсы компании», — считает эксперт.
К сожалению, многие телекоммуникационные компании пока не готовы к комплексной защите своих сетей именно с организационной точки зрения. Эффективная система защиты прав человека на личную жизнь в России еще не создана. Первым шагом к этому стало вступление в силу федерального закона о защите персональных данных, но пока компаниям не удается отладить механизм, который бы обеспечил выполнение всех требований законодательства. Между тем, угроза вторжения в частную жизнь пользователей за последние 15 лет стала одной из самых острых проблем современных телекоммуникационных предприятий.
Мария Хрычева