Защита конфиденциальной информации. Интервью с компанией InfoWatch

Тема безопасности информационных технологий уже не раз поднималась на страницах нашего ресурса. На этот раз хотелось бы обратить внимание читателя на еще одну проблему - защиту конфиденциальной информации от умышленных и неумышленных неправомерных действий со стороны сотрудников компании.

Вопросы контентной фильтрации web- и mail- трафиков уже были рассмотрены в некоторых статьях. Однако проблема все равно оставалась открытой, так как служащий предприятия все равно мог распечатать документ или переписать его на мобильный носитель. На самом деле в арсенале средств злоумышленного сотрудника есть очень много различных способов, но приведенные выше, являются, безусловно, самыми простыми.

Оказывается, сегодня на российском рынке представлена компания InfoWatch, специализирующаяся на комплексных решениях для защиты важной информации от действий инсайдеров.


Мы обратились к генеральному директору компании, Евгению Преображенскому, с просьбой рассказать о юридических, этических и технических аспектах проблемы, а также о степени ее актуальности для современного бизнеса.



Алексей Доля: Расскажите, пожалуйста, немного о самой компании InfoWatch. Насколько я понимаю, это очень молодая компания, которой удалось найти собственную нишу на рынке ИТ-безопасности. Так ли это?

Евгений Преображенский: InfoWatch была создана в ноябре 2003 г. как дочерняя компания "Лаборатории Касперского", известного российского производителя защиты от внешних угроз. Миссией InfoWatch является формирование рынка внутренней ИТ-безопасности, разработка и внедрение уникальных решений по защите конфиденциальной информации для корпоративных заказчиков. По сути, InfoWatch впитала бесценный 15-летний опыт "Лаборатории Касперского" по внедрению проектов нейтрализации вирусов, хакерских атак и спама и проецировала его на область внутренних угроз.
Сегодня трудно переоценить актуальность проблемы защиты от внутренних угроз. По данным совместного исследования Computer Security Institute и ФБР (CSI/FBI Computer Crime and Security Survey 2003), объем потерь от утечки информации значительно опередил другие ИТ-угрозы, в том числе вирусы, хакерские атаки, финансовые мошенничества и составил около 40% общего объема зарегистрированного ущерба. Согласно тому же исследованию, средний размер потери от действий инсайдеров составил 300 тыс. долл., при максимальном размере 1,5 млн. долл. Компания Ernst&Young подтверждает наметившиеся тенденции. Именно в области внутренних угроз наблюдается наибольший рост озабоченности ИТ-профессионалов: респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем.


Проблема внутренней ИТ-безопасности имеет измерение в конкретных финансовых показателях. По данным Association of Certified Fraud Examiners американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. Сопоставляя эту цифру с величиной ВВП США в 2003 г., нетрудно подсчитать, что общий объем потерь составил около 660 миллиардов долларов. По оценке InfoWatch порядка 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников.
Таким образом, налицо существование большого спроса на комплексные решения, которые позволяют предотвращать утечку информации через наиболее опасные каналы: электронную почту, интернет, мобильные носители, средства тиражирования документов. Мы считаем, что ближайшие годы будут отмечены появлением принципиально нового рынка систем ИТ-безопасности - Anti-Leakage Software - специализированных решений для контроля над конфиденциальной информацией и предотвращения ее утечки. InfoWatch будет принимать активное участие в формировании рынка, и мы планируем занять лидирующие позиции в этом сегменте не только в России, но и в общемировом масштабе.



Алексей Доля: Какие продукты для решения проблем внутрикорпоративной безопасности предлагает ваша компания?

Евгений Преображенский: Спектр решений InfoWatch включает три модуля - InfoWatch Mail Monitor, InfoWatch Web Monitor, InfoWatch Net Monitor. Каждый из них обеспечивает защиту определенных каналов передачи и мест обработки данных от утечки конфиденциальной информации. Соответственно - электронной почты, веб-трафика и операций на рабочих станциях. Заказчикам также предлагается интегрированное решение InfoWatch Enterprise Solution, которое объединяет в себе все вышеуказанные.
Неотъемлемой частью решений InfoWatch являются аудит безопасности информационной системы заказчика с точки зрения утечки информации, разработка рекомендаций по ее модернизации, создание нормативной базы, а также услуги по установке, настройке, поддержке продуктов InfoWatch и обучению персонала. Каждому заказчику компании назначается персональный менеджер технической поддержки, доступный для оказания консультаций и экстренной помощи 24 часа в сутки.


Алексей Доля: Прежде чем мы поговорим о продуктах, очень хочется прояснить юридические аспекты внутрикорпоративной безопасности. Законно ли проверять электронную корреспонденцию сотрудников и отслеживать действия в Интернет? Можете ли вы порекомендовать уже апробированные сценарии разрешения юридических проблем?

Евгений Преображенский: В России юридическая ситуация со сканированием деловой корреспонденции далека от идеала. Но все же она заметно лучше, чем, скажем в Великобритании, где множество законов и разъяснительных актов создают еще большую неразбериху.
У нас право на тайну переписки гарантируется любому гражданину РФ в соответствии с п.2 ст.23 Конституции и подтверждается ст.138 УК РФ ("нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан"). Ограничение этого права возможно только Федеральным законом. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты коммерческой тайны и своей информационной системы.

Вместе с тем действуют:

Федеральный закон "Об информатике, информатизации и защите информации", который дает организации-владельцу информации право на ее защиту;

Федеральный закон "О коммерческой тайне";

Трудовой кодекс РФ, имеющий статус Федерального закона (?197-ФЗ от 30.12.2001), где говорится, что "в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)" (ст.57);

Комментарии к УК: "нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит".

Существует несколько вариантов решения этой проблемы. Наиболее универсальным является вариант, в основу которого ложится анализ норм Федерального закона "Об информатике, информатизации и защите информации". Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку сотрудника к документированной информации ("зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать"), входящей в информационные ресурсы, собственником которых является компания "Х". Для формальной реализации варианта необходимо, во-первых, внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен "под роспись". Во-вторых, требуется модификация содержания трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить коммерческую тайну, а также условие, что все, созданное сотрудником на рабочем месте, направляется в корпоративные информационные ресурсы. Таким образом, компания "Х" получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному сотрудником адресу, архивировать, анализировать на предмет наличия коммерческой тайны.
Развитие информационных технологий в России, несомненно, потребует от законодательных органов инициатив по модернизации отечественной законодательной базы. Современный рельеф российского правового поля защиты информации требует адекватных мер по выравниванию. В обратном случае отсутствие прочной, однозначной юридической основы защиты корпоративных информационных систем может затормозить распространение ИТ и вызвать волну противоречивых судебных процессов.


Алексей Доля: После юридических аспектов вполне логично затронуть этические. Очевидно, что сотрудникам должно быть не очень приятно все время находиться под колпаком. Конечно, бизнес есть бизнес, но все-таки. Может быть, есть какие-нибудь проверенные способы уменьшить психологический гнет?

Евгений Преображенский: К сожалению, действительно в нашем обществе считается, что сотрудник, использующий компьютерную инфраструктуру работодателя, имеет право перекинуться письмами с друзьями, сходить на развлекательный сайт и т.п. Т.е. заняться деятельностью, несовместимой с прямыми должностными обязанностями. Это можно списать на десятилетия, проведенные в жестких рамках конфиденциальности бывшего СССР. Так что сегодняшние представления о "свободе" более соответствуют анархическим, нежели цивилизованным нормам гражданского общества.
Эти соображения тем более критичны в области ИТ. От защиты информационной системы организации напрямую зависит ее существование: всего одна успешная вирусная атака, одна утечка информации - и компания может стать банкротом. Поэтому между "свободой" и безопасностью должен существовать определенный баланс. Вряд ли сам сотрудник поменяет банкротство своего работодателя, который исправно платит зарплату на, скажем, сомнительную возможность бесконтрольно отсылать и принимать файлы из Интернет. Зачем человеку выступать против защиты электронной почты, что сопряжено c ее проверкой, если ему нечего скрывать, если все его действия соответствуют трудовому договору?
Нам нужно меняться, отказаться от голубой мечты и понять, что свобода, как и все в этом мире, относительна. Свобода имеет право существовать, если она не ограничивает свободу других субъектов. Например, право организации защищать собственные информационные ресурсы. Никто не выступает против жестких мер досмотра в аэропортах, потому что от этого зависит наша безопасность, жизнь. В современном мире важно соблюсти баланс между свободой и безопасностью, иначе, рано или поздно, эту свободу не к кому будет применить.


Алексей Доля: Вы не могли бы подробнее рассказать о возможностях и функционале InfoWatch Mail Monitor?

Евгений Преображенский: InfoWatch Mail Monitor является программным продуктом для предотвращения утечки конфиденциальной информации через корпоративную почтовую систему. В режиме реального времени он сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. Продукт ведет подробное архивирование переписки и сообщает ответственным лицам о случаях нарушения политики внутренней безопасности.


Алексей Доля: Как работает ваш продукт? Какие технологии и алгоритмы зашиты у него внутри?

Евгений Преображенский: InfoWatch Mail Monitor устанавливается в корпоративной сети в виде выделенного Relay-сервера под управлением операционной системы Linux или FreeBSD. Данный сервер проводит обработку исходящего почтового SMTP-трафика. Если сообщение распознано как конфиденциальное, то сервер направляет подозрительное письмо в Рабочее место офицера безопасности, который дает окончательное заключение о том, действительно ли имело место нарушение.
Фильтрующий почтовый сервер производит комплексный анализ письма, в том числе поиск в текстах сообщений и вложенных объектах (проверяются вложения форматов Plain Text, HTML, Word, Excel, PowerPoint, Acrobat, RTF, а также архивированные файлы форматов ZIP, ARJ, RAR) слов и словосочетаний, характерных для конфиденциальных данных. В результате сообщение классифицируется по рубрикам конфиденциальной информации. Далее сообщению приписывается ряд признаков, фиксируемых в заголовках сообщения, на основании которых производится дальнейшая маршрутизация сообщения.

Правила классификации сообщений определяются:

Общими и персональными профилями, определяющими методы классификации сообщений по формальным признакам. Управление профилями сервера осуществляется с помощью Менеджера профилей.

Базой фильтрации, задающей набор категорий, терминов и образцов сообщений, по которым производится классификация. Фильтрационная база создается и модифицируется с помощью приложения Менеджер категорий.

Если офицер безопасности подтверждает, что сообщение нарушает политику безопасности, формируется заключение об инциденте. Это заключение пересылается менеджеру, который принимает окончательное решение о мерах, принимаемых в связи с имеющимся нарушением. Если офицер безопасности не подтверждает нарушения, то сообщение доставляется адресатам.
Одновременно в системе ведется протокол активности пользователей, в котором фиксируется информация об отправленных сообщениях, семантические метки и данные о выполненных действиях. Эти данные используются для построения сводных отчетов об активности пользователей в Статистике сообщений.



Алексей Доля: Расскажите подробнее об InfoWatch Web Monitor.

Евгений Преображенский: Функциональная нагрузка InfoWatch Web Monitor весьма похожа на Mail Monitor. Это программный продукт для предотвращения утечки конфиденциальной информации через Интернет, в том числе веб-почту и сетевые форумы. Web Monitor в масштабе реального времени сканирует исходящий Интернет-трафик (POST-запросы), выделяет подозрительную и запрещенную активность пользователей, блокирует пересылку пакетов, которые содержат или могут содержать конфиденциальные данные. Система так же ведет подробный отчет о произведенных операциях и сообщает ответственным лицам о нарушении политики внутренней безопасности.


Алексей Доля: Как работает эта программа?

Евгений Преображенский: InfoWatch Web Monitor перехватывает пользовательские POST-запросы, обрабатываемые корпоративным прокси-сервером, с целью выявления запрещенной к пересылке информации и предотвращения ее утечки. В данный момент продукт поддерживает Microsoft ISA Server. В следующей версии, которая планируется к выпуску в конце 2004 г. будет также добавлена функция работы с прокси-сервером Squid. Схематически работа InfoWatch Web Monitor выглядит следующим образом:


На первом этапе модуль фильтрации POST-запросов, встроенный в корпоративный прокси-сервер, осуществляет перехват всех запросов типа POST, из которых формирует специальное почтовое сообщение и направляет его на фильтрующий почтовый сервер. На втором этапе фильтрующий почтовый сервер производит комплексный анализ сообщения, в том числе поиск в текстах и вложенных объектах слов и словосочетаний, характерных для конфиденциальной информации. В результате сообщение классифицируется по видам в соответствии с их принадлежностью к секретным данным.


Алексей Доля: Скажите, пожалуйста, а как происходит анализ текстового контента? Как программа определяет, является ли часть текста конфиденциальной информацией?

Евгений Преображенский: Анализ текста производится при помощи автоматического сравнения письма с базой данных фильтрации, которая как раз и содержит ключевые слова, характеризующие конфиденциальную информацию. База данных создается нашими специалистами специально для каждого заказчика, чтобы отражать специфическую область деятельности каждой организации.


Алексей Доля: Вы часто упоминаете термин "рабочее место офицера безопасности". Нельзя ли подробно объяснить, что это такое?

Евгений Преображенский: Рабочее место офицера безопасности представляет собой консоль управления, которая в масштабе реального времени оповещает офицера о произошедших инцидентах. Она позволяет осуществлять проверку данных, в которых были обнаружены признаки нарушения политики внутренней безопасности. Консоль позволяет просматривать задержанные подозрительные сообщения и анализировать, по каким признакам сообщение было опознано как конфиденциальное.
Если офицер безопасности подтверждает, что сообщение нарушает корпоративный режим секретности, то доставка сообщения блокируется. Если же сообщение не содержит секретной информации или отправка допустима, то офицер безопасности может дать системе указание пропустить его - доставить получателям. Работа в Рабочем месте офицера безопасности осуществляется удаленно посредством любого веб-браузера.


Алексей Доля: Скажите, пожалуйста, как офицер безопасности соотносится с системным администратором по привилегиям? Во многих ИТ-инфраструктурах системный администратор является, по сути, неконтролируемым сотрудником, которому по должности обязательно иметь максимальные права и доступ к любым информационным ресурсам. Насколько я понимаю, защита от утечек информации обязана учитывать и этот аспект.

Евгений Преображенский: Это очень тонкий вопрос. Причем его тонкость относится не только к российской, но и общемировой реальности. Дело в том, что сейчас только начинают разделяться обязанности ИТ-службы и службы ИТ-безопасности. До сих пор в большинстве организаций функции этих двух отделов объединены. Однако практика свидетельствует, что именно разделение служб, особенно в крупных организациях, приносит большую пользу. В Западной практике даже введены должности CIO (Chief Information Officer) и CSO (Chief Security Officer), которые, соответственно, отвечают за ИТ-инфраструктуру в целом и за ИТ-безопасность. В любом случае, отделы ИТ-безопасности продолжают работать в тесном контакте с ИТ-отделами.


Алексей Доля: Правильно ли я понимаю, что ваши продукты предназначены, прежде всего, для крупного бизнеса?

Евгений Преображенский: Сегодня нашей целевой аудиторией являются именно корпоративные заказчики. Решения InfoWatch - не коробочные продукты с замороженным функционалом и набором стандартных услуг. Это именно решения, специально созданные для специфических задач защиты конфиденциальной информации. Их неотъемлемой частью является комплекс сопутствующих услуг, распространяющийся далеко за пределы обычной технической поддержки. Это, прежде всего, аудит состояния ИТ-безопасности организации, разработка рекомендаций по ее модернизации, создание нормативно-правовой базы внедрения системы защиты от утечки информации, установка и настройка InfoWatch, обучение персонала. Естественно, что заказчиками таких решений в первую очередь являются представители крупных правительственных и коммерческих организаций.


Алексей Доля: Если не секрет, у вашей компании уже много клиентов?

Евгений Преображенский: Несмотря на то, что InfoWatch была официально представлена только в начале сентября 2004 г. нам удалось уже заключить ряд соглашений с крупными государственными и коммерческими организациями на внедрение наших решений. Среди наших клиентов, например, Волжский гидроэнергетический каскад, одна из крупнейших в мире структур управления гидроэлектростанциями; Министерство экономического развития и торговли РФ.


Алексей Доля: Есть ли какие-нибудь особенности внедрения систем внутрикорпоративной безопасности именно в российских компаниях? Может быть, отношение высшего руководства компаний к этой проблеме, тонкости российского законодательства, ментальность российских сотрудников и т.п.

Евгений Преображенский: Безусловно, в России отношение к ИТ-безопасности не такое серьезное, как, скажем, в США или Европе. В США, например, существует закон (Сарбаниса-Оксли), который однозначно требует использование систем контроля за почтой и ее архивирования для всех компаний, акции которых котируются на фондовой бирже. У нас очень хорошо регулируется защита данных для государственных учреждений (в соответствии с Законом о защите государственной тайны). Однако, ИТ-защита коммерческих структур все еще далека от достаточной упорядоченности. Часто случается, что нам приходится убеждать заказчика в необходимости применения очевидных шагов.


Алексей Доля: У ваших продуктов есть конкуренты? Вы не могли бы сравнить свои решения с конкурентами?

Евгений Преображенский: Сегодня рынок систем защиты для внутренней безопасности, в частности, против утечки конфиденциальной информации только начинает формироваться. Перед началом проекта мы внимательно изучали конкурентное окружение и обнаружили, что специализированных решений, схожих по функционалу с InfoWatch, на российском рынке нет. Можно указать лишь некоторые компании, которые решают проблему утечки для какого-то конкретного канала передачи данных (например, через электронную почту или веб-трафик), но комплексного решения, включающего контроль над всеми каналами, - не существует.
В этом смысле уникальным модулем InfoWatch является InfoWatch Net Monitor, который обеспечивает контроль над операциями с конфиденциальными документами на уровне рабочей станции. Net Monitor в масштабе реального времени отслеживает манипуляции с файлами (модификация, копирование на мобильные носители, удаление, печать и др.), заносит их в централизованный отчет и, в соответствии с настройками, блокирует те из них, которые не соответствуют политике внутренней безопасности.


Алексей Доля: Вы не могли бы немного рассказать об InfoWatch Enterprise Solution?

Евгений Преображенский: InfoWatch Enterprise Solution является интегрированным решением, объединяющим Net Monitor, Web Monitor и Mail Monitor с возможностью централизованного управления и оповещения об инцидентах. Система позволяет отслеживать операции, осуществляемые с конфиденциальной информацией внутри информационного ресурса компании, ограничивать (запрещать) определенные действия пользователей по отношению к конфиденциальной информации, ограничивать выход конфиденциальной информации за пределы компании. В целом схема работы InfoWatch Enterprise Solution выглядит следующим образом:



Алексей Доля: Легко ли развертывать и внедрять ваши продукты? Требуются ли сотрудникам компании для этого специальные знания и навыки?

Евгений Преображенский: InfoWatch является очень гибким решением, которое настраивается специально для каждого заказчика. В частности, мы предлагаем услуги по совместной установке, настройке и сопровождению системы, созданию пользовательского интерфейса в соответствии с пожеланиями пользователя. Таким образом, продукт будет подготовлен к эксплуатации профессионалами, а персонал обучен для дальнейшей работы. Как правило, заказчики предпочитают именно такой путь, поскольку он гарантирует максимальную надежность и эффективность внедрения, проведенное высококвалифицированными специалистами.
Вместе с тем, InfoWatch является отчуждаемым решением и может эксплуатироваться без посторонней помощи, но только силами заказчика.


Алексей Доля: Какую техническую поддержку вы оказываете своим клиентам?

Евгений Преображенский: В терминах традиционной технической поддержки мы вряд ли можем похвастать чем-то новым. Наши услуги представляют собой поддержку высокого корпоративного уровня, доступную, в том числе, и через наших партнеров - системных интеграторов. Она включает оказание круглосуточных консультаций по вопросам работы продуктов InfoWatch по телефону и электронной почте. Каждому заказчику назначается персональный технический менеджер для решения оперативных вопросов.


Алексей Доля: Сколько стоят ваши продукты? Есть ли какие-нибудь программы лицензирования и различные конфигурации поставок?

Евгений Преображенский: Заказчики могут выбрать поставку или отдельных модулей (InfoWatch Mail Monitor, InfoWatch Web Monitor, InfoWatch Net Monitor) или интегрированного решения InfoWatch Enterprise Solution, которое объединяет все вышеперечисленные. В зависимости от выбранного варианта поставки формируется цена решения. Как правило, стоимость комплексной поставки с учетом услуг по внедрению для корпоративных заказчиков составляет $200-300 за защищаемый узел.


Алексей Доля: Как можно приобрести ваши продукты? Вы распространяете их сами или через дистрибьюторов?

Евгений Преображенский: Наш подход к партнерской сети заключается в работе с системными интеграторами и компаниями, которые имеют опыт, знания и ресурсы для внедрения сложных проектов ИТ-безопасности. Учитывая, что составной частью InfoWatch являются услуги (доля которых в стоимости решения достигает 50%), то это требование к партнерам представляется вполне оправданным.


Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?

Евгений Преображенский: InfoWatch желает читателям безопасного Интернет, максимальной защиты от любых компьютерных угроз, которые подстерегают буквально на каждом шагу. Помните, что профилактика - лучше лечения и поэтому мы рекомендуем принимать меры защиты до того, как "грянул гром". Именно такой подход к обеспечению безопасности отличает профессионала.


Алексей Доля: Спасибо за подробные ответы и уделенное нам время. Мы и дальше будем с большим интересом следить за успехами вашей компании. Удачи!