Антон Сапожников, начальник отдела по защите информации компании «ИТ Энигма»: «Мы имитируем хакерские атаки, применяя при этом как широко известные методы, так и собственные ноу-хау».

Вы смотрели фильм «Рекрут»? Если да, то, наверное, помните, как начинающие агенты выносили секретные сведения из главного офиса ЦРУ. Но в фильме все благополучно разрешилось, и утечки информации не произошло. В жизни зачастую бывает наоборот. Причем не обязательно похищение конфиденциальной информации может принимать такой «шпионский» вид. Сегодня лишиться важных данных можно даже из-за неправильно расположенного компьютера. Лучше всего о том, как уберечь от чужих глаз секретные сведения, расскажут профессионалы, а именно руководитель отдела защиты информации компании «ИТ Энигма» Антон Сапожников.

– Антон Александрович, способы похищения информации «как в кино» случаются в действительности?

– Конечно, случаются! И, естественно, ставят пятно на репутации организации, от которого она потом может очень долго отмываться. Наша цель состоит в том, чтобы предотвратить подобные несанкционированные утечки информации и обеспечить максимальную IT-безопасность.

– Как вы можете обезопасить предприятие?

– Мы предлагаем целый комплекс аутсорсинговых услуг по IT-безопасности. Обычно все начинается с проведения аудита системы безопасности предприятия, в результате чего выясняется, насколько компания безопасна с точки зрения сохранности электронных данных.

– Что представляет собой этот аудит?

– Начнем с того, что аудит системы безопасности предприятия делится на два типа: открытый и закрытый. В первом случае изучение системы проходит вместе с администраторами и программистами компании, которые рассказывают нам об устройстве корпоративной сети, используемом ПО и применяемых средствах защиты информации. Совместно мы находим слабые места в информационной системе и разрабатываем методы их устранения. Закрытый аудит в некоторой мере похож на те процессы похищения информации, которые мы видим в фильмах. Правда происходит похищение с разрешения топ-менеджемента предприятия, и, естественно, без причинения вреда.

– Другими словами, вы взламываете сеть компании либо иными путями похищаете ценные сведения?

– В принципе, да. Никто, кроме руководства, не знает о том, что проводится проверка системы безопасности. В этом суть скрытого аудита. В свою очередь наши специалисты, имея минимальное представление о сети предприятия, пытаются совершить проникновение в его информационную систему. Мы имитируем хакерские атаки, применяя при этом как широко известные методы, так и собственные ноу-хау. Однако каждый клиент требует индивидуального подхода, поэтому шаблонов здесь нет. К примеру, наш сотрудник может просто выступить в роли работника предприятия и, имея ограниченные права доступа в информационную систему, попытаться попасть туда, куда ему ход закрыт. После завершения проверки мы знакомим с её результатами руководство компании-заказчика. Обычно результаты представляют собой те данные, которые нам удалось получить путем обхода защиты информационной системы.

– Наверное, при таких проверках в ваших руках нередко оказываются сведения, представляющие коммерческую тайну...

– Да, действительно такое случается часто. Но по этому поводу заказчик может не переживать, один из главных принципов нашей работы – конфиденциальность. Вся полученная в ходе аудита информация в соответствии с договором не подлежит разглашению. Кстати, по причине все той же политики конфиденциальности мы держим в тайне даже названия организаций-заказчиков.

– Проверка закончена, секретная информация из сети предприятия получена. А что дальше?

– Дальнейшие действия уже зависят исключительно от заказчика. В идеале после проведения аудита следующий шаг – это устранение уязвимостей. Заниматься этим могут как специалисты заказчика, так и мы. Под устранением уязвимостей подразумевается ряд мер, которые помогут снизить риски взлома и укрепят информационную систему предприятия.

– Что это за меры?

– Однозначно ответить на этот вопрос нельзя, так как каждый случай индивидуален, и меры по укреплению безопасности также сугубо индивидуальны. Но общее все же есть. Система защиты информации – это комплекс технических, программных и организационных мер. Каждый раз мы детально расписываем предлагаемые шаги, аргументируем, почему необходимо сделать именно так, а не иначе. Кроме того, разрабатываются документы, регламентирующие деятельность предприятия, связанную с политикой безопасности.

– Главная опасность – это проникновение злоумышленников в сеть предприятия через Всемирную паутину?

– Такие случаи единичны. Главная проблема – отсутствие документов, регламентирующих политику безопасности предприятия. Именно это является наиболее слабым звеном практически всех организаций. Эти документы описывают то, как в той или иной ситуации должны вести себя простые пользователи и системный администратор. Разработка подобных документов также входит в круг наших обязанностей.

– Но это же элементарные вещи…

– Да, но при этом они либо отсутствуют, либо находятся в зачаточном состоянии. И это несмотря на то, что для составления таких документов существует множество утвержденных шаблонов. Но дело в том, что задача IT-отдела заключается в обеспечении качественной и надежной работы компьютеров и сети предприятия. Поэтому администратор заботится в первую очередь об этом, отводя задачам обеспечения безопасности второстепенную роль.

– Наверное, меры, направленные на повышение информационной безопасности, обойдутся компании в копеечку?

– Необязательно. Все зависит от результата нашей проверки. Например, в одной организации достаточно убрать с проходного места компьютер, на экране которого часто появляются данные, являющиеся коммерческой тайной, спрятать от посторонних глаз сетевые кабели и разграничить права доступа для сотрудников. В другой же ситуация может обстоять гораздо хуже, и, соответственно, цена вопроса тут будет абсолютно иной.

– Чаще встречаются первые или вторые организации?

– Пятьдесят на пятьдесят. Первые – это компании, постоянно следящие за своей инфраструктурой, совершенствующие её, а значит, и поддерживающие безопасность на соответствующем уровне. Вторые – компании, в которых сложилась определенная сносно работающая система, и, дабы не рисковать, не подвергающаяся никаким усовершенствованиям.

– Что даст компании установка столь популярных сегодня антивирусов?

– Это позволит защитить компьютер от известных производителю защитной программы вирусов. Но если кто-то решит целенаправленно заняться проникновением в систему предприятия, то эта программа окажется бессильной. От целенаправленных атак может спасти только комплексная система защиты, включающая антивирус.

– Как быть в том случае, если у организации не хватает средств на весь комплекс мер?

– Конечно, такое случается. И мы, понимая заказчиков, разрабатываем систему защиты так, чтобы ее составные части можно было отсортировать по важности, в зависимости от потребностей предприятия и состояния его системы. Благодаря этому внедрять их можно поэтапно, в соответствии с разработанным графиком.

– Кроме спокойного сна руководства, что еще дает предприятию повышение уровня его информационной безопасности?

– Очень многое, и, в первую очередь, преимущество перед конкурентами. Мы проводим тестирование компании на международный стандарт безопасности ISO 17799. Наличие такого сертификата гарантирует, что вся информация в системе предприятия защищена по всем международным стандартам, и вероятность утечки практически равна нулю. Поэтому партнеры могут без опасения передавать сертифицированной компании свои конфиденциальные данные, не переживая, что конкуренты смогут заполучить эту информацию из-за «дырявой» системы.