архив
Безопасность телекомов
Алексей Доля
2007-04-10
Телекоммуникации - особая отрасль. Гигантские сети крупнейших операторов связи соседствуют с небольшими сетями игроков поменьше, взаимодействуют между собой, доверяют данные и конфиденциальную информацию. Естественно, проблемы безопасности выходят при этом на первый план, и именно о них пойдет речь далее.
Российская отрасль телекоммуникаций все больше становится похожа на своих западных коллег. Прежде всего, это проявляется в регулировании данного сегмента рынка. Пока что российские телекомы должны удовлетворять намного меньшему числу нормативов, чем аналогичные компании в Европе и США, но ситуация постепенно меняется.
Во-первых, все ближе России становится «Базовый уровень информационной безопасности операторов связи». Это целый набор рекомендаций в области защиты данных. Причем все его положения могут очень легко превратиться в обязательные требования.
Во-вторых, уже давно у всех на слуху ФЗ «О персональных данных». Конечно, это не закон в сфере информационной безопасности (ИБ), но ряд положений по защите приватных сведений он имеет. Эти требования касаются в том числе и российских телекоммуникационных компаний. Итак, внимательно посмотрим на оба эти норматива вблизи.
«Базовый уровень»
«Базовый уровень ИБ операторов связи» представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ. Для таких целей и вводится «Базовый уровень».Сегодня данный стандарт разрабатывается Международным союзом электросвязи, а в России наибольший вклад в его развитие вносит Ассоциация документальной электросвязи. В принципе использование рекомендаций различается в каждой стране, в зависимости от требований государственного регулирования. Так, одни регуляторы смогут использовать данные рекомендации в качестве лицензионных условий. Другие — смогут самостоятельно выдвигать требования о выполнении данных рекомендаций в качестве условия присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги для пользователей с тем уровнем безопасности, который гарантируется при выполнении «Базового уровня», а услуги с повышенным уровнем безопасности могут предоставляться оператором на платной основе.
Рекомендации «Базового уровня»
Набор рекомендаций «Базового уровня» разделен на три группы: политики оператора, технические средства и обеспечение взаимодействия. Все представленные рекомендации проверяемы. Эта проверка может осуществляться оператором как самостоятельно с последующим декларированием, так и аудиторским органом через систему подтверждения соответствия. Методология проверки сейчас разрабатывается.Прежде всего, отметим, что «Базовый уровень» рекомендует оператору связи иметь эффективную политику ИБ. Во-первых, политика должна быть зафиксирована (утверждена) в соответствии с внутренними процедурами компании. Во-вторых, политика должна включать раздел о разграничении ответственности между персоналом оператора, между оператором и его партнерами, между оператором и клиентом. В-третьих, положения политики ИБ рекомендуется включать в должностные инструкции персонала оператора. В-четвертых, применяемые методы защиты не рекомендуется направлять против третьих лиц (лиц, не причастных к созданию угроз ИБ) и/или их информационных ресурсов, а также причинять умышленный вред третьим лицам и/или их ресурсам. Наконец, в-пятых, возможный вред, причиняемый применяемыми средствами защиты, должен быть существенно меньше вреда, для противодействия которому эти средства используются.
Конечно, все рекомендации выглядят довольно логичными и, можно даже сказать, очевидными. Однако, по мнению аналитического центра InfoWatch, на практике многие представители телекоммуникационного бизнеса обходятся вообще без политики ИБ, так что требования «Базового уровня» вполне закономерны. Переходя к рекомендациям в сфере технических средств, отметим пункты 3.14 и 3.16–3.18. Если все остальные требования данной главы «Базового уровня» указывают на конкретные технические моменты обеспечения ИБ, то пункт 3.14, напротив, является концептуальным: «Оператору рекомендуется принимать технические и организационные меры, позволяющие установить источник нарушений системы безопасности…, а также позволяющие блокировать (деактивировать) атаки». Как указывают эксперты InfoWatch, операторы должны быть в состоянии выяснить, откуда происходит атака, например, в случае DoS-атаки или неправомерных действий внутренних нарушителей. Кроме того, компания должна быть в состоянии блокировать этот источник, чтобы избежать реализации инцидента ИБ.
Группа пунктов 3.16–3.18 также очень интересна. Раздел 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Здесь следует в первую очередь обратить внимание на проблему безопасности персональных данных. К ней мы вернемся несколько позже в контексте ФЗ «О персональных данных», но пока заметим, что именно уязвимость приватных сведений граждан является одной из главных специфических проблем телекоммуникационной отрасли.
Согласно разделам 3.17 и 3.18 компания должна вести журналы регистрации событий ИБ и хранить их, исходя из сроков исковой давности (в России общий срок — 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Таким образом, «Базовый уровень» предусматривает пассивные меры ИБ, состоящие в накоплении информации для расследования инцидентов ИБ постфактум.
Заключительным разделом «Базового уровня» является «Обеспечение взаимодействия». В этой главе любопытно отметить пункт 4.4: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, в России наконец-таки может появиться норма, которая закрепит обязанность оператора в разглашении факта и всех обстоятельств утечки персональных данных клиентов. Конечно, пока «Базовый уровень» только разрабатывается и в будущем может носить лишь рекомендательный характер. Однако, по мнению аналитического центра InfoWatch, тенденции развития нормативного регулирования в России однозначно указывают, что «Базовый уровень» довольно быстро станет обязательным. На практике требования этого норматива просто превратятся в условия получения лицензии на предоставление телекоммуникационных услуг.
ФЗ «О персональных данных»
Наш журнал уже не раз рассказывал о требованиях этого закона к безопасности приватных данных (см., например, № 8 за 2006 год). Более того, в статье «Иллюзия приватности» (№ 1 за 2007 год) приводились результаты исследования «Защита персональных данных по закону», в ходе которого компания InfoWatch опросила 300 профессионалов по IT-безопасности.Во время исследования 49% респондентов заявили, что основным препятствием на пути реализации требований закона является недостаточная конкретность его требований. Следовательно, уполномоченный орган, которому государство поручило следить за реализацией положений ФЗ «О персональных данных», должен выпустить соответствующий стандарт. Отметим, что этот орган уже выбран. Им является ФСТЭК России. Однако стандарт безопасности персональных данных все еще не разработан и не опубликован.
Между тем посмотрим, насколько легко будет телекоммуникационным компаниям выполнить положения ФЗ. Обращаясь к результатам исследования InfoWatch, заметим, что большая часть респондентов (47%) считает внедрение требований достаточно сложным, но выполнимым проектом. При этом информационную систему придется модернизировать довольно сильно. Почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять IT-инфраструктуру не следует, хотя повозиться все-таки придется. Еще 7% респондентов высказали мнение, что это очень легкий проект, а 14% назвали его весьма сложным. На основе ответов можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне реальными (диаграмма 1).
По мнению экспертов InfoWatch, при должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских телекомов больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.
Диаграмма 1. Насколько сильно придется изменять свою IT-систему в соответствии с ФЗ?
Кроме того, 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты. Таким образом, подавляющее большинство респондентов (71%) совершенно адекватно отреагировало на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек.
Диаграмма 2. Планы по внедрению новых IT-продуктов для соответствия ФЗ
Специфика обеспечения ИБ в телекомах
Специфика защиты информации в телекоммуникационных компаниях проявляется, прежде всего, в характере тех данных, которые необходимо защищать. Например, если говорить о топливно-энергетическом комплексе или промышленности, то наибольшую ценность для организации представляют технологические секреты, интеллектуальная собственность и коммерческая информация. В телекомах ситуация несколько иная. Дело в том, что многие операторы связи предоставляют услуги населению, а это автоматически приводит к накоплению больших объемов персональных данных клиентов компании. Где вся эта информация хранится? В базах данных, находящихся в IT-инфраструктуре оператора. Кража такой информации чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования ФЗ «О персональных данных». Это может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа. Наконец, в перспективе это приведет к нарушению рекомендаций «Базового уровня», а значит, и к отзыву лицензии.Проблемы белорусского телекома
Посмотрим, как от описанных выше инцидентов ИБ пострадали две известные компании. Так, в сентябре 2006 года произошла утечка базы данных белорусского сотового оператора Velcom. Местные журналисты купили в Интернете текстовый файл с информацией о 2 млн абонентах этого оператора. В нем содержались номера мобильных телефонов и ФИО клиентов. Белорусская пресса сразу же накинулась на Velcom, вспомнив, что базы данных компании регулярно становятся достоянием общественности: с 2002 года вышло как минимум 6 вариантов, причем каждый раз информация дополнялась. Между тем, аналогичные данные компании МТС в белорусском Интернете по-прежнему отсутствуют.Столкнувшись с волной критики, оператор Velcom не стал отмалчиваться и сделал ряд заявлений. Во-первых, компания сообщила, что белорусские законы не защищают персональные данные граждан. Следовательно, никаких юридических претензий к Velcom быть не может. Во-вторых, оператор заявил, что уже вычислил источник утечки. Им оказался белорусский банк, которому была передана база данных клиентов (номер телефона и ФИО каждого абонента) «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». Другими словами, Velcom попытался оправдаться. В-третьих, сотовая компания настаивает, что банк должен был сохранять базу в тайне, так как это зафиксировано в договоре. Теперь Velcom предъявляет банку претензии и «рассматривает возможность предъявления иска о защите деловой репутации». К чему такое разбирательство может привести на практике, мы узнаем только со временем. Правда, эксперты InfoWatch отмечают, что инсайдеры слишком часто уходят от ответственности…
Проблемы петербургского телекома
Здесь речь пойдет о базе данных логинов и паролей пользователей петербургского хостинг-провайдера Valuehost.ru. В конце октября 2006 года в Интернете появилась приватная БД хостинг-оператора, содержащая логины и пароли к 101 тыс. сайтов. Фирма инициировала внутреннее расследование, но конкуренты сразу же начали активно отбирать у Valuehost клиентов.Товар, представленный в ряде электронных магазинов (www.plati.ru, www.zaplati.net и www.privet.in), назывался просто и со вкусом — «База данных Valuehost.ru со всеми логинами и паролями». Информация о размещении базы датирована концом сентября 2006 года. Как уверяет продавец, скрывающийся под псевдонимом Money-monster, всего за 8886 рублей любой желающий получит логины и пароли к 101 тыс. сайтов (70 тыс. пользователей). То есть покупатель сможет изменить содержание сайтов, как ему заблагорассудится.
Между тем, обстановка вокруг питерской компании продолжала накаляться. Многие пользователи решили просто сменить хостингоператора, расторгнув договор с Valuehost и заключив новый с конкурентами. Однако не все так просто, за разрыв договора и смену DNS, старый оператор требует сумму, эквивалентную $30. В ответ на это юристы портала LawMix.ru вызвались помочь пострадавшим отстоять свое право бесплатно отказаться от услуг ненадлежащего качества. Ведь предоставление услуг хостинга подчиняется закону «О защите прав потребителей». На LawMix.ru бесплатно помогают оформить иск, а за вознаграждение берутся вести дело в суде. Все заявки принимаются через электронную почту.
По мнению аналитического центра InfoWatch, петербургской компании следовало заранее позаботиться о защите своей базы данных. Однако, уже допустив утечку, Valuehost вообще не следовало выставлять условия клиентам и требовать компенсации. В результате неумелых действий руководства инцидент приобрел скандальную известность. Однако время настоящих проблем, похоже, еще не пришло. История получила развитие 1 декабря, когда «Лаборатория Касперского» опубликовала предупреждение о массовом заражении веб-сайтов Valuehost троянской программой Psyme. Все началось с жалобы посетителя сайта www.5757.ru, предоставляющего ныне популярные SMS-услуги. Установленный «Антивирус Касперского», как положено, четко отработал попытку проникновения на компьютер, однако информация об инциденте все же дошла до «Лаборатории». И хорошо, что дошла. Дальнейшие исследования выявили 470 инфицированных сайтов, причем все они являлись клиентами провайдера. Между тем, Psyme — это не какой-нибудь хулиганский вирус, а нечто гораздо более серьезное. Эта вредоносная программа принадлежит к классу Trojan-Downloader, которая, по сути, открывает для злоумышленников ворота для доступа к зараженному компьютеру. С ее помощью можно устанавливать других зловредов, превратить компьютер в зомби для рассылки спама или участия в распределенной хакерской атаке, снимать любую информацию, в том числе коды доступа к банковским счетам и многое другое.
Очевидно, массовое заражение сайтов одного и того же хостинг-провайдера возможно только в том случае, если у преступников есть приватная база данных компании. По мнению экспертов InfoWatch, злоумышленники либо воспользовались базой, которая свободно продавалась в Интернете, либо сами являются инсайдерами. Комментируя инцидент, Денис Зенкин, директор по маркетингу компании InfoWatch, заметил: «Утечка логинов и паролей уже сама по себе бросает тень на репутацию оператора. Однако использование украденной информации для массового заражения сайтов ставит под угрозу уже весь бизнес Valuehost, так как пострадать могут не только клиенты компании, но и посетители их веб-сайтов. Думаю, это может быть одна из тех утечек, которая будет стоить компании всего бизнеса ».