Головна » Медтехніка і технології » Безпека корпоративного немовляти | Медтехніка і технології


Олексій Лукацький
Бізнес-консультант з безпеки, компанія Cisco Systems

Дуже часто менідоводиться чути, що інформаційна безпека - це важко, ново, незрозуміло і т.д. Насправді все не так. Захист інформації - дисципліна хоч і нова, але має корені, що йдуть в давнину, ще до нашої ери. Але розмова піде не про це. Я покажу, що безпека інформаційної системи медичного закладу дуже схожа на лікування дітей. Скажу більше - ці два процеси побудовані на одних і тих же принципах і якщо з розповіді прибрати спецмулистих термінологію, то з першого поглядубуде важко зрозуміти, про що йдеться - про інформаційну безпеку або дитячій медицині.

Анамнез

Мова піде про безпеку медичної мережі, а точніше її філій (поліклінік, автомобілів швидкої допомоги, оснащених доступом в мережу, мобільних госпіталів і т.п.), які найчастіше і є головним болем фахівців із захисту інформації. Адже саме звідти виходить основна загроза, саме там не вистачаєкваліфікованих фахівців і мінімально необхідних засобів захисту, саме туди спрямовують свій погляд хакери, розуміючи, що легше зламати віддалений філія і використовувати його як базу для подальшої атаки на центральну мережу, ніж йти в лобову, заздалегідь прирікаючи себе на невдачу.

Філія, як і будь-яка інша віддалена майданчик (наприклад, домашній або мобільний комп'ютер), також як і новонароджене немовля незахищений і дуже слабкий. Він може підхопити будь-яку заразу. Мало того,неправильний догляд за ним також тягне за собою збільшення ризику погіршення здоров'я (зниження рівня захищеності). І при цьому сам по собі немовля захиститися не може, як і не може обійтися без материнської підтримки. Кинутий напризволяще, він стає жертвою різних проблем - від інфекційних захворювань і шкірних висипань до попрілостей і вивихів, які мають свої аналоги і в інформаційній безпеці (див. далі). Тому важливо, щоб невсипущий контроль за немовлямздійснювався цілодобово (хоча на практиці інформаційною безпекою займаються з дев'ятої ранку до шостої вечора, а батьки з дітьми навпаки - все решту часу вони надані самі собі).

Проблема посилюється ще й тим, що у новонародженого немовляти біль не локалізується - у нього може боліти все, що завгодно. Супроводжувані сльозами, ви будете шукати причину надривного плачу, яку визначити без належних навичок дуже і дуже важко. У корпоративній медичноїмережі ситуація ідентична - відсутність механізмів ідентифікації внутрішніх проблем (у дитини вони теж формуються не відразу) не дозволяє вам швидко визначити причину і джерело зниження швидкості роботи мережі та інших ознак порушення працездатності. Більше того, ваші пошуки будуть супроводжуватися постійним ниттям співробітників "у мене не працює мережа", "а чо так повільно" і т.д.

У таких аналогіях можна піти ще далі. Немовля не тільки не може локалізувати місце"Де болить", він взагалі не має уявлення про своє тіло. Він не розуміє, де і що у нього знаходиться. Тільки ставши трохи постарше, він "знаходить" свої руки та інші частини тіла. А корпоративні мережі? Ситуація схожа до ступеня змішування. Чи є у вас в організації карта мережі? Чи знаєте ви, де знаходяться ваші модеми та інші канали потенційних проблем (як з точки зору витоку інформації, так і з точки зору проникнення в мережу в обхід засобів захисту)? Ви точно знаєте, як працює вашміжмережевий екран? А коли останній раз оновлювалася ваша система виявлення атак і антивірус? Якщо на всі ці запитання ви дали негативну відповідь, то вам треба терміново зробити кроки щодо з'ясування інформації, без якої забезпечення безпеки стає схоже на казку - "Піди туди, не знаю куди. Принеси то, не знаю що".

До речі про казки. Захист інформації, як і медицина, просто рясніє казками та міфами, що заважають нормально жити не тільки пересічному користувачукомп'ютера, а й експертам. Але я не буду тут торкатися цієї теми - вона занадто велика, щоб умістити її в рамках навіть однієї статті.

Віруси та інші інфекції

Поговоримо про віруси та інших інфекціях, яким однаково підвладні і новонароджені та медичні мережі. Відрізняється вони тільки природою свого виникнення - комп'ютерні створюються людьми, а медичні - еволюцією (і в дуже рідких випадках людьми). Як і в комп'ютерномусвіті, новонароджені можуть підхопити величезна кількість різних вірусів, зіткнутися з порушенням своєї цілісності, доступністю якихось функцій свого організму. При цьому чим більше немовля взаємодіє із зовнішнім світом (прогулянки, поліклініка, оглядини, поїздки на громадському транспорті), тим вище шанси підчепити заразу. Зниження цього ризику цілком під силу не тільки дітям VIP-персон (великим корпораціям), але і спадкоємцям неблагополучних сімей. Було б бажання, а можливостейіснує величезна кількість (про них дивися далі).

Всупереч поширеній помилці, малюк може заразитися не тільки повітряно-крапельним шляхом, хоча основний обсяг заражень відбувається саме так. Але не можна скидати з рахунків і інші канали інфікування (той же дотик брудними руками, через молоко матері та інші, не менш чреваті способи). Корпоративної мережі також властива не одна точка проникнення - крім основного виходу в Інтернет існують ще ймодемні входи, які навіть більш небезпечні через недооцінки цього лиха. А якщо згадати про мобільні телефони, що підтримують GPRS для виходу в Інтернет, USB-флешки, дискети, CD, слоти PCMCIA і т.п.?

І в медицині, і в інформаційній безпеці інфекції бувають і внутрішні і зовнішні. Перші, зрозуміло, небезпечніша, ніж другі, наприклад, онкологія. Хоча і зовнішня зараза таїть в собі серйозну загрозу для корпоративного організму. Але на цьому їх схожість не закінчується.В обох випадках інфекції можуть гуляти в обидва боки - від периферії до центру і навпаки. Але другий варіант відбувається рідше, тому що захисні функції материнського організму куди сильніше ніж у новонародженого (як в центральному офісі компанії, що має ресурси на оснащення захисними системами в першу чергу свого головної організації).

Розглянемо окремий випадок одного з неприємних проявів, що виявляються через неправильного догляду за немовлям. Мова піде про шкірнівисипаннях, наприклад, на обличчі дитини. А що є особою організації з точки зору комп'ютерної мережі? Її сайт, на якому теж можуть з'явитися різні "висипання", названі гарним англійським словом - deface (знівечення) чи «віртуальне графіті». Іншими словами, це підміна головної сторінки сайту компанії, на якій можуть з'явитися різні «парканні написи». Щось на кшталт «Тут був Вася!», «Мілана, я тебе люблю!", "Я зламав вас!» І т.п. Буває й так, що хакер, який зламав сайт,висловлює свою точку зору на світ взагалі та адміністратора зламаного сайту зокрема. Яким би зломщик інтелектуалом не був, збиток репутації зламаної компанії дуже серйозний - на Заході це може спричинити за собою серйозні фінансові проблеми у атакованої організації.

Лікування або профілактика?

Очевидно, що лікувати хворобу до того як ви нею заразилися справа безглузда, якщо не сказати небезпечне. Набагато ефективніше (із цим погодиться будь-який лікар) знизити ймовірність інфікування різними профілактичними заходами, в т.ч. і не вимагають матеріальних витрат - загартовування, гігієна і т.д. Іншими словами ви використовуєте не засоби захисту, які «лікують» вже доконаний факт, а профілактичні заходи - організаційні заходи, регулярне оновлення програмно-апаратного забезпечення, своєчасне навчання, вбудовані механізми захисту (а їх немало) і т.д.

Якщо вже обійтися без ліківніяк не можна, то навіщо витрачатися на дорогі препарати, коли можна обійтися природного комори, тобто цілющими травами, які практично безкоштовні, але від цього не менш ефективні. В інформаційній безпеці роль трав виконують вільно поширювані засоби захисту. Але і вони не вирішують всіх проблем з корпоративним «здоров'ям». Треба бути експертом, щоб вичавити максимум можливостей з «безкоштовної» захисту - це може далеко не кожен. В іншому випадку застосування таких«Ліків» стає абсолютно безглуздим, якщо не сказати небезпечним - виникає почуття помилкової захищеності. Тому, як і в будь-який інший сфері життєдіяльності, потрібен здоровий компроміс - там де не вистачає сил власних, залучити сили зовнішні; там де не вистачає вільно розповсюджуваних або вбудованих засобів захисту, треба використовувати розширені системи. І звичайно ж враховувати хвороба, від якої ми намагаємося захиститися - боротися з ГРВІ найпотужнішими антибіотиками не варто - грошібудуть викинуті на вітер. А от проти фаллікулярной ангіни звичайний чай з лимоном вже не врятує. Аналогічно і в безпеці - засіб захисту має бути адекватно моделі загроз, щоб «не стріляти з гармати по горобцях».

Ліки

Якщо вже ви зважилися на придбання ліків, то лікування описаних вище хвороб корпоративної мережі здійснюється різними ліками - засобами захисту, що розрізняються терміном перебування на ринку,популярністю, наявністю сертифіката відповідності і, звичайно ж, ціною. Є «ліки» лікуючі (наприклад, антивірусні монітори), які виявляють потрапила в організм мережі інфекцію, а є профілактичні (наприклад, міжмережеві екрани), що запобігають проникнення зарази в надра корпоративної мережі.

Як і в медицині, неправильне застосування ліків може призвести до помилкового почуття своєї захищеності або навіть набагато більш сумних наслідків. І хоча в інформаційнійбезпеки передозування бути не може, відмова від проходженні інструкціям може привести до помітного погіршення здоров'я корпоративної мережі і навіть її тимчасового паралічу.

Очевидно, що з плином часу ефективність ліків падає - інфекції адаптуються до захисних засобів і вчаться обходити їх. А отже потрібна постійна модифікація засобів забезпечення інформаційної безпеки проти нових загроз - оновлення антивірусних баз і систем виявлення атак, правилна міжмережевим екрані і т.д. І взагалі боротьба організму з шкідниками не припиняється ні на хвилину - це процес безперервний, що триває з моменту зародження як мережі, так і людини, і до кінця їх життєвого циклу. Перемагає той, хто опиняється спритнішим.

Розглянемо корпоративні «ліки» трохи під іншим кутом. Обидві розглянуті галузі дуже чітко регулюють випуск своїх «ліків». І в медицині і в захисті інформації це регулюється відповідними ліцензіямина право займатися випуском ліків (розробкою засобів захисту), а виведення їх на ринок можливий тільки після отримання відповідних сертифікатів відповідності деяким державним вимогам. А, як відомо, багато чиновників у нас нечисті на руки і за відповідну винагороду готові видати і ліцензії і, що найнебезпечніше, сертифікати як на ліки, так і на засоби захисту, що може привести до негативних наслідків - препарат не матиме того ефекту , який від нього очікується.

Пара фраз про аутсорсинг

Зараз багато говорять про аутсорсинг послуг в області безпеки, які дозволяють зняти вантаж турбот про свою безпеку зі своїх плечей і перекласти їх на інші. Чи можна знайти аналогії в світі медицини? Звичайно. Якщо вам потрібні ваги для вимірювання ваги немовляти, то швидше за все ви не будете купувати їх (якщо ви не Рокфеллер чи не плануєте потім вимірювати на цих терезах урожай з дачі), тому що вони потрібні вамтільки протягом першого року. А от взяти ваги на прокат - це буде правильно і, звичайно ж, дешевше. Також і з безпекою. Якщо ви хочете виміряти рівень своєї захищеності, то немає сенсу купувати сканер безпеки - простіше взяти його в прокат, тобто на аутсорсинг. Як і в медицині, аутсорсинг безпеки має свої обмеження і свою область застосування - панацеєю він не є. Та й сам процес захисту інформаційних активів останнім часом все частіше і частіше віддається на відкупфахівцям аутсорсингових компаній. Адже не приходить нам в голову робити собі чи другу операцію або прописувати ліки (хоча останнє багато хто робить досить часто) - ми довіряємо це фахівцям. Та й взагалі лікарям ми довіряємо дуже часто і дуже багато чого. Так чому б не зробити теж саме з безпекою? Якщо нам самим цим займатися ніколи або немає потрібних ресурсів і кваліфікації, - краще доручити це професіоналам.

Знання - сила

Якщо дитина плаче, то не варто думати, що плач викликаний примхами, як часто говорять деякі лікарі «старого загартування». Можливо дитина вимагає присутності мами, його дратують попрілості, йому холодно або він банально голодний. Сигнали тривоги, які подають діти, вимагають негайної реакції. І в дитячій медицині та в інформаційній безпеці дуже важко по сигналу визначити причину тривоги. Потрібні додаткові дослідження, які і підкажуть, в якому напрямку варто рухатися. Звичайно є унікуми, які можуть по плачу дитини визначати його причину, також як і "читати" з монітора системи захисту дампи мережевого трафіку. Але ці винятки зайвий раз підтверджують правило «без знання симптомів і швидкої реакції на них можна хвороба запустити». А щоб розбиратися в симптомах потрібно кваліфіковане навчання і регулярне підвищення кваліфікації.

Чомусь вважається, що в інформаційній безпеки працює метод «пливи або тони». Тобто адміністратора безпеки відразу «кидають на амбразуру», вважаючи, що він самостійно розбереться в тому, як захистити підвладні йому ресурси. Можете мені повірити, не розбереться. Для того, щоб стати дипломованим лікарем потрібні роки навчання в інституті. Але отримання заповітної скориночки не звільняє вас від необхідності раз на кілька років підтверджувати свою кваліфікацію. Адже з'являються нові хвороби і нові методи їх лікування. Чому ж у адміністраторів безпеки, цих «лікарів корпоративної мережі», має бути все по-іншому? Вони теж повинні мати відповідні кірочки і регулярно проходити підвищення своєї кваліфікації.

Роздуми про лікарів

Компанії, що займаються захистом інформації, як і лікарі, бувають різні, - з районної поліклініки і суперсучасних медцентрів. І що краще - невідомо. Перші часто діють по-старому, але напевно. Другі можуть «прописати» сучасну й дорогу систему захисту, але «забувають» згадати про її побічних ефектах. Перші не візьмуть із вас грошей (принаймні безпосередньо), а другі здеруть з вас останню сорочку. Але й ті, й інші, не несуть відповідальності за ваше лікування. Як кажуть, «порятунок потопаючих - справа рук самих потопаючих». Як нещодавно заявив по телевізору завідувач кардіологічним відділенням інституту Скліфосовського Яків Брандт, в Росії не зафіксовано випадків залучення лікарів за некомпетентність. В інформаційній безпеці ситуація аналогічна - засоби захисту вам порекомендують, їх навіть налаштують А от відповідати за завдання шкоди через вихід з ладу ваших серверів не буде ніхто. Перші готові працювати з будь-яким замовником, а другі орієнтовані лише на корпоративний ринок. На жаль, ім'я та великі гонорари ще не означають кваліфікацію та досвід. Напевно тому, у нас, як і в світі, активно розвивається ринок страхових послуг - страхування здоров'я і життя дозволяє отримати деякі гарантії, що ви не залишитеся у розбитого корита в разі часткової чи повної втрати працездатності. Аналогічний вид страхування (для інформаційних ризиків) починає розвиватися і в області безпеки.

Хочу звернути вашу увагу на ще один цікавий аспект взаємодії з лікарями, до яких ви звертаєтеся за консультаціями. При зверненні до них вартість консультації (найчастіше при однаковому результаті) залежить від звання (ступеня) лікаря. Кандидат медичних наук візьме одну суму, доктор - вище, а академік - візьме з вас по максимуму. В інформаційній безпеці ситуація до болю знайома - гонорар компанії-консультанта дуже серйозно залежить від її величини і дуже слабо корелюється з результатом. До речі, будьте готові, що консультант далеко не завжди є незалежним. Дуже часто він «підживлюється» від будь-якої компанії-виробника. Така ситуація існує і в охороні здоров'я та в інформаційній безпеці. На жаль, в останній галузі я не можу назвати конкретних прикладів, тому що у відкритій пресі такі дані не зустрічаються. А ось в медицині такі факти відомі. Щодо недавно фармацевтичний гігант Pfizer зізнався, що він фінансово заохочував багатьох лікарів, які рекомендували пацієнтам ліки саме цієї компанії (я думаю з іншими виробниками ситуація аналогічна).

Висновок

І хоча інформаційна безпека та дитяча медицина мають і відмінності (наприклад, число чоловіків, що займаються захистом інформації, назад пропорційно числу чоловіків, які знають як лікувати своїх дітей) між ними набагато більше схожих рис, ніж здається на перший погляд. А значить впровадження технологій забезпечення збереження лікарської таємниці від сторонніх очей має відбуватися набагато легше, ніж в інших областях людських знань. Треба бути тільки до цього готовим.



...


1 (0,00121)