Интеллектуальный анализ данных

В процессе аудита информационной безопасности мы часто сталкиваемся с ситуацией, когда некоторые наборы данных, включают информационные объекты, которые при отдельном рассмотрении не представляют собой конфиденциальные данные или критичную информацию, но при рассмотрении всего этого набора информация становится критичной. Тут мы наблюдаем преобразование количества в качество. Достаточно большой набор данных при увеличении количества элементов позволяет аналитику получить некую метаинформацию, которая уже является критичной.
Такой анализ больших объемов информации для получения критичных метаданных является интеллектуальным анализом данных (data mining). Общий объем информации, включая открытую информацию, растет. Это делает область интеллектуального анализа данных все более важной для обеспечения информационной безопасности.
Количество способов и подходов анализа растет. Можно бесконечно удивляться изобретательности аналитиков, которые придумывают новые способы интерпретации общедоступной информации. Недавно меня удивил подход одной из организаций в США, которая использовала Хэллоуин как способ анализа уровня благосостояния жителей.  Как известно в США есть традиция давать конфеты детям, переодетым в костюмы. Так вот, одна из организаций придумала анализировать количество и цену конфет, которые дают специально подосланным детям для такого анализа благосостояния. Они даже придумали специальный индекс для такого анализа. По их предположению стоимость конфет, которые дают детям коррелирует с уровнем доходов людей, дающих конфеты. А уровень доходов - это уже критичная информация, которую не все согласились бы разглашать в открытом виде.
Как видно, возникают все новые и новые угрозы для приватности жизни.

Оценка рисков и непредсказуемость

Защита информационных систем зависит от самого слабого звена. Как раз самое слабое звено и определяет, насколько защищены информационные системы и насколько можно выполнить требования информационной безопасности.
При оценке рисков одной одна из наиболее сложных задач - оценить вероятность реализации той или иной угрозы. Тем более, что ситуация очень быстро меняется, возникают новые угрозы или реализуются давно забытые угрозы с новой силой.
Так, к примеру, угроза атак на активные сетевые устройства существовала давно, еще с времен когда эти самые устройства начали становится интеллектуальными, но какое-то время внимание от этой угрозы было отвлечено атаками на хосты (рабочие станции, ноутбуки, сервера). И вот, атака на модемы, которая произошла недавно в Бразилии, позволила злоумышленникам получить конфиденциальную информацию доступа к банковским счетам. Это тот случай, когда новое - это хорошо забытое старое.
Часто угроза исходит из совершенно другой области, не там где ее ожидаешь. Интересный пример - инцидент с мастер-ключами, который произошел в Нью-Йорке. История не совсем из области информационной безопасности, но довольно показательная. Уволенный слесарь начал продавать на аукционе мастер-ключи (физические) от стратегических объектов Нью-Йорка. Естественно, правоохранительные органы заинтересовались этим случаем, и через некоторое время ключи уже не продавались. Но, интересно, что угроза теперь уже начала исходить не от слесаря, а от средств массовой информации, которые подняли вокруг этого шумиху и опубликовали фотографии высокого разрешения этих самых ключей (а их форма и конфигурация до этого держались в секрете). Соответственно тот, кто не успел купить эти ключи на аукционе, сможет обладая минимальными знаниями, изготовить ключи по фотографии. Вот так получается, что ждешь угрозу с одного направления, а она приходит с другого.
Как же быть при оценке рисков в организации? Метаться из одного угла в другой при возникновении новых угроз и новых уязвимостей? Нет, внешнюю информацию безусловно нужно принимать во внимание, но, при этом, обладать здоровой долей скептицизма и использовать своеобразный "буфер" информации. Это означает, что информация о новых угрозах должна какое-то время анализироваться, при этом компания оценивает, насколько велик масштаб бедствия от этой угрозы для компании. И лишь спустя это время необходимо обновлять результаты оценки рисков. Какое это время - каждая организация выбирает самостоятельно, в зависимости от направления бизнеса, критичности операций по времени и т.д.
Из подходов к оценке рисков и угроз, а также управлению уязвимостями мне понравился следующий подход.

Закон защиты персональных данных. Практика использования

1.01.2011 вступил в силу закон о защите персональных данных в Украине, а 1.01.2012 наступила ответственность за невыполнение этого закона. Кроме всего прочего, закон требует от владельца базы персональных данных получать явное согласие у владельца этих данных на их хранение и обработку. Интересно наблюдать действие этого закона и то, какие методы применяют юридические лица для получения согласия с клиентов. Например, при заполнении анкеты для участия в дисконтной программе участники должны обязательно поставить галочку, которая утверждает их согласие на обработку и хранение этих персональных данных. В отделении банка при заполнении платежного документа, перед подписью, есть приписка, что человек, отправляющий платеж дает согласие на обработку персональных данных, которые содержатся в платеже. При входе в офис компании можно наблюдать табличку, извещающую посетителей о том, что на территории офиса ведется видеонаблюдение и, входя в помещение, каждый неявно дает согласие на обработку их видеоизображения, которое представляет собой также персональные данные. В общем, общество постепенно привыкает к действию этого закона и закон уже переходит из чисто-теоретических изысканий в практическое русло.

Разработка соглашений об уровне сервиса

На определенном уровне зрелости ИТ процессов организации приходят к заключению сервисных соглашений между бизнесом и ИТ для того, чтобы как-то урегулировать отношения и уменьшить возникающие конфликты, когда ожидания бизнеса не находят отражения в предоставляемых сервисах, а ИТ подразделение считает, что для тех денег, которые выделяются на нужды ИТ они и так предоставляют "отличный сервис". Соглашение об уровне сервиса (SLA) является письменным договором между ИТ и бизнесом и определяет основные цели и параметры сервиса а также права и обязанности сторон. Ключевое слово тут - "соглашение", поскольку основная задача таких соглашений заключается в структурировании и развитии отношений. Если соглашения будут использоваться как средство "давления" или "наказания", то основная цель, которая преследуется этим документом, не будет выполнена. Отношения в таком случае перейдут во взаимные обвинения и это не даст возможности развивать качество ИТ сервисов. Итак, что же в первую очередь нужно предусмотреть при заключении соглашения об уровне ИТ сервиса? В первую очередь от бизнес-подразделения поступает запрос предоставление сервиса с заданными параметрами (Service Level Request). Подразделение ИТ может помогать бизнес-подраздлению в формулировании запроса и в информировании о видах сервиса, возможны. Далее изучается возможность обеспечения текущего запроса на сервис существующими ресурсами. Если существующими ресурсами выполнить это соглашение невозможно, рассматривается возможность приобретения дополнительных ресурсов. Затраты по приобретению таких ресурсов учитываются в стоимости соответствующего ИТ сервиса. Стоимость и уровень сервиса являются предметами переговоров между подразделением ИТ и бизнес-подразделением. Успешные переговоры заканчиваются подписанием соглашения об уровне сервиса. Для заключаемых соглашений об уровне сервиса необходимо предусмотреть сервисный контракты с внешними подрядчиками и операционные соглашения с внутренними рабочими группами (сетевыми администраторами, администраторами баз данных и т.д.). При этом следует уделять внимание нагрузке на персонал, поскольку частая ошибка при заключении таких соглашений - считать, что персонал поддержки ИТ систем, и до того уже сильно загруженный, может взять на поддержку еще пару систем. Очень важно предусмотреть возможность мониторинга всех параметров соглашения в точке, которая устраивает обе стороны (это может быть третья сторона, автоматизированная система и т.д.). Мониторинг доступности услуги очень часто интегрируется с системой Service Desk для того, чтобы адекватно отражать время разрешения инцидентов, время реакции на запросы и т.д. Эти основные шаги являются основной отправной точкой внедрения процесса управления соглашениями об уровне сервиса. Далее процесс идет итерационно.

Посещение конференции "Откровенно про ИТ"

Позавчера в Киеве прошла международная конференция "Откровенно про ИТ".
Основной тематической направленностью конференции было внедрение и использование ERP и BI систем.
Кроме традиционного маркетингового материала, представленного докладчиками, были затронуты несколько довольно интересных тем. Одна из них - работа с избытком информации.
До этого основной проблемой при принятии решений руководителем было отсутствие необходимой информации. Одной из главных задач управленческого учета и управления Компанией был поиск необходимой информации. Сейчас ситуация немного изменилась. Необходимая информация есть, но одновременно с ней присутствует огромное количество "информационного мусора". Отсеивание полезной информации от информационного мусора занимает довольно много усилий и времени. При этом основной риск, связанный с принятием решения, заключается не в принятии неверного решения при отсутствии информации, а принятие верного решения слишком поздно, поскольку на отсеивание информации тратится довольно много времени.
Кроме этой темы затрагивались также темы мобильной работы сотрудников и все большее распространение доступа к корпоративным информационным системам с использованием мобильных устройств, которыми владеют сотрудники.
В целом конференция произвела довольно неплохое впечатление. Единственным минусом было отсутствие презентаций докладчиков в раздаточных материалах. Надеюсь, участники конференции смогут получить эти материалы позже.

17 мая - международный день информационного общества

27 марта 2006 года Генеральная Ассамблея ООН приняла Резолюцию, в которой провозгласила этот день Всемирным днем информационного общества. (С 1969 года этот день праздновался как Международный день электросвязи).
Человеческая цивилизация сделала качественный поворот в своем развитии и перешла от индустриального общества к информационному. Мы наблюдаем повсеместное распространение экономики знаний, которая характеризуется увеличением доли услуг по сравнению с производством в структуре ВВП развитых стран.
Развитие информационного сообщества породило целый набор индустрий и специализаций, которые не были ранее так распространены, как сейчас.
В том числе это касается и информационной безопасности.
Информация и знания стали более важным активом, чем средства производства (станки, склады). Потеря средств производства чаще всего не приносит такой урон компании, как утечка или утрата важной информации.
С праздником!

KPI для Service Desk - количество заявок, обработанных на первом уровне

Во многих организациях есть служба технической поддержки пользователей, или, иными словами, Service Desk. Эта служба является промежуточным звеном между пользователями и ИТ подразделением.
Основные задачи, которые возлагаются на эту службу, заключаются в обработке заявок пользователей и инцидентов по заранее разработанному алгоритму. При этом экономится время более дорогостоящих специалистов при обработке типовых обращений. Также обработка инцидентов службой технической поддержки позволяет максимально быстро восстановить работу ИТ сервисов и минимизировать последствия инцидентов.
Как и работу других подразделений, работу службы Service Desk оценивают по ключевым показателям эффективность (KPI - Key Performance Indicator). Эти показатели включают, как правило, следующее:

1. количество заявок (инцидентов) обработанных и закрытых на первом уровне (без эскалации на второй и третий уровень) 
2. Количество заявок (инцидентов) обработанных и закрытых во время первого звонка 
3. Среднее время для обработки инцидента 
4. Средняя скорость ответа на звонки и количество звонков, при которых пользователь не дождался ответа 
5. Среднее количество звонков, обрабатываемых сотрудником Service Desk 
6. Стоимость одного звонка / обработки одного инцидента 

Один из этих показателей, который часто указывается первым в списке - количество заявок (инцидентов) обработанных на первом уровне. Этот показатель используют многие компании. Но вот не все компании могут правильно выбрать целевой показатель. Целевой показатель помогает определиться, куда двигаться организации, какую стратегию развития выбрать. Часто для установки целевых показателей используются данные сравнения с другими компаниями ("с рынком"). По упомянутому выше показателю есть возможность использовать ресурс для сравнения. Однако он требует регистрации и внесения своих данных в базу для использования другими пользователями этого ресурса. В качестве примера указан показатель 15%. И я встречал компании, которые считают этот показатель довольно неплохим. На самом же деле, если обратиться к более авторитетным источникам, то мы увидим другую картину. Организация Dimension Data занимается анализом и сравнением показателей по индустрии. Она выпустила Global Contact Centre Benchmarking Report 2011, итоговая презентация по этому отчету есть в свободном доступе. И, согласно этому отчету, количество заявок, обработанных на первом уровне (First contact resolution rate) в 2011 году в среднем по компаниям исследования составил 74,9%. Service Desk является также своего рода контакт-центром внутреннего ИТ подразделения для связи с пользователями. Следовательно, указанная в отчете картина также характерна для Service Desk. Соответственно, если компании хотят следовать рынку по показателю "количество заявок (инцидентов) обработанных и закрытых на первом уровне", то необходимо устанавливать целевой показатель для службы Service Desk на уровне 80%.

Активная диагностика безопасности систем Smart Grid

Материалы моего доклада на пятом Security Innovation Forum 11 апреля 2012 года.

Активная диагностика безопасности систем Smart Grid

View more presentations from Andriy Lysyuk

"Научи детей безопасности в сети Интернет"

Сегодня мое внимание привлекла социальная реклама на баннере. Мужчина в костюме заключенного держит табличку с надписью «Добавить друга» и подпись под рекламой гласит «Научи детей безопасности в сети Интернет».
Видимо, проблема безопасности виртуального общения стала настолько актуальной, что общественные организации решили использовать этот канал телекоммуникаций для привлечения к ней внимания.
Количество пользователей Интернет в Украине растет. В 2009 году Украина занимала 38 место в мире по количеству пользователей с 7,770,000 активными пользователями. Сейчас количество пользователей наверняка больше. Большую часть аудитории Интернет-пользователей составляют как раз молодые люди, подростки и дети. По опросам, около 60% жителей Украины в возрасте 16-18 лет отмечают у себя интернет-зависимость. И на неокрепшую психику этой молодой аудитории наваливаются все «богатства» Интернета.
Пелевин в книге «Чапаев и Пустота» написал, что «телевизор — это просто маленькое прозрачное окошко в трубе духовного мусоропровода». Я думаю, что Интернет, это еще больше подходит под это определение.
Социальные сети также стали источником проблем и новой угрозой безопасности. Многие преступления начинаются как невинные знакомства в сети. Например, убийство парня было вызвано информацией, распространяемой через социальную сеть. А вот еще подборка похожих преступлений.
Радует то, что проблемой безопасного использования Интернет начали заниматься различные организации. К примеру, провайдер «Киевстар» в 2010 году выдал первое в Украине пособие для родителей и детей по безопасности в сети Интернет. Производители антивирусов также занимаются созданием родительских фильтров. Так что, я думаю ситуация не столь безнадежна. Главное с ней бороться.

К чему могут приводить ошибки в ПО

Нет программных продуктов без ошибок. Ошибки в программе, заложенные на этапе разработки архитектуры или программирования могут вылиться в серьезные проблемы во время эксплуатации систем. Особенно если эти системы выполняют критические функции и от работы таких систем зависят многомиллионные проекты.
18 августа 2011 года искусственный спутник земли «Экспресс-АМ44» был выведен в космос, однако в результате ошибки программного обеспечения в системе управления разгонного блока «Бриз-М» он был выведен на орбиту, с которой не смог работать. В марте 2012 года было принято решение об утилизации спутника. 25 марта 2012 года спутник был выведен по контролируемому спуску и несгоревшие его остатки упали в акваторию тихого океана. 25 и 26 марта предполагаемый район падения был закрыт для судоходства и полета воздушных судов. Стоимость спутника составляла около 300 млн. долларов. Такова цена ошибки в ПО.
Это не первый случай, когда ошибки вызвали довольно серьезные последствия. В 1997 году американский военный корабль «Йорктаун» выполнял маневры возле побережья Атлантического океана. Из-за ошибки в системном программной обеспечении судно на 2,5 часа потеряло управление. В 2010 году была авария самолета авиакомпании «Qantas», причиной которой также была признана ошибка в алгоритме обработки информации с бортовых измерительных систем.
В последнее время становится популярной тенденция автоматизации всех процессов жизнедеятельности людей. В обиход входят концепции «интеллектуального дома» или, например, концепция «smart grids» для управления процессом генерации и потребления электрической энергии. Такие системы выдвигают повышенные требования к безопасности ПО, поскольку от их работы зависит физическая безопасность людей. Поэтому безопасности промышленных систем необходимо уделять большее внимание, чем безопасности прикладных систем автоматизации бизнес-процессов.

Проблемы защиты от спама

Проблема спама (англ. SPAM, массовой рассылки рекламы или другой информации лицам, не желающим их получать) является одной из важных проблем сети Интернет. Основной поток спама распространяется через электронную почту. Поэтому основные методы борьбы со спамом крутятся вокруг электронной почты и протоколов ее передачи.
Изначально протоколы электронной почты (ровно, как и остальные протоколы стека TCP/IP) разрабатывались без принятия во внимание вопросов безопасности. Это было оправдано, поскольку электронная почта распространялась по закрытым каналам, в закрытых системах, и доступ к этим системам сторонних пользователей был запрещен. В наше время электронная почта является основным средством общения в бизнес среде и по своей сути является открытой. Изменение способа и масштабов использования электронной почты повлекло за собой ряд проблем, одна из них – проблема спама.
Основные последствия, связанные со спамом включают неоптимальное использование ресурсов (каналы передачи данных, дисковое пространство, вычислительная мощность, время сотрудников), распространение вредоносного программного обеспечения, фишинговые атаки. Относительно ресурсов, наиболее ценным ресурсом является рабочее время сотрудников, которое они вынуждены тратить на прочтение писем, пусть это даже беглое прочтение для принятия решение, что делать дальше с этим письмом. Не маловажным является также и пропускная способность каналов. По оценкам «Лаборатории Касперского» доля спама в почтовом трафике колеблется в районе 78-85%.
Для борьбы со спамом предлагались различные методы. Часть методов требует определенных действий со стороны пользователей, а часть требует мер со стороны провайдеров. Меры со стороны провайдеров можно условно разделить на два класса: методы авторизации почтовых серверов и отравителей и методы фильтрации потока сообщений. Методы фильтрации основаны на самообучающихся алгоритмах. Недостатками методов фильтрации является возможные ложные срабатывания. Если правила фильтрации заданы слишком мягко, то польза от фильтра небольшая, поскольку все спам сообщения будут пропущены. Если правила жесткие, то возможно помещение в папку спама или даже удаление важного письма. Сколько раз вы ждали важное письмо от клиента или поставщика, а потом, не дождавшись, случайно находили его в папке со спамом?
Алгоритм фильтрации электронной почты от спама у каждого производителя фильтра свой. Чаще всего это закрытые алгоритмы. Производители фильтров не спешат делиться этими алгоритмами, поскольку с одной стороны это представляет собой ноу-хау, дающее конкурентное преимущество, а с другой стороны злоумышленники, рассылающие спам могут использовать знания алгоритма для того, чтобы найти способы как обойти фильтры. Однако, последнее время появилась тенденция раскрытия алгоритмов. Например, Google в своей почтовой системе Gmail предложил пользователям просматривать критерии переноса того или иного сообщения в папку спам. Польза пока от такого нововведения сомнительная, но время покажет.

Неправильное восприятие сертификации на рынке

Сертификация в области информационной безопасности является важным элементом подтверждения знаний и опыта профессионалов или компаний, работающих на рынке. Часто сертификаты являются одним из критериев выбора поставщика тех или иных услуг. Все бы хорошо, но, как говорится, ложка дегтя может испортить бочку меда.
Огорчает тот факт, что на рынке часто наблюдаются спекуляции на тему сертификатов и сертификаты часто преподносятся сертифицированными индивидуумами неправильно. Наиболее часто распространенное нарушение связанное с объявлением индивидуума сертифицированным в то время, как срок действия сертификата уже истек. Второе по популярности нарушение правил сертификации - неправильное толкование области действия сертификата. Например, сертификат присваивается компании, а сотрудник объявляет себя сертифицированным и наоборот, сертифицирован сотрудник, а компания объявляет себя сертифицированным. Например, в новостях фигурирует информация, что "Компания A получила сертификат CISM", однако в правилах сертификации от ISACA ясно написано, что "The CISM designation is awarded to individuals with an interest in security management who meet the following requirements....". Подача информации, что сертифицирована компания, а не индивидуум вводит потенциальных клиентов в заблуждение.
Такие нарушения приводят в конечном итоге к "размытию" ценности, инфляции сертификата.
В случае обнаружения таких нарушений органом сертификации могут быть предприняты соответствующие дисциплинарные меры, но восстановить репутацию и доверие к сертификатам при этом довольно трудно.

Сдача сертификации CISSP в режиме онлайн

Организация (ISC)2 с 6 июня 2012 года переводит все свои экзамены для сертификаций CISSP, CISSP concentrations и SSCP в разряд CBT-экзаменов. Такие экзамены можно cдавать в режиме онлайн в тестовых центрах Pearson VUE.
Что это, дань моде или хорошо продуманный стратегический шаг? Конкурирующая организация ISACA на такой шаг идти пока не спешит и продолжает принимать свои экзамены CISA, CISM, CRISC, CGEIT в бумажном виде.
Для кандидата такое изменение в сдаче экзамена (ISC)2 означает следующее:

1. Возможность сдавать экзамен в удобное для кандидата время (сдача экзамена возможна уже на следующий день)
2. Получение результата по экзамену в режиме онлайн (сразу же после сдачи теста)
3. Удобство сдачи экзамена в одном из тестовых центров сети Pearson VUE

В общем, для попытки сдачи не нужно будет привязываться ко времени и оплачивать транспортные расходы для поездки в центр тестирования (к примеру, экзамен CISSP можно будет сдавать в Киеве в одном из 4-5 зарегистрированных центров Pearson VUE).
Однако такое нововведение резко увеличит количество попыток сдачи и увеличит риски утечки информации по вопросам (для электронных экзаменов такие риски существенно выше, для других экзаменов то и дело появляются сообщения об "утечке базы" вопросов). Означает ли это, что ценность сертификата CISSP будет падать? Сейчас этот сертификат является одним из наиболее признанных сертификатов в области информационной безопасности. Я думаю, время покажет, как такое нововведение повлияет на восприятие сертификации в мире.

Безопасность облачных вычислений. Доклад

Привожу материалы моего доклада, посвященного безопасности облачных вычислений, сделанный в Киево-Могилянской Академии.

Cloud computing security

View more presentations from Andriy Lysyuk.

Облачные вычисления и данные пользователей

Многих пользователей сервисов, которые предлагают CSPs (Cloud Service Providers) волнует вопрос, что будет с моими данными если я перестану использовать услуги провайдера. Например, если пользователь захочет перейти к другому провайдеру, предлагающему лучшую функциональность и лучшие сервисы, или провайдер неровен час перестанет существовать или предоставлять сервис (как случилось с Ex.ua), что будет с теми данными, которые "нажиты непосильным трудом"? Разумно заранее позаботится об этом и предусмотреть возможность "выгрузки" своих же данных из облака провайдера. Многие провайдеры для повышения своей конкурентности предлагают пользователям такую возможность. Например, известная компания Google в 2011 году добавила в Google Dashboard возможность экспорта данных, который разработан группой инженеров Google, которая носит название Data Liberation Front. Правда, экспортировать можно пока данные не всех сервисов Google, которые используются. Например, я не нашел возможность делать экспорт архива электронной почты.
Также Google меняет политику в отношении персональных данных пользователей, и все пользователи ее сервисов получили об этом уведомление. Политика начинает действовать с 1 марта 2012 года. Эта политика дает ответы на многие вопросы, которые волнуют пользователей. Например: какую информацию Google собирает, как ее использует и кому и при каких случаях может ее передавать. По-видимому такие нововведения являются мерой уменьшения рисков, поскольку уже был ряд скандалов с участием Google. К примеру, в марте 2011 года комиссия Франции по информатике и свободам (CNIL) оштрафовала компанию Google на 100 тысяч евро за незаконный сбор персональных данных, а в позже в той же Франции Суд Парижа оштрафовал Google за подсказки в поисковых запросах (ох уж эти Свобода, Равенство, Братство :-)).
Как бы то ни было, наблюдается тенденция перехода на более прозрачные правила игры между провайдерами CSP и клиентами, и это не может не радовать.