Скандал с взломом почты Навального в контексте ИБ

Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения «симпатизирую или нет Навальному» и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.

Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения информации ограниченного доступа в полной мере подпадают под состав преступления, предусмотренный статьей 183 УК РФ. Я, конечно, не судья, но в УК четко написано, что «собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным
способом
» карается. Действия подельников Навального их Ernst & Young, Администрации Президента или иных источников получения информации подпадают под действие 2-й части той же статьи — «незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе«. И судя по переписке и Навальный и его помощники понимали, что делают они незаконные вещи. Даже несмотря на благие намерения.

Второй вопрос, который возникает, изучая это дело, — репутация. Если верить Hell’у, то один из источников инсайдерской информации для Навального, находился в Ernst & Young — одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой. Финансовый аудитор EY сливала конфиденциальную информацию Навальному в нарушение всех подписанных правил об обеспечении конфиденциальности и безопасности. И удар по репутации EY это наносит колоссальный. По мнению некоторых экспертов это может привести и к некоторому оттоку клиентов к конкурентам из большой четверки. Это тот редкий случай, когда инцидент ИБ напрямую влияет на репутацию компанию и достаточно легко просчитывается через некоторое время (число клиентов до и после инцидента). Сегодня настают времена, когда службам ИБ надо просчитывать свои действия и бездействия и с точки зрения ущерба репутации.

Третье. Казалось бы, утечка из EY должна показать важность DLP-решений. Но это только на поверхности. Арина Тюрина (злополучная аудитор EY) сливала данные с iPhone (история умалчивает корпоративное это было устройство или личное). И какое DLP-решение смогло бы решить эту задачу? Причем не только с точки зрения технологической, но и с точки зрения настройки. Вопрос Навального: «Можете посмотреть сколько установок в настоящий момент у них как эксплуатируемые числятся?» Ответ Тюриной: «По 08 счету числится вроде (!) одна. Сдают в лизинг«. Как надо было настроить DLP, чтобы поймать эту переписку, даже если бы речь шла об отправке почты через корпоративную почту?

Фигурирование в деле iPhone в очередной раз поднимает вопрос не только в правильном моделировании угроз, но и вообще в необходимости внедрения BYOD на предприятии. Непростой это вопрос и чтобы принять по нему решение необходимо все серьезно взвешивать. Вопрос не столько в технологической возможности подключать личные устройства к корпоративной сети, сколько в рисках и преимуществах, которые такое подключение несет. А если предположить (вполне, кстати, обоснованно), что iPhone Тюриной вообще не был частью корпоративной сети EY, а его просто использовали для пересылки информации, которую финансовый аудитор видела перед своими глазами. И как бороться с этой угрозой, если не рассматривать вариант запрета приноса в офис мобильных устройств? Непростой вопрос.

Ну и напоследок. Пресловутый человеческий фактор. Финансовый аудитор в одной из крупнейших мировых компаний. Сотрудница Управления делами Президента России. Непоследние люди. И врядли бедные, сливающие информацию за денежку. Речь идет о совершенно иной мотивации, которую нельзя сбрасывать со счетов, строя свою стратегию в области информационной безопасности. Таких людей, у которых немаленькое положение и достаточно неплохая зарплата, сложно запугать карами небесными. Ими движет идеология (примерно также действовали Anonymous и Lulzsec), а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом. Но опять же не путем запугивания и подписания кучи запрещающих бумажек, а именно с точки зрения разъяснения всех аспектов (включая и уголовно наказуемое деяние) утечек. Нужна полноценная программа повышения осведомленности сотрудников компании по вопросам ИБ.

Резюмируя, хочу отметить, что данный инцидент хорошо проиллюстрировал, что информационная безопасность — это не только и не столько технологическая задача, сколько сбалансированная система, включающая и технологии, и работу с персоналом, и психологию, и оргвопросы, и юридическую проработку, и множество чего еще. Рассчитывать только на одну составляющую — значит гарантировать повторные успешные попытки слива конфиденциальной информации.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. vsv

    Полностью подписываюсь под резуме. Кратко, сжато, емко.

    Ответить
  2. Alexander Gornik

    Скажите, а что мешает количество буровых запомнить (записать на бумажку) и отправить из дома / сказать лично?

    По-моему, это уже сильно за гранью ИБ. При чем тут BYOD?

    Задача ИБ (и вообще безопасности) — предотвратить утечку юридически значимых документов, отчетности там, подписей и прочего.

    Остановить утечку передаваемой на словах информации невозможно, только если набирать на 100% надежных людей. Но это уже про другое.

    Ответить
  3. Михаил Юрьевич Емельянников

    Проблема борьбы с утечками и инсайдом никогда не решалась и может решаться техническими методами. DLP — не более чем способ снизить риски до приемлемого уровня, однако этот уровень часто не определяется или определяется формально (произведение веротности из пальца, поскольку распределения нет, на последствия из другого). Я всегда говорю на своих курсах, что информацию, которую хотят украсть, украдут обязательно. И никакие запреты не помогут.Будут учить наизусть по строчке и записывать после выхода. Однако во многих случаях DLP, IRM/RMS и IAMS позволяют предотвратить большинство инцидентов, поэтому их и надо использовать. Не всегда бизнес воюет с кимами филби и рудольфами абелями.

    Ответить
  4. vgarry

    Хотел написать, но увидел посты и понял что буду повторяться. Поэтому коротко. Проблема обеспечения конфиденциальност и — не только и не столько техническая проблема.
    Этот случай, кстати, будет хорошей проверкой на то, можно ли привлечь разгласившего за факт разглашения в такой уважаемой компании.

    Ответить
  5. Unknown

    Принимая во внимание указанный мотив побудивший к таким действиям, то как «повышение осведомленности» поможет в будущем?

    Но разве, что «хактивисты» возьмут на вооружение технологии анонимизации, а пострадавшие пострадавшими останутся…

    Ответить
  6. biakus

    Немного оффтоп: хотелось бы знать ваше мнение по этому документу —
    http://www.scrf.gov.ru/documents/6/113.html
    Насколько сбалансированы в нем направления государственной политики в плане ИБ?

    Ответить
  7. pushkinist

    тут byod и не пахнет
    для отправки подобной инфы подключения к корпсети не требуется: на компе посмотрел, в телефон натыкал пальцем.

    защититься от такого нельзя, но реагировать на всплывшие инциденты и наказывать — нужно.

    также как уголовный кодекс и пдд ведь сами по себе не предотвращают нарушений, нарушить их можно в любой момент. они просто устанавливают правила и говорят о возможном наказании.
    а если бы их не было в принципе, нарушений было бы в сто раз больше.
    с dlp как-то похоже.

    Ответить
  8. Unknown

    Очень сомневаюсь, что данные люди не были осведомлены, что "разглашать" — нехорошо. Были ли в данном случае зацитированы "уголовный кодекс и пдд" — не знаю.

    Часто единственным и действенным методом повышение осведомленности, является только цитирование обвинительного приговора суда, да еще и желательно к бывшему реальному сотруднику…

    Ответить
  9. Алексей Лукацкий

    biakus, я по этому документу как раз завтра планировал пройтись

    Ответить
  10. Алексей Лукацкий

    Повышение осведомленности — это не панацея, но мера, способствующая среди прочего росту защищенности. Если ребенку каждый день говорить, что надо мыть руки перед едой, то он начнет это делать. Так и с ИБ 😉 Нужна планомерная работа. Но полностью исключить инциденты все равно не удастся.

    Что же касается, данного случая, то мне кажется (если верить информации о данной Арине Тюриной и ее фоткам в Интернете), что девочка просто не понимала до конца, что она делает и считала, что ее действия не наказуемы (по УК РФ) и что она помогает борцам с тиранией. Тут, как мне кажется, достаточно было регулярно напоминать про 183 УК РФ и ссылки на реальные приговоры. Девочку бы это отрезвило.

    Ответить
  11. doom

    2 Алексей

    Не уверен, что тут помогла бы работа с персоналом. К сожалению, у нас УК РФ уже практически как инструмент на службе режима воспринимается — поэтому его нарушение "во благо" скоро уже натурально подвигом будет считаться.

    Так что тут пресловутый случай "может в консерватории что-то поменять".

    Ответить
  12. Unknown

    А Hell-a привлекать будут?

    Ответить
  13. Алексей Лукацкий

    Hell'а еще поймать надо 😉

    Ответить
  14. Artem Ageev

    Hell часто на рабочем месте отсутствует? ;);)

    Имхо политика ИБ должна еще коррелировать и с моралью.

    Все эти люди думали, что раскрывают преступления. Тут сработала политика более высокого уровня, которая и разрешила "утечку" (что кстати прекрасно видно в оригинале на примере писем сотрудницы Дворковича).

    Ответить
  15. Ronin

    Этот комментарий был удален автором.

    Ответить
  16. Ronin

    Немного странно читать такие заметки на фоне полной тишины в ИБ-блогах о более актуальном событии — http://asozd.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=89417-6&02
    Новый законопроект вносит интересные правки в ФЗ «Об информации, информационных технологиях и о защите информации»

    Ответить
  17. Фин

    >путем похищения документов, подкупа или угроз, а равно иным незаконным способом

    Алексей, поясните пож-та, где здесь со стороны Навального похищение, подкуп, угрозы, либо иной незаконный способ? Судя по переписке, ему предоставили документы добровольно, безвозмездно, мало того, нашли его сами.

    Ответить
  18. Ronin

    а там скорее не со стороны Навального, а со стороны упомянутого аудитора — сбор иным незаконным способом. Впрочем, навальный ведь также собирал информацию незаконным способом — он спросил про число установок, а ему ответили, то есть аудитор не написал первым в почту "Алексей, день добрый, хотела бы вам сообщить, что там-то стоит 1 установка…". Так что сбор со стороны сабжа все же был. Другое дело — относится ли данная инфа к КТ и оформлено ли все это должным образом? Если да, то почему же тогда нет никаких судебных разбирательств с привлечением к ответственности?

    Ответить
  19. Фин

    >Ernst & Young — одной из компаний большой четверки, ключевым принципом которой является не только независимость, но и конфиденциальность всей информации, к которой получают доступ сотрудники EY. И вот этот принцип дал сбой.

    Бывают ситуации форс-мажорные, когда принципы дают сбой, не бывает 100% надежных систем безопасности, Вы же знаете. В обычной ситуации, когда речь не идёт о нечистоплотности, коррупции и круговой поруке в проверяемой организации, при этом штатные механизмы соблюдения ЗАКОНА не работают (по крайней мере, по мнению сливающей инфу было так), принципы сбоев не дают.

    Ответить
  20. Фин

    >Если верить Hell'у

    вот как раз хотел спросить у Вас как у одного из лучших специалистов области — как Вы считаете, можно ли верить тому, что эти письма подлинные? Вроде бы как при прошлом сливе некоторые проправительственные блоггеры утверждали что там все письма с электронной подписью и тп.

    Ответить
  21. Фин

    >а значит традиционные меры борьбы с такими утечками тоже не работают и необходимо сдвигать фокус в сторону более активной работы с персоналом.

    традиционные меры опять же не работают потому что закон не работает — нельзя остановить коррупционеров штатным путем (либо, участники так думают). Если это так, сдвигать фокус на неработающее законодательство ИМХО не правильно 🙂

    Ответить
  22. Фин

    Артем Агеев:
    >Тут сработала политика более высокого уровня, которая и разрешила "утечку"

    ну просто пять баллов, емко и точно.

    Ответить
  23. Фин

    Ronin
    >он спросил про число установок, а ему ответили

    183 УК РФ
    >незаконным способом

    не соглашусь, что СПРОСИТЬ — это незаконно)

    Ответить
  24. Шаломович Максим

    Думаю, что вина Навального в данном случае меньше, чем его источников, с другой стороны его можно считать организатором преступного (неожиданно, да!?) формирования, идеологом и собственно, главным ответственным персонажем. Один только факт, что он явно побуждал людей совершать предступления, говорит об этом. Честно говоря, считаю таких людей как Навальный, Удальцов и иже с ними не более чем агитаторами и провокаторами, поэтому обидно, когда люди, по роду деятельности и складу ума умеющие отличать зерна от плевел, реально ведутся на призывы, направленные на впечатлительную молодежь.
    И еще — слабо верится, что адекватные люди, сотрудники серьезных организаций с хорошим доходом и мотивацией, не осознавали того, что совершали преступления, разглашая конфиденциальную информацию. Думаю, имел место подкуп.

    Ответить
  25. Шаломович Максим

    А вообще — офф топ — очень приятно видеть такой взгляд на в общем-то обыденное событие, сразу видно профессионала. Есть чему учиться!

    Ответить
  26. Mikhail Sergeev

    Алексей, а распространение частной переписки по по федеральному телеканалу у нас ничем не карается?

    а по поводу того, что украли. Украсть можно всё, никакие DLP и работа с персоналом не поможет. Документы с грифом "СС" — и те воруют.
    Максимум чего можно добиться для получения эффекта защиты, чтобы стоимость кражи информации превышала ценность этой информации.

    Ответить
  27. Алексей Лукацкий

    Частная переписка передает быть таковой, если доступна неограниченному кругу лиц 😉

    Ответить
  28. Шаломович Максим

    Алексей, это по факту, а юридически даже со сведений составляющих государственную тайну формально не снимается гриф секретности при опубликовании их в открытых источниках, разве нет? Мне что-то такое из института помнится

    Ответить