10 апреля 2012

Что считать утечкой? – договоримся о терминах

В погоне за дутыми цифрами наши конкуренты применили неоригинальный метод - завышают число учтённых инцидентов. То ли хотят показать, что их учёт лучше. То ли у них там платят сдельно. То ли бескорыстная любовь к большим числам. Так или иначе встал вопрос: что следует считать утечкой информации? Пока отрасль не договорится об этом, наши коллеги не смогут сопоставлять аналитику из разных источников.

На наш взгляд, для целей аналитического учёта целесообразно принять такое определение.

Инцидентом с утечкой информации является событие, когда конфиденциальная[1] информация или носитель с ней в незашифрованном[2] виде попадает в распоряжение посторонних[3] лиц или имеются убедительные основания[4] полагать, что попала. Только такие события следует подсчитывать, классифицировать по категориям и включать в отчёты.

1. Под "конфиденциальной" мы понимаем здесь информацию любой степени конфиденциальности, обладатель которой ограничил к ней доступ. Отдельно следовало бы рассмотреть случаи, когда доступ ограничен неправомерно, вопреки закону, справедливости или интересам человечества. По закону, такая информация не считается конфиденциальной (секретной, ограниченного доступа), однако для целей учёта мы предлагаем включать такой случай в число инцидентов. Дело здесь в том, что технические средства "не знают" о том, законно ограничен доступ или нет. Организационные средства тоже чаще не учитывают законность засекречивания. А поскольку наши цели - совершенствование средств защиты, учёт следует вести по всем случаям, когда такие средства дают сбой, даже если в данном случае они использовались во зло.

2. Зашифрованная информация по очевидным причинам не может считаться утекшей, если вместе с ней не утёк ключ шифрования. Например утеря зашифрованного диска инцидентом не считается. Шифрование как раз и придумано для того, чтобы предотвращать такие инциденты, чтоб утрата не была утечкой. Само собой, считается лишь стойкое шифрование, для вскрытия которого у любого злоумышленника не хватит ресурсов. Однако подавляющее большинство используемых способов шифрования сейчас относятся к стойким. В некоторых случаях потерпевший уверяет, что информация на утраченном носителе "была защищена паролем" или "записана в специальном формате" или "не читается на бытовых устройствах". Подобные отмазки, разумеется, ни в коем случае не должны приравниваться к шифрованию. Шифрование имеет теоретическую стойкость, а нетрадиционный формат или протокол могут остановить лишь самых инфантильных злоумышленников, а рассчитывать на это глупо.

3. Под посторонними лицами мы подразумеваем тех, кто не был допущен к соответствующей тайне. А также неопределённый круг лиц, например, при случайной публикации информации на публичном веб-сервере.

4. Достаточно много случаев, когда судьба пропавшего носителя не известна. Он мог попасть к злоумышленникам, которые не интересуются данными, но лишь самим носителем (например, ноутбуком). Он мог совсем сгинуть, не доставшись никому. Но в большинстве случаев всё же можно сделать какие-то разумные предположения о судьбе информации и о намерениях злоумышленников. Если вероятность попадания в чужие руки есть, и она не ничтожно мала, то событие следует считать инцидентом-утечкой.

Не утечки

Не следует путать с утечками инциденты другого рода, при которых информация не покидает защищаемого периметра. Например, атаки на отказ в обслуживании (DoS), иное блокирование или уничтожение информации.

И уж тем более, не следует приравнивать к утечкам нарушения предписанного порядка защиты.

Контролирующие органы имею обыкновение находить нарушения там, где надо и в таком количестве, в каком приказано. И не замечать их, где не следует. Более того, эти органы зачастую сами и устанавливают порядок защиты информации - такой, какой им удобен, а не какой требуется, чтоб избегать утечек. Бывает, что официальные правила защиты вообще не связаны с актуальными рисками, но отлично заточены на сбыт продукции афилированными структурами и на удобство взимания штрафов. Приравнивать подобные нарушения к настоящим инцидентам - значило бы заниматься накруткой статистики, а не проводить научные исследования. Нас ведь интересует, каким актуальным угрозам должны противостоять средства защиты. Поэтому и в статистике надо учитывать лишь случаи реализации угроз, а не чиновничьи игры.

Ну, и в заключение мы предлагаем установить исключения из сформулированного выше правила. Поскольку мы ведём учёт в целях разработки, совершенствования и верного применения средств защиты информации, нам не надо брать в рассмотрение случаи, когда такие средства не применялись, не должны были и не могли применяться. Как, например, недавний скандал с публикацией персональных данных кадастровых инженеров. Как оказалось, они были обнародованы, согласно прямому требованию закона. Журналисты, не разобравшись, подняли волну. Сообщения в прессе создавали впечатление настоящей утечки. Однако защищать эти данные никто с самого начала не намеревался. Никакие средства защиты от утечек там не используются и никогда не будут использованы. Поэтому включать такой "инцидент" в научное исследование нет смысла.

Николай Федотов

Цинично говоря, учитывать следует лишь те случаи, после которых мы могли бы злорадно сказать потерпевшим: "Эх вы! Надо было ставить наш продукт. Тогда, глядишь, пронесло бы." А нет злорадства - нет и инцидента.

Подпишитесь на рассылку INFOWATCH