Бюджет 2018-2020 принят

Госдума приняла в третьем чтении закон о федеральном бюджете на 2018 год и плановый период

Москва вышла из кризиса

Доля нефтегазового сектора в экономике Москвы снизилась

«Налог на Google» принес российской казне 7 млрд рублей

Российская казна получила 7 млрд руб. благодаря так называемому «налогу на Google», сообщил в

Где бочка опоры

На российском валютном рынке с середины октября происходят непривычные вещи. Нефть уверенно

RAEX (Эксперт РА): общий объем незастрахованных рисков в России составляет более 1 000 трлн рублей

15 ноября 2017 года в Москве состоялся XI Ежегодный форум «Будущее страхового рынка»,

ЦБ видит потенциал снижения ставки

Набиуллина подчеркнула важность стабильности инфляции

Россияне стали меньше пить

Продажи сброженных напитков выросли втрое

Выпуск облигаций для бизнеса обеспечит «РЕЗУЛЬТАТ»

14 ноября 2017 года состоялось выступление генерального директора ГК «Результат» Гончарова

Госрегулирования продовольствия не будет

Против выступил комитет по экономполитике и правительство

OPPO выпустила смартфон F5 из серии Селфи Эксперт с революционной технологией SelfieTune

Ведущая глобальная технологическая компания OPPO представила в России свой первый

Классика на заказ

Повседневная мужская мода – явление не особо капризное,  если брать в расчет самую

Мощный, тихий и гигиеничный: Miele представляет первый безмешковый пылесос Blizzard CX1

Мощный, тихий и гигиеничный: Miele представляет первый безмешковый пылесос Blizzard CX1

Компания Miele представляет уникальную новинку – функциональный, практически бесшумный,

HIGH END в темпе вальса

Дорогие телевизоры и аудиосистемы пользуются стабильным спросом

Ценная старина

Рынок антиквариата – одно из самых закрытых и непубличных пространств в России. Далеко не все

РОСКОШНЫЕ И ДОРОГИЕ

Для мировых автомобильных брендов класса «люкс» Россия была и остается одним из основных

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»


High Tech и связь   17.11.2011 23:32:09

Как расследовать ИТ-инциденты

Как расследовать ИТ-инциденты

Практика расследования компьютерных преступлений в нашей стране еще до конца не сложилась. Один из важных моментов — с помощью каких специалистов необходимо фиксировать ситуацию и пытаться «докопаться» до истины. Мы попросили прокомментировать эту ситуацию двух экспертов, которые имеют разные точки зрения на сложившуюся ситуацию.

Генеральный директор Group-IB Илья Сачков

Прежде всего, нужно отметить, что расследования ИТ-инцидентов, которые проводятся собственными службами безопасности или приглашенными независимыми специалистами, и расследования, проводимые правоохранительными органами, это, как говорят в Одессе — две большие разницы.

Задача первых — разобраться в причинах инцидента, собрать соответствующим образом цифровые доказательства и техническими способами установить виновника произошедшего. Задача последних — провести оперативно-разыскные мероприятия и привлечь злоумышленника к ответственности.

В данном случае я не буду говорить о привлечении к расследованиям такого «аутсорсера» как правоохранительные органы. Здесь все предельно ясно: их участие необходимо, если пострадавшая компания действительно хочет организовать юридическое преследование виновного лица, привлечь его к ответственности в рамках закона и возместить причиненный ущерб.

Теперь я попробую ответить на вопрос о смысле привлечения сторонних консультантов в области расследовании компьютерных преступлений (РКП). В ходе нашей работы мы часто сталкиваемся с довольно распространенным заблуждением, что любая компания может самостоятельно расследовать любой инцидент информационной безопасности. Это не совсем так. И вот почему.

Какими бы профессионалами не были сотрудники корпоративной службы безопасности, они не могут постоянно отслеживать техническую и судебную практику по расследованию компьютерных преступлений. Причем последняя не менее значима. Важно не только идентифицировать нарушителя, но и юридически грамотно обосновать нарушение и зафиксировать событие инцидента. В расследовании инцидентов должна участвовать целая команда, состоящая из компьютерных криминалистов, специализированных юристов и экспертов в РКП. Каждый член такой группы сталкивается с разнообразными инцидентами ежедневно и уже на уровне инстинктов чувствует, каким образом протекал инцидент и где искать важнейшие «цифровые» следы преступления. И в этом главное отличие сторонних консультантов от сотрудников корпоративных СБ, многие из которых только теоретически представляют, что делать в подобных ситуациях.

Я не даром в начале упомянул, что приглашенные специалисты имеют статус независимых. Представим, если инцидент произошел по вине или недосмотру службы информационной безопасности. Стоит ли от нее ждать объективной оценки происходящего? Думаю, ответ очевиден. Не случайно международные стандарты по информационной безопасности рекомендуют привлекать для внутренних расследований независимых экспертов. Такие консультанты действуют не столько в интересах информационной безопасности, сколько в интересах всего бизнеса в целом.

Однако упомянутые моменты не позволяют однозначно сказать, что разбор инцидента нужно полностью отдать сторонним специалистам. Процесс расследования должен происходит в виде симбиоза сотрудников корпоративных служб и независимых консультантов. Никто не знает лучше собственных сотрудников корпоративную ИТ-инфраструктуру. Никто не знает лучше независимых специалистов в области РКП, как правильно проводить успешное расследование. А вот совместное партнерство — это, однозначно, лучший вариант.

Главный аналитик InfoWatch Николай Федотов

Расследование «обычных» преступлений всегда производится «аутсорсерами», т. е. государственными правоохранительными органами. В крайнем случае им может помогать частный детектив — ещё более аутсорсер. Держать детектива в штате очень мало кому приходит в голову. Дело в том, что расследование любых преступлений экономически невыгодно.

Криминологи давно подсчитали, что государству было бы гораздо выгоднее возмещать всем потерпевшим убытки от преступлений, чем ловить жуликов и воров. Однако, политика в этом вопросе командует, экономика подчиняется. Все страны держат убыточные полиции и ещё более убыточные службы политического сыска. Потому что вопрос — не о деньгах, а о власти.

Государство должно иметь монополию на насилие, и эффективность раскрытия преступлений здесь ни при чём. Когда за расследование берётся корпоративная служба безопасности, она действует с большой оглядкой на интересы собственника. Лишь самые наглые, крупные, публичные посягательства на имущество хозяина имеет смысл раскрывать и примерно наказывать злодеев. Более мелкие выгоднее тихо списать в убыток и сделать вид, что у тебя ничего не пропало. Банки так и поступают.

Другая особенность собственной СБ в том, что большинство хищений — это их просчёт, ошибка, лень или некомпетентность. Даже когда руководитель предприятия — умный и обещает не наказывать за вскрытые в ходе расследования «условия, способствовавшие совершению преступления», вскрывать их СБ не любит. Зато любит списывать свои грехи на безвестных кардеров или безответных конкурентов. Личная и групповая заинтересованность не позволяет им вести следствие объективно.

И ещё одно соображение. Как известно, производительность труда растёт с опытом работника, подразделения и даже целого предприятия. Действие, которое выполняется каждый день, обойдётся сильно дешевле, чем производимое раз в год. А может и вовсе выйти «первый блин комом». Поэтому, если инциденты происходят у вас редко, дешевле будет приглашать для расследования сторонних специалистов. Однако человеку со стороны трудно разобраться в хитросплетениях отношений внутри предприятия. А практика говорит нам, что в большинстве случаев, когда злоумышленник (или сообщник) сидит внутри компании, выйти на него проще, потянув за личностные и организационные ниточки, чем за технические. Часто виновный известен заранее, ещё до начала расследования (правда, известен не всем). Приглашённый сыскарь может неделю копаться в логах и удалённых файлах, пока поймёт то, что давно известно всем окружающим.

Так что однозначного решения «свои или аутсорсеры» у меня нет. Впору перед началом расследования приглашать консультанта-аутсорсера, чтобы он решил этот вопрос.

High Tech и связь   17.11.2011 23:32:09   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.