Бюджет прочитали в третий раз

Баррель нефти все три года в бюджете стоит $40

Glencore и санкции

Glencore и санкции

Вашингтон "не обязательно заблокирует" покупку акций "Роснефти"

Прогноз роста ВВП

По оценкам департамента ЦБ, рост ВВП в IV квартале текущего года составит 0,1%

Дополнительные доходы бюджета

Минфин РФ рассчитывает получить около 1 трлн рублей дополнительных нефтегазовых доходов

Внешняя торговля Китая

Объем внешней торговли Китая в ноябре вырос на 2,9% по сравнению с 2015 годом

Пластиковые козыри

Доля россиян, имеющих в пользовании хотя бы одну банковскую карту, за год

Народные ОФЗ

Народные ОФЗ

«Народные ОФЗ» — проект, который в свое время анонсировался довольно громко. Но он сдулся еще

Банки выздоровели

В 2017 году позитив в банковском секторе усилится

Приватизация «Роснефти» не изменит курс рубля

Заплаченные за акции «Роснефти» евро будут постепенно конвертироваться в рубли

Посылка для вашего мальчика

«Почта России» повышает тарифы на доставку заказов из интернет-магазинов

RAEX наградил лидеров XXI рейтинга инвестиционной привлекательности регионов

9 декабря в Москве состоялся XIV Региональный инвестиционный конгресс, организованный

Эксперты и аналитики спрогнозируют будущее российского бизнеса

Эксперты и аналитики спрогнозируют будущее российского бизнеса

15 декабря в Центре Международной Торговли 25 ведущих российских и международных аналитиков и

Финансовый Олимп 2016

В понедельник 12 декабря в конференц-центре МИА «Россия Сегодня» в Стеклянном зале состоится

Cаммит франчайзоров

9—10 февраля 2017 года в Москве, в отеле Метрополь состоится II Всероссийский Саммит

Cценарии экономики на ближайшие 20 лет

Четвертый форум VESTIFINANCE предложит участникам продолжить обсуждение ключевых вопросов по

«Финансовая газета» - старейшее, а теперь самое современное экономическое издание. Это и аналитический еженедельник, и электронный портал, и база обновляемых нормативных документов, и площадка, на которой каждый может стать соавтором будущей системы экономического регулирования.



Вы можете оформить подписку на «Финансовую газету», получить доступ к информационно-справочной системе: «Документы, комментарии, консультации»

High Tech и связь   17.11.2011 23:32:09

Как расследовать ИТ-инциденты

Как расследовать ИТ-инциденты

Практика расследования компьютерных преступлений в нашей стране еще до конца не сложилась. Один из важных моментов — с помощью каких специалистов необходимо фиксировать ситуацию и пытаться «докопаться» до истины. Мы попросили прокомментировать эту ситуацию двух экспертов, которые имеют разные точки зрения на сложившуюся ситуацию.

Генеральный директор Group-IB Илья Сачков

Прежде всего, нужно отметить, что расследования ИТ-инцидентов, которые проводятся собственными службами безопасности или приглашенными независимыми специалистами, и расследования, проводимые правоохранительными органами, это, как говорят в Одессе — две большие разницы.

Задача первых — разобраться в причинах инцидента, собрать соответствующим образом цифровые доказательства и техническими способами установить виновника произошедшего. Задача последних — провести оперативно-разыскные мероприятия и привлечь злоумышленника к ответственности.

В данном случае я не буду говорить о привлечении к расследованиям такого «аутсорсера» как правоохранительные органы. Здесь все предельно ясно: их участие необходимо, если пострадавшая компания действительно хочет организовать юридическое преследование виновного лица, привлечь его к ответственности в рамках закона и возместить причиненный ущерб.

Теперь я попробую ответить на вопрос о смысле привлечения сторонних консультантов в области расследовании компьютерных преступлений (РКП). В ходе нашей работы мы часто сталкиваемся с довольно распространенным заблуждением, что любая компания может самостоятельно расследовать любой инцидент информационной безопасности. Это не совсем так. И вот почему.

Какими бы профессионалами не были сотрудники корпоративной службы безопасности, они не могут постоянно отслеживать техническую и судебную практику по расследованию компьютерных преступлений. Причем последняя не менее значима. Важно не только идентифицировать нарушителя, но и юридически грамотно обосновать нарушение и зафиксировать событие инцидента. В расследовании инцидентов должна участвовать целая команда, состоящая из компьютерных криминалистов, специализированных юристов и экспертов в РКП. Каждый член такой группы сталкивается с разнообразными инцидентами ежедневно и уже на уровне инстинктов чувствует, каким образом протекал инцидент и где искать важнейшие «цифровые» следы преступления. И в этом главное отличие сторонних консультантов от сотрудников корпоративных СБ, многие из которых только теоретически представляют, что делать в подобных ситуациях.

Я не даром в начале упомянул, что приглашенные специалисты имеют статус независимых. Представим, если инцидент произошел по вине или недосмотру службы информационной безопасности. Стоит ли от нее ждать объективной оценки происходящего? Думаю, ответ очевиден. Не случайно международные стандарты по информационной безопасности рекомендуют привлекать для внутренних расследований независимых экспертов. Такие консультанты действуют не столько в интересах информационной безопасности, сколько в интересах всего бизнеса в целом.

Однако упомянутые моменты не позволяют однозначно сказать, что разбор инцидента нужно полностью отдать сторонним специалистам. Процесс расследования должен происходит в виде симбиоза сотрудников корпоративных служб и независимых консультантов. Никто не знает лучше собственных сотрудников корпоративную ИТ-инфраструктуру. Никто не знает лучше независимых специалистов в области РКП, как правильно проводить успешное расследование. А вот совместное партнерство — это, однозначно, лучший вариант.

Главный аналитик InfoWatch Николай Федотов

Расследование «обычных» преступлений всегда производится «аутсорсерами», т. е. государственными правоохранительными органами. В крайнем случае им может помогать частный детектив — ещё более аутсорсер. Держать детектива в штате очень мало кому приходит в голову. Дело в том, что расследование любых преступлений экономически невыгодно.

Криминологи давно подсчитали, что государству было бы гораздо выгоднее возмещать всем потерпевшим убытки от преступлений, чем ловить жуликов и воров. Однако, политика в этом вопросе командует, экономика подчиняется. Все страны держат убыточные полиции и ещё более убыточные службы политического сыска. Потому что вопрос — не о деньгах, а о власти.

Государство должно иметь монополию на насилие, и эффективность раскрытия преступлений здесь ни при чём. Когда за расследование берётся корпоративная служба безопасности, она действует с большой оглядкой на интересы собственника. Лишь самые наглые, крупные, публичные посягательства на имущество хозяина имеет смысл раскрывать и примерно наказывать злодеев. Более мелкие выгоднее тихо списать в убыток и сделать вид, что у тебя ничего не пропало. Банки так и поступают.

Другая особенность собственной СБ в том, что большинство хищений — это их просчёт, ошибка, лень или некомпетентность. Даже когда руководитель предприятия — умный и обещает не наказывать за вскрытые в ходе расследования «условия, способствовавшие совершению преступления», вскрывать их СБ не любит. Зато любит списывать свои грехи на безвестных кардеров или безответных конкурентов. Личная и групповая заинтересованность не позволяет им вести следствие объективно.

И ещё одно соображение. Как известно, производительность труда растёт с опытом работника, подразделения и даже целого предприятия. Действие, которое выполняется каждый день, обойдётся сильно дешевле, чем производимое раз в год. А может и вовсе выйти «первый блин комом». Поэтому, если инциденты происходят у вас редко, дешевле будет приглашать для расследования сторонних специалистов. Однако человеку со стороны трудно разобраться в хитросплетениях отношений внутри предприятия. А практика говорит нам, что в большинстве случаев, когда злоумышленник (или сообщник) сидит внутри компании, выйти на него проще, потянув за личностные и организационные ниточки, чем за технические. Часто виновный известен заранее, ещё до начала расследования (правда, известен не всем). Приглашённый сыскарь может неделю копаться в логах и удалённых файлах, пока поймёт то, что давно известно всем окружающим.

Так что однозначного решения «свои или аутсорсеры» у меня нет. Впору перед началом расследования приглашать консультанта-аутсорсера, чтобы он решил этот вопрос.

High Tech и связь   17.11.2011 23:32:09   

Тэги:

Написать комментарий

  Пожалуйста, зарегистрируйтесь или войдите.