20 мая 2014 г.

Быть может, Джордж Оруэлл просто промахнулся на 30 лет? В 1949 году мрачное будущее, которое он нарисовал в своей антиутопии «1984», было всё же фантастикой. Замаскированный под телевизор «телекран»*, через который спецорганы следили за частной жизнью граждан, - конечно же, во имя общего блага - будоражил воображение.

И всё же сегодня приходится вспомнить Оруэлла, видя, как некоторые специалисты по  ИТ-безопасности заклеивают камеру на своем ноутбуке изолентой (как это было на крупной конференции в начале года), поскольку они в курсе не только возможностей тайного сбора информации, которыми располагает Агентство национальной безопасности США (NSA), но и инструментов, имеющихся в руках киберпреступников и позволяющих им красть любую информацию (и продавать ее). У них есть ПО, позволяющее тайно включить камеру и сделать снимок или записать видео.

«Имеются специальные каталоги способов использования этого оборудования для выискивания информации и даже подрыва шифрования, - говорит Джереми Макбин, директор по развитию бизнеса VAR-компании IT Weapons. - Никого в нашей отрасли не удивило, что такие вещи происходили; удивило лишь, насколько всё это было организовано».

Некоторые полагают, что вторжение в частную жизнь граждан началось после терактов 11 сентября 2001 года, когда Закон о борьбе с терроризмом в США (так называемый USA Patriot Act**) предоставил правоохранительным органам более широкие полномочия, чтобы получать доступ к цифровой информации - в некоторых случаях тайно - во имя пресечения потенциальной террористической деятельности. Апелляционный суд по делам о надзоре за иностранными разведками (Foreign Intelligence Surveillance Court of Review) призван обеспечить контроль над действиями правоохранительных органов по доступу к цифровой информации. Недавняя публикация в Сети тысяч секретных документов, добытых Эдвардом Сноуденом, рисует картину обширной и сложной глобальной системы слежки, дававшей разведорганам доступ к конфиденциальными данным.

Между тем, исследователи разрабатывают новые мощные технологии, позволяющие анализировать всю мешанину собранной информации - от метаданных сотового телефона до писем электронной почты и видеочата, - конечно, чтобы выявлять террористические ячейки и не допустить повторения 11 сентября. Основной объем этих исследований ведется в секретном ЦОДе в штате Юта под кодовым названием Bumblehive (букв. «жужжащий рой»), который обошелся в 1,5 млрд. долл., где исследователи, находящиеся на государственной службе, применяют мощную аналитику. Это не придуманная Оруэллом «полиция мыслей»*. Это то, что реально происходит сегодня.

Пугающий размах

Масштабы глобальной слежки, продемонстрированные Сноуденом, пугают, говорит Макбин. NSA скрупулезно документирует уязвимости, чтобы проникать в ПО, используемое для коммуникации, может просматривать и записывать данные через сетевое оборудование, и масштабы этого оказались гораздо больше, чем кто-то мог подумать, говорит он. Тайный доступ к данным выглядит тревожащим, говорит Макбин, но никакая мелкая или средняя фирма не остановит этой слежки. «Наша способность как потребителя или как поставщика услуг повлиять на это ограничена, - говорит Макбин. - Всё, что мы можем сделать, это просвещать и повышать  уровень осведомленности - и, если клиент обеспокоен этим, то мы можем попытаться найти альтернативы».

ИТ-компании также стараются вновь восстановить доверие своих заказчиков после разоблачений, прозвучавших в сентябре прошлого года, что NSA и аналогичное Управление правительственной связи Великобритании знают способы, как обойти большинство мер безопасности, используемых интернет-компаниями для защиты коммуникации, финансовой информации и данных о состоянии здоровья. Были также сообщения, что NSA потратило 250 млн. долл., чтобы «скрытно влиять» на проектирование продуктов в ИТ-безопасности, включая создание секретных «лазеек» в коммерческом ПО защиты.

RSA (отдел ИТ-безопасности в EMC) попала под огонь критики в конце прошлого года, когда были опубликованы служебные документы, дающие основания подозревать, что компания получила миллионы долларов за то, что дала «зеленый свет» сомнительному алгоритму шифрования (некоторые считают, что он содержит лазейку для доступа спецслужб). Компания признала, что ввиду профиля своего бизнеса - шифрования информации - она имеет тесные связи с ведомством разведки, но отрицала обвинения. Арт Ковьельо (Art Coviello), председатель правления RSA с исполнительными полномочиями, коснулся этого вопроса на конференции RSA в этом году. Компания взяла на вооружение данный алгоритм, используя его в своих средствах разработки, чтобы удовлетворить сертификационные требования федерального правительства.

Из документов, опубликованных Сноуденом, следует также, что Microsoft якобы помогала NSA в перехвате веб-чата на своем новом портале Outlook.com. Компания якобы предоставила возможность обойти шифрование сообщений на Outlook.com и средства контроля в Skype, что дало доступ к видеозвонкам. Microsoft выступила с опровержением и с тех пор усилила шифрование передачи данных с и на Outlook.com, Office 365, OneDrive и Windows Azure.

Документ в материалах Сноудена свидетельствовал также о наличии спецпрограммы NSA, нацеленной на создание «дыр» и уязвимостей в коде ПО для настольных ПК и сетевого оборудования без информирования  об этом самих производителей.

Паниковать? Подойти реалистично!

Если эти тревожные сигналы еще не оказали влияния на продажи, то окажут, уверены VAR`ы. Организации начинают настороженно относиться к ИТ-вендорам и поставщикам услуг в США, приходя к убеждению, что данные нужно хранить локально. Заказчики  начинают  верить в то, что ИТ-вендоры сотрудничают с разведслужбами, оставляя лазейки в своих продуктах. Поставщики решений, продающие облачные услуги, также говорят, что скандал с NSA встревожил организации, которые собирались переносить данные в облако. Поставщики услуг в США теперь отвергаются, и данные хранятся внутри организаций; в некоторых случаях локальное хранение является жестким требованием.

Скандал с NSA подтолкнул потенциальных клиентов искать что-то другое, говорит Дон Грэй, директор по стратегии ИТ-безопасности Solutionary, дочерней компании мирового телекоммуникационного гиганта NTT. Клиенты компании в Канаде сократили использование ее услуг мониторинга безопасности и администрирования устройств из опасения вмешательства спецслужб США, говорит Грэй. Канадские фирмы должны соблюдать Закон о защите персональной информации и электронных документов (Personal Information Protection and Electronic Documents Act), который имеет аналогичные правила, очерчивающие доступ правительства.

По оценке Фонда информационных технологий и инноваций (ITIF) в прошлом году, к 2016 году отрасль облачных услуг в США может понести потери в размере от 22 до 35 млрд. долл. Forrester Research пошла  еще дальше, заявив, что потери ИТ-компаний США могут достичь 180 млрд. долл., или 25% всего дохода поставщиков ИТ-услуг.

Скандал с NSA привел к снижению продаж на растущих рынках - в Бразилии и России, говорит финансовый директор Cisco Systems Фрэнк Колдерон. Другие ИТ-компании США также сообщают о трудностях глобальных продаж. Бразилия объявила в конце прошлого года, что переводит 700 тыс. чел. федеральных служащих с Microsoft Outlook на новую защищенную систему электронной почты. IBM объявила в январе, что потратит более 1 млрд. долл. на новые ЦОДы, чтобы данные встревоженных заказчиков хранились  где-то за пределами США.

Некоторые поставщики услуг с глобальным охватом также строят новые ЦОДы, чтобы соответствовать изменившимся требованиям. Компания AppRiver, поставщик услуг защиты электронной почты и хостинга Exchange, тратит миллионы долларов на открытие ЦОДов за рубежом, чтобы удовлетворить требования заказчиков, говорит шеф канала AppRiver Брайан Хейнз. Когда иностранные клиенты видят адрес штаб-квартиры - Галф-Бриз, шт. Флорида, - они задают намного больше вопросов о местонахождении данных либо просто звонят другому провайдеру, говорит Хейнз. AppRiver работает в партнерстве с Rackspace, предлагая облачные услуги в США, и имеет ЦОДы в Гонконге, Лондоне и Швейцарии. Ее партнер по архивированию сообщений, Global Relay, находится в Канаде.

«К нам обращались потенциальные клиенты, которые говорят, что им очень бы не хотелось использовать услуги, которые базируются в Соединенных Штатах, - сказал Хейнз. - Таков их выбор, и мы открываем множество ЦОДов, чтобы снять их опасения».

Думать глобально

SilverSky, поставщик услуг управления безопасностью, а также хостинга и архивирования электронной почты, недавно пригласила Дела Росса (Del Ross) выстроить ее программу партнерства для глобального канала сбыта с акцентом на продажах в Азиатско-Тихоокеанском регионе, говорит Эндрю Жакит (Andrew Jaquith), директор по технологии SilverSky. Чтобы удовлетворить растущий спрос на «местное» хранение данных, отчасти вызванный скандалом с NSA, компания ввела новый ЦОД в Амстердаме, опираясь на партнерство с IBM, чтобы подкрепить свой европейский бизнес. SilverSky имеет также ЦОД в Сингапуре.

Конечно, теракты 11 сентября затронули не только США. Как объяснил Жакит, каждая из стран Запада с тех пор расширила полномочия, представляемые своим разведорганам, аналогичным NSA. Один из последних примеров: французская Le Monde недавно сообщила что крупнейший поставщик телекоммуникационных услуг передает конфиденциальные данные главному разведывательному органу Франции, в том числе метаданные сотовых телефонов и другую информацию о миллионах своих абонентов.

«Есть широко распространенное мнение, что объем сбора и анализа данных в США огромен и что здесь это делается в гораздо большей степени, чем в других странах, хотя определенный объем такой работы ведется в каждой стране», - сказал Жакит. Поставщикам услуг приходится соблюдать строгие правила - например, те, что очерчивают порядок обращения с данными и обязательное уведомление об утечке в Калифорнии, говорит Жакит. Минимальный стандарт удовлетворит требования в каждом штате и покажет потенциальным заказчикам, что компания серьезно относится к безопасности.

«Как поставщик услуг, обдумывая стратегию защиты данных и долгосрочного их хранения, вы стремитесь максимально соответствовать ситуации, - говорит Жакит. - Мы будем открывать ЦОДы там, где они нужны, чтобы удовлетворить потребности наших заказчиков и их требования к местонахождению данных».

SilverSky шифрует всё, что передается по Сети, и может шифровать данные, находящиеся на хранении, в зависимости от услуги, предложенной заказчикам. Но шифрование не панацея, говорит Жакит и другие эксперты. Один из недостатков в том, что служащие иногда сталкиваются с задержками в процессах с большим объемом поиска, таких как электронная почта. Заказчики задавали вопросы о службе мобильной безопасности SilverSky - услуге дистанционного администрирования мобильных устройств, предлагаемой компанией в партнерстве с AirWatch и управляемой от имени клиентов. Компания резко ограничивает объем информации, собираемой о пользователях сервиса AirWatch: она хранит только идентификационный номер устройства пользователя, но не данные местоположения. Последние могут использоваться для более тонкого управления на основе политик, но организации обычно их не используют либо находят другие способы реализовать политики, говорит Жакит.

«Всем понятно, что мы должны собирать метаданные для наших собственных целей, чтобы помочь заказчикам себя защитить, - говорит Жакит. - Мы стараемся ограничить объем собираемого, чтобы снять опасения заказчиков».

Стать умнее и осторожнее

Впрочем, есть и положительный результат скандала с NSA: потребители стали лучше понимать риски, говорит Пит Заррас, учредитель и президент компании Cloud Strategies, которая является «золотым» партнером Microsoft и проводит заказчиков через весь процесс миграции в облако. Клиенты задают теперь больше вопросов и строже отбирают  облачных поставщиков и услуги, сказал Заррас.

«Это небезопасно, когда имеешь такое правительство, которое не уважает закон и прайвеси. Конечно, это огромная тема, которая затрагивает политические и личные взгляды, и это трудный вопрос для поставщика решений, когда его ставит  потенциальный клиент, - говорит Заррас. - Мы выкручиваемся, переходя к разговору об ответственности, осторожном обращении с данными и преимуществах облачных решений».

Клиентам можно посоветовать выбрать разных поставщиков при переносе систем и данных к поставщикам облака, говорит Заррас. К примеру, можно использовать Microsoft для хостинга Exchange, но вместо того, чтобы применять шифрование Microsoft, выбрать точечный продукт другого вендора. Поскольку клиент шифрует данные «на стороне» и держит ключ у себя, то Microsoft (или другой провайдер) не имеет способа прочитать их данные, даже если поступит запрос от госорганов, пояснил Заррас.

Поставщики решений в США говорят, что стремятся перевести  опасения клиентов в обсуждение того, как обеспечить защиту данных, устранить  уязвимости и ошибки конфигурации. Есть и вендоры, которые могут помочь снять опасения клиентов относительно шифрования данных и аутентификации. DataMotion предлагает защищенную платформу электронной почты, обмена сообщениями и совместного хранения файлов. Vaultive шифрует данные, прежде чем они выйдут за пределы организации, и владельцы данных имеют прямой контроль за шифроключами. В новом сегменте безопасности облачных приложений вендоры предоставляют услуги аутентификации и шифрования. Сервис CipherCloud сканирует корпоративную сеть, давая организациям картину облачных услуг, уже используемых в каждом подразделении. Будучи внедрен, он может также шифровать данные перед отправкой в облако и обеспечить мониторинг действий пользователей, чтобы исключить злоупотребления.

Большинство мелких фирм заинтересованы в деловой ценности или росте продуктивности, связанных с использованием облачных услуг, говорит Хью Сейзгар, президент и главный управляющий компании Techcess Group, поставщика услуг управления ИТ. В некоторых случаях клиенты в странах в высоким уровнем госрегулирования могут решить выстроить частное облако для более критичных систем, а не полагаться на общедоступные облачные ресурсы, говорит Сейзгар.

Где же главная угроза?

Джефф Самнер, президент компании TechGuides, работает с командой специалистов, проводящих восстановление клиентских систем, пострадавших от вируса Cryptolocker, в течение последних нескольких месяцев. Попав в компьютер, вирус шифрует данные на жестком диске и лишает пользователя доступа к файлам. Он инфицирует и другие системы в компании, в том числе подключенные автоматизированные системы резервного копирования. Киберпреступники используют тактику вымогательства, требуя денег (обычно в виде Bitcoin) за ключ, позволяющий выполнить обратное дешифрование.

Организации должны задуматься об этих  угрозах, говорит Самнер. Всё, что нарушает их способность вести бизнес или зарабатывать деньги, должно быть учтено и блокировано, сказал он. «Любители открывать неизвестные вложения в почте, щёлкать ссылки и ходить туда, куда не следует, - вот реальная проблема, которой должны озаботиться владельцы бизнеса и менеджеры, - говорит Самнер. - В конечном счете, ваша потеря данных будет вызвана ошибкой вашего служащего, а не выслеживанием возможных террористов в вашем интернет-трафике, которое может проводить NSA».

Поставщикам решений следует вести разговор о резервном копировании и восстановлении, многоуровневой защите для обнаружения вредоносного ПО и других услугах и просвещать конечных пользователей относительно спама, фишинга и о других способах спекуляции на доверчивости, говорит Самнер. Хакеры нацеливаются, прежде всего, на плохо защищенные системы, не имеющие нужных заплат обновления, на ошибки конфигурации и другие слабые места, являющиеся обычными упущениями в базовой защите, сказал он.

Макбин из IT Weapons также считает, что важнее внедрить лучшие практики защиты, чем зацикливаться на блокировании вторжений разведслужб. В каждом исследовании, посвященном утечкам данных, сформулированы шаги, которые необходимо предпринять, чтобы обезопасить системы, но часто не принимается во внимание недостаток бюджета, отсутствие квалифицированного персонала, да и просто зрелой программы информационной безопасности, говорит Макбин. Киберпреступники не прочь выкрасть интеллектуальную собственность, информацию о заказчиках и сотрудниках и данные кредитных карт, чтобы заработать на этом. Поставщики решений должны указывать на надлежащую защиту серверов, содержащих конфиденциальные данные заказчиков, добиваться, чтобы служащие имели привычку устанавливать надежные пароли, и вводить двухфакторную аутентификацию для доступа к критически важным системам, говорит Макбин.

Нам остается лишь вспомнить заключительный абзац в книге Оруэлла: «Он остановил взгляд на громадном лице. Сорок лет ушло у него на то, чтобы понять, какая улыбка прячется в черных усах. О жестокая, ненужная размолвка! О упрямый, своенравный беглец, оторвавшийся от любящей груди! Две сдобренные джином слезы прокатились по крыльям носа. Но всё хорошо, теперь всё хорошо, борьба закончилась. Он одержал над собой победу. Он любил Старшего Брата»*.


___
* Цитируется по переводу В. Голышева
** Это аббревиатура, которая расшифровывается как «Закон США об объединении и укреплении Америки путем предоставления необходимых инструментов для пресечения и препятствования терроризму» (Прим. перев.)

© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США