Инциденты, происходящие в сфере информационной безопасности, являются одними из самых болезненных для бизнеса. Чаще всего, они ведут к утечке или потере конфиденциальной информации. Помимо прямого ущерба для бизнеса, такие события негативно сказываются на имидже компании. Поэтому предотвращение, а в случае возникновения инцидентов – результативное расследование являются первоочередными задачами службы информационной безопасности.

К сожалению, инциденты в области ИБ зачастую скрывают, поскольку очень редко получается довести их расследование до конца. Зачастую это обусловлено отсутствием должного уровня компетенций и необходимых ресурсов для обеспечения этого процесса. Как результат, не проводятся работы по сбору доказательной базы, идентификации виновных лиц, возбуждению административного или уголовного дела и привлечению виновных лиц к ответственности в соответствии с законодательством РФ, а также не обеспечивается возмещение ущерба,  нанесенного злоумышленниками.

Безнаказанность приводит к увеличению количества инцидентов и росту ущерба, что вынуждает подразделения ИБ закупать и внедрять все больше средств контроля для защиты информационных ресурсов. Такой подход заводит процесс защиты в тупик, поскольку выделяемые бюджеты не в состоянии обеспечивать постоянное внедрение дополнительных, современных средств контроля.

Вместе с тем, управление инцидентами в сфере ИБ и других отраслях имеет много общего. Основной подход – превентивный, не допускающий возникновения инцидентов. Для этого должен осуществляться постоянный мониторинг области, в которой потенциально может произойти инцидент, детальное и результативное расследование происходящих инцидентов и анализ вновь возникающих угроз.

Управление инцидентами в сфере информационной безопасности имеет ряд специфических особенностей, обусловленных, прежде всего, тем, что именно в ИБ влияние человеческого фактора выражено наиболее ярко. По некоторым оценкам, до 80% случаев утечки информации происходит по вине инсайдеров - сотрудников, на законном основании имеющих доступ к информации.

Разумеется, человеческий фактор играет свою роль и во многих других случаях, но он зачастую сводится к «недосмотрел, забыл», а не к прямому злому умыслу.  Соответственно, и расследование инцидентов в ИБ отличается от «средне-ИТшного» и ближе к правоохранительной практике, тем более что преступления в сфере информационной безопасности относятся к преступлениям прямого умысла.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо исправительными работами на срок до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Расследованием инцидентов в области ИБ чаще всего совместно занимаются специалисты как по информационной, так и по экономической безопасности. Процесс расследования состоит из нескольких этапов: сбор и анализ свидетельств, выявление виновных и установление меры их ответственности, установление причин, давших  возможность инциденту произойти  и  вынесение рекомендаций по принятию мер по предотвращению инцидентов.

Сбор свидетельств об инциденте в сфере ИБ - ключевая часть процесса расследования. Его успех в значительной степени зависит от качества собранных свидетельств, поэтому они должны отвечать ряду обязательных требований: относимость (свидетельство определенно  относится к инциденту), допустимость (получены легальным способом), достоверность (получены из доверенных источников и неизменны) и полнота (достаточность для объективного суждения об инциденте).

В начале расследования   трудно предсказать, будут ли свидетельства иметь судебные перспективы, поскольку все детали инцидента и его причины еще не известны, так что к перечисленным выше требованиям следует относиться со всей возможной серьезностью.

Также надо отметить, что доказательства не имеют заранее установленной силы, а доказательства, собранные с нарушением требований законодательства (в частности, главы 6 ГПК РФ), могут быть признаны недопустимыми. Необходимо помнить, что в случае производства по уголовному делу сбор доказательств может осуществляться только следователем или оперуполномоченным, поэтому нужно быть готовым к быстрому установлению контактов с правоохранительными органами.

При работе со свидетельствами важным моментом является фиксирование состояния на момент развития инцидента  (например,  побайтовое копирование пострадавшего диска или сохранение дампа памяти). Это обеспечит сохранность свидетельств и их защиту от модификации. Здесь особенно важна отлаженная система взаимодействия между ИТ-подразделениями и службой безопасности, поскольку работы ИТ, направленные на устранение аварии, могут привести к уничтожению свидетельств.

Служба безопасности производственного холдинга обнаружила на компьютере сотрудника, имеющего доступ к корпоративным БД, конфиденциальную информацию об акционерах. Сотрудник немедленно был уволен (к чести безопасников – по собственному желанию), но через несколько часов после его увольнения с его компьютера отработал скрипт, уничтоживший часть информации. Все компьютеры отдела были незамедлительно отключены от корпоративной сети, и вызванные СБ сотрудники милиции приступили к допросам свидетелей и анализу происшествия.

В итоге выяснилось, что имела место случайность: отработал рабочий скрипт, который уволенный сотрудник писал непосредственно перед увольнением. Данные удалость восстановить, злого умысла обнаружено не было, но работа одного из ключевых ИТ-подразделений была парализована на два дня.

По итогам инцидента была модифицирована процедура блокировки учетных записей сотрудников после увольнения, и больше подобных инцидентов не было.

Лучшими свидетельствами являются данные "первой инстанции", созданные автоматически. Например, журнал аудита системы контроля доступа, логи информационных систем и т.п. Задача сотрудника, производящего расследование,  в данном случае сводится к фиксированию состояния системы с последующим извлечением и сохранением свидетельств. Первоочередное внимание нужно уделять тем свидетельствам, которые имеют прямое отношение к инциденту.

Отдельным видом свидетельств являются письменные объяснения лиц, имеющих отношение к инциденту, а также мнения привлеченных специалистов и экспертов.  Все они должны быть соответствующим образом оформлены и приобщены к материалам расследования.

Когда свидетельства собраны и проанализированы, надо установить причины возникновения инцидента для принятия превентивных мер и попытаться найти лиц, виновных в возникновении инцидента. Превентивные меры могут быть как организационного плана (разработка регламентов, дополнительное обучение и инструктаж сотрудников), так и технического (модернизация системы защиты информации, контроля доступа и т.п).

В 2006г. с карты оплаты доступа, купленной физическим лицом, исчезли 20 долларов. Он обратился к провайдеру, и проведенное  расследование установило факт несанкционированного доступа и кражи денег. Было возбуждено уголовное дело по ст. 272 УК РФ, и в течение нескольких дней был обнаружен студент одного из московских юридических вузов, подобравший пароль. В итоге, он получил полгода условно.

Понятно, что дальнейшая судейская карьера для молодого человека была закрыта навсегда.

Работа по выявлению  виновников зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности, в том числе обращаться в суд в роли истца — в целях компенсации нанесенного материального ущерба.

На практике, наказание нарушителей ИБ через суд в нашей стране происходит чрезвычайно редко. Уж слишком сложна процедура сбора доказательств и несовершенна методика установления ущерба от их действий.

«При приеме на работу почти все сотрудники подписывают бумаги о неразглашении коммерческой тайны, но, насколько я знаю, судебной практики привлечения к ответственности за нарушения таких обязательств в России не существует. Обычно компании решают  проблему собственными силами, - рассказывает Дмитрий Соболев, директор департамента информационной безопасности «Энвижн Груп». - Дело в том, что сам процесс защиты  коммерческой тайны  достаточно сложен и, по закону, требует проведения  как минимум 4-х мероприятий, организация каждого из которых может быть оспорена. Кроме того, не существует методики установления ущерба от нарушения конфиденциальности, доступности, целостности информации».