Ваше имя: e-mail для связи: Введите Anti-spam код Ваш комментарий: (сначала напишите ответ в файле на своём компьютере, потом скопируйте сюда) Есть вопрос к автору? Что можете добавить по теме?

Обзоры > Проблема инсайда

Эту и другие программы вы можете купить в eCo Shop

Проблема инсайда

• Автор: Сергей Баричев
• Опубликовано в журнале "CIO" N1-2 от 14 мая 2010 года

На фоне разговоров о влиянии кризиса на ИТ-составляющую организаций и предприятий особняком стоит вопрос информационной безопасности, особенно в части инсайда.

Что же такое инсайд? В широком смысле это внутренняя угроза информационной безопасности, приводящая к утечке конфиденциальной информации, то есть угроза (преднамеренная или нет), исходящая от сотрудников. Неважно, идет ли речь о потере ноутбука с закрытыми данными (только в аэропортах США ежегодно теряются 600 тыс. ноутбуков) или о целенаправленном копировании информации. В узком же смысле под инсайдом понимаются именно преднамеренные злоумышленные действия сотрудников (инсайдеров), направленные на кражу информации.

Проблема борьбы с инсайдом актуальна тогда, когда информация носит критически важный характер и ее утеря может привести к потере либо репутации, либо конкурентных преимуществ.

Основная сложность организации защиты от инсайдера заключается в том, что он — законный пользователь корпоративной системы и по долгу службы имеет доступ к конфиденциальной информации. То, как сотрудник распоряжается этим доступом — в рамках служебных полномочий или за их пределами, — отследить весьма сложно, а использование технических средств (разграничение доступа, шифрование) имеет ограниченную эффективность.

Интересны результаты исследования компании Perimetrix «Инсайдерские угрозы в России 2009». Более половины (55%) респондентов признали существование инцидентов, связанных с утечкой информации. Кроме того, в исследовании принимались во внимание и угрозы, которые не входят в «узкое» понимание инсайда. А тем временем с утечками практически сравнялись по значимости такие угрозы, как искажение корпоративной документации и финансовое мошенничество. Кроме того, 25% респондентов отметили случаи кражи оборудования, около 20% — саботаж и утрату информации, 12% — сбои работы в ИС.

Особенность инсайда состоит в том, что компании, страдающие от него, как правило, стараются не выносить сор из избы (и это не является российской спецификой). Другое дело, что в развитых странах очень трудно «замять» какие-то факты. Если речь идет о потере персональных данных граждан — это тут же становится достоянием прессы. Если инсайдер причинил ущерб самой компании, то за этим часто следует судебный иск, который, опять же, предается огласке.

Вот, например, случаи, которые российская Infowatch относит к наиболее крупным утечкам информации в 2009 году. Сотрудница AT&T, работавшая в компании по совместительству, была арестована по обвинению в краже персональной информации 2 100 своих коллег и в присвоении более 70 тысяч долларов, которые были взяты посредством краткосрочных кредитов, оформленных на имена 130 из пострадавших. Заметим важный момент: речь идет о частично занятом сотруднике. Известно, что особую опасность представляют как раз сотрудники, находящиеся на границе внутренней и внешней среды организации: это временные (стажеры, «полставочники»), увольняемые или уволенные сотрудники. С одной стороны, они имеют доступ к защищаемой информации, с другой — находятся вне зоны многих организационных механизмов защиты.

Вот еще пример: на клинику Kaiser Permanente в городе Беллфрауэр (Калифорния) был наложен штраф в размере $250 тыс. за несостоятельность в обеспечении безопасности доступа к конфиденциальным секретным данным пациентов. Второй штраф составил $187 тыс. по тому же нарушению. Имел место и случай с украденным ноутбуком, в котором хранилась база данных с информацией на 800 тысяч докторов. Это практически все врачи Соединенных Штатов. Подозреваемым в этом деле проходил якобы сотрудник чикагского офиса Blue Cross and Blue Shield Association, который скачал базу на свой домашний персональный компьютер.

О случаях утечек информации в России практически ничего не известно: достоянием общественности становятся только самые громкие истории, когда на пиратских развалах появляются диски с базами мобильных операторов, ГИБДД, Пенсионного фонда. Однако можно быть уверенным, что на каждый крупный случай утечки приходятся сотни и тысячи более мелких инцидентов, которые признаются только в анонимных опросах аналитических компаний.

Очевидно, что кризис на первом этапе способствовал повышению значимости угрозы инсайда. Если посмотреть именно на российский кризис, который все чаще выделяется как отдельное от мировой рецессии явление, то необходимо отметить ряд факторов.

1. Рост числа увольнений и, что может быть еще опаснее, угроз увольнения. Это снижает лояльность сотрудников, ухудшает психологический климат, провоцирует их на упреждающие действия (копирование корпоративной информации «про запас» или для повышения своей привлекательности в глазах нового работодателя). Не стоит сбрасывать со счетов и рост внутрикорпоративной борьбы, напряженности в отношениях между руководителями и подчиненными, а также «на горизонтальном уровне» между сотрудниками.

2. Кризис всегда сопровождается ростом активности криминальных структур, объектом интереса которых является корпоративная информация, в первую очередь персональные данные. Делается это либо с целью получения прямого дохода (например от продажи базы данных), либо для компрометации конкурирующей структуры.

3. Сокращаются затраты на развитие ИТ, приобретение нового ПО и оборудования. Одной из первых сокращаемых статей расходов (если она вообще есть) становится развитие информационной безопасности. Инвестиции в эту область — быстро окупаемые, поэтому в кризис не рассматриваются и тратятся по инцидентному принципу (то есть при возникновении ситуаций, приносящих прямой убыток).

4. Отсутствие в России юридической практики привлечения к ответственности виновных в инсайде. Меры корпоративной ответственности (выговор, штраф, увольнение) часто неэффективны, поскольку сотрудники и так находятся в постоянной моральной готовности к увольнению. То есть именно эта готовность и толкает их на инсайдерские действия. О случаях успешных судебных исков против сотрудников не известно, если речь не идет об очевидных преступлениях (мошенничество, компьютерные преступления, разглашение государственной тайны и т. д.) — по всей видимости, из-за невозможности для потерпевшей стороны доказать ущерб.

Можно ли в этих условиях противостоять инсайду? Все многообразие средств противодействия укладывается в относительно небольшой круг организационно-технических мер:

• поддержание сознательности и лояльности сотрудников, создание корпоративной культуры безопасности как совокупности правил, навыков и даже привычек;
• наличие реальной ответственности (корпоративной и гражданско-правовой), осознаваемой сотрудниками организации;
• использование технических средств противодействия (система разграничения доступа, шифрование информации, ограничение использования съемных носителей и интернет-коммуникаций, регистрация и мониторинг действий сотрудников).

Оценить эффективность организационных и технических мер противодействия инсайду можно, принимая во внимание, какие каналы утечки информации используются в российских условиях (данные Perimetrix, 2009): мобильные накопители (70%), электронная почта (52%), веб-сервисы (33%), печатающие устройства (23%), интернет-пейджеры (13%). Расклад, в общем-то, очевидный. Мобильные накопители привлекательны огромной вместительностью, а электронная почта и веб-сервисы — возможностью отправить информацию без отрыва от рабочего места.

Все эти каналы могут быть поставлены под жесткий контроль доступными на рынке средствами. Однако уровень противодействия инсайду во многих организациях близок к нулевому. Это означает, что даже небольшие усилия принесут быстрый и эффективный результат (в первую очередь имеем в виду меры чисто организационные или подкрепляемые техническими решениями).

Согласно тому же исследованию Perimetrix, наиболее популярными средствами борьбы с инсайдом являются контентная фильтрация (ее используют 80% опрошенных), пассивный мониторинг (77%), контроль над портами рабочих станций (75%), шифрование данных на ноутбуках (31%). Причем популярность всех методов, за исключением контентной фильтрации, выросла по сравнению с 2008 годом на 5–8%. Но эти показатели еще далеки от предельных: например, антивирусное ПО, межсетевые экраны и разграничение доступа применяют 100% опрошенных в исследовании.

Основание для определенного оптимизма в успешной борьбе с инсайдом дает деятельность крупных и средних компаний, которая была развернута в 2009 году в целях приведения системы работы с персональными данными к требованиям соответствующего закона (152-ФЗ от 27.07.06). Тем более что около 80% всех утечек, согласно отчету Perimetrix, приходится именно на персональные данные. Одним словом, влияние кризиса на проблему инсайда в целом будет положительным: по крайней мере, опасность этой угрозы будет приравнена к вирусам и интернет-атакам, с которыми сталкивался уже каждый и неоднократно.

Политика в ИБ

Валерий Ледовской, аналитик компании «Доктор Веб»

В современных условиях закрытая информация обычно хранится на рабочих компьютерах пользователей или файловых серверах предприятий. Исходя из этого, можно предположить набор возможных средств для получения приватных данных. В частности, это могут быть некоторые вредоносные программы, различные каналы дистанционного общения, а также межличностная коммуникация.

Вредоносное ПО, созданное для получения конфиденциальной информации, может внедряться и использоваться на самых разных уровнях: начиная с электронной почты и заканчивая сервисами мгновенного обмена сообщениями, а также социальными сетями. Часто сотрудники предприятий сами упрощают работу злоумышленникам, сохраняя большие архивы со служебной информацией непосредственно на своем рабочем компьютере. Предприятия часто не имеют политики в области информационной безопасности, не обучают сотрудников элементарным правилам ИБ, а также не заключают соглашения о неразглашении информации, составляющей коммерческую тайну. Сотрудники же часто даже не знают, какая информация является конфиденциальной.

В условиях экономического кризиса информация, которая сможет помочь получить конкурентное преимущество на каком-либо рынке, а подчас даже просто спасти бизнес конкурирующего предприятия, постоянно растет в цене, а сотрудники предприятий становятся более уязвимыми. В чем может проявляться подобная уязвимость? Учитывая российскую специфику, сотрудники предприятий, ощущая воздействие экономического кризиса на собственном кошельке, более охотно соглашаются восполнить данный недостаток дохода с помощью различных действий, в том числе незаконных.

Тем не менее способы воздействия на данную ситуацию имеются, и они прозрачно вытекают из вышеперечисленных методов, применяемых злоумышленниками, а также проблем безопасности ИТ на предприятиях. Во-первых, существенно помогает создание и внедрение на предприятии политики ИБ с учетом особенностей организации. Результатом этого должно быть заключение соглашения между сотрудниками и работодателем о неразглашении конфиденциальной информации.

Такая политика в ИБ должна предполагать также использование специализированных программных средств — корпоративное антивирусное решение, файрвол, средства шифрования, хранение информации, которая в данный момент не находится в работе, в специально защищенных хранилищах на файловых серверах. Эти простые действия оказываются весьма эффективными и на практике быстро окупают себя.

Развитие DLP-решений в России

Андрей Антонов, специалист по внедрению DLP-решений компании Softaks

Сейчас все виды внутренних угроз можно разделить на три составляющих: обычная неосмотрительность, непредумышленное и умышленное хищение. Причем около 70% всех утечек, совершаемых изнутри компании, происходит именно из-за невнимательности самих сотрудников при работе с конфиденциальной информацией. И это общемировая проблема. Все помнят, например, скандалы с потерей базы данных Пенсионного фонда Великобритании.

Однако отличие Запада от России состоит в том, что у нас еще не развита так называемая «культура конфиденциальности». В США, например, в каждой организации обязательно проводится инструктаж по безопасности, в котором сотрудникам обязательно разъясняют необходимость внимательного обращения с переносными устройствами, на которых хранится секретная информация. Именно поэтому потеря баз данных в Великобритании и США становится сенсацией, а у нас их легко можно купить с прилавков магазинов и через Интернет.

Но какими бы продуманными ни были инструктажи и тренинги, опасность утечки данных существует всегда. В этом случае и требуется использовать DLP-решения. Схем защиты бывает несколько: вся документация может храниться, например, на сервере, и при отключении от него доступ к ней просто пропадает. Не последнее место занимают токены, шифрующие все данные на компьютере.

Но наибольшую популярность в России завоевала возможность подробного мониторинга трафика. Обнаружить злоумышленника по изучению логов сотрудников или предотвратить хищение информации, своевременно закрыв к ней доступ, — одинаково важные задачи, решаемые с помощью DLP-систем. Во многом из-за этого спрос на них в России сильно вырос за последние годы. Кроме того, эти решения выполняют еще, как ни странно, психологическую функцию. Сотрудник, который знает о том, что его смогут поймать, с меньшей вероятностью будет рисковать своей работой и репутацией.

Однако не все так гладко на данный момент. Не вовремя подкрался кризис. И хотя существует мнение, что на информационной безопасности он сказался меньше, чем на других отраслях, тем не менее интерес именно к DLP-решениям временно снизился. Причина здесь одна — высокая стоимость внедрения. Многие компании просто не могут сейчас позволить себе подобную роскошь, даже если раньше были настроены положительно. Поэтому многие вендоры сейчас начали производить недорогие решения, предназначенные в первую очередь для малого и среднего бизнеса.

Что же в итоге? Несмотря ни на что, прогноз развития DLP-решений весьма радужный. Смею предположить, что лет через пять, когда кризис и его последствия благополучно исчезнут, Россия достигнет того уровня, когда защита от внутренних угроз станет массовым направлением для компаний любого уровня. Западные технологии в России в последние годы адаптируются вполне безболезненно и быстро, что не может не радовать.

Защита корпоративной информации от инсайда

Михаил Калиниченко, генеральный директор компании StarForce Technologies

Вопрос защиты корпоративной информации от инсайда можно разделить на две составляющие: контроль над использованием в компании стороннего ПО и защита электронной документации, вращающейся как внутри организации, так и за ее пределами. Если говорить о кризисе, то, на мой взгляд, по сравнению с более благополучными годами мало что изменилось. По-прежнему существует риск хищения информации и вынос ее за стены предприятия. Пожалуй, в кризис количество работников, недовольных своей судьбой, возросло, а значит, возросла и вероятность ответных действий со стороны недовольного сотрудника. Читая различные высказывания в отечественной блогосфере, я неоднократно натыкался на примеры мести со стороны работников, которых сократили или которым попросту снизили зарплату.

Если говорить о контроле над использованием ПО, то представляется очень важным строго разграничить доступ сотрудников к определенным ресурсам предприятия. Условно говоря, сотрудники отдела технической поддержки не должны иметь доступ к финансовым документам, а сотрудники бухгалтерии — к информации, описывающей инновационные разработки компании. Кроме того, нужно контролировать количество и качество ПО, устанавливаемого на компьютерах работников. В этой связи необходимо предпринимать меры по ограничению прав пользователей на своих машинах.

Кроме того, важно ограничить использование внутрикорпоративного ПО таким образом, чтобы не все пользователи могли свободно запускать ту или иную программу, позволяющую им, например, получить доступ к базе данных сотрудников или клиентов предприятия. Существующие на рынке решения позволяют ограничивать не только количество одновременно запущенных копий программы в корпоративной сети, но и время их работы, их функционал. Ограничение вывода на печать, ограничение доступа к USB-шине или оптическим дисководам, установленным на компьютере, позволят не лишать работника таких важных компонентов современного компьютера, как USB-устройства или приводы компакт-дисков. В то же время надлежащая защита внутрикорпоративного ПО не позволит воспользоваться этими устройствами, когда это может вызвать пагубные последствия.

В этом случае работник не сможет переписать важные данные на флешку или на диск и вынести с предприятия, не сможет скопировать их и отправить по электронной почте или просто распечатать на принтере.

Что касается защиты электронной документации, то это, пожалуй, самый главный аспект. Потому что в рамках предприятия всегда существуют лица, которые обладают достаточно высоким уровнем доступа, чтобы свободно вносить и выносить с предприятия носители с информацией. Попадание последних к злоумышленникам может повлечь очень серьезные потери для компании. А если ваш бизнес связан с производством интеллектуальной собственности и зависит от продаваемых тиражей, степень угрозы возрастает в геометрической прогрессии.

К таким конфиденциальным данным относятся и прайс-листы, информация о сроках разработки и запуска продуктов, о маркетинговых кампаниях и результатах продаж и многое другое. Следовательно, все эти данные нуждаются в защите. В основном такая информация хранится в виде электронных документов в корпоративной сети.

Когда документы отправляются за пределы компании, хочется быть уверенными в том, что они не уйдут «в третьи руки». Поэтому необходимо защищать каждый конкретный документ, содержащий в себе конфиденциальную информацию. В большинстве случаев это возможно, если документ уже сформирован и не должен подвергаться изменениям.

Происходит это следующим образом: после защиты документы становятся неотделимы от программ их просмотра, которые, в свою очередь, привязываются к компьютеру. Тогда документ можно открыть только на определенном компьютере (где установлена эта программа), имея при этом активационный ключ. То есть человек, отвечающий за безопасность данных в документе, защищает документ с помощью веб-сервиса, высылает его адресату вместе с программой просмотра и сообщает получателю серийный номер, с помощью которого тот сможет провести активацию документа. После этого документ можно будет просмотреть только на этом компьютере — и ни на каком другом.

При защите корпоративного информационного пространства необходимо использовать целый комплекс мер, в том числе антивирусные продукты, решения на базе поведенческого анализа, контроль доступа и использования программного обеспечения, защиту электронных документов и многое другое. На обеспечение сохранности информации должны быть нацелены усилия всех подразделений компании, будь то отдел ИТ-безопасности или отделы маркетинга и HR.

Влияние кризиса на уровень ИБ

Леонид Корох, CIO компании Aladdin

Насколько можно судить по сравнению с другими секторами рынка ИТ, последствия кризиса для сегмента информационной безопасности оказались не столь драматичны. Однако утверждать, что экономический спад способствовал росту инсайдерства в геометрической прогрессии, а значит и многократному росту закупок средств защиты от него, вряд ли корректно. Да, безусловно, в период экономического спада активизируется мошенничество во всех видах, будь то рост спам-предложений по заработку лёгких денег, всплеск краж банковских реквизитов пользователей или прогрессирующая статистика взломов эккаунтов в системах Интернет-банкинга.

Но, по сути, степень защиты бизнеса от угроз ИБ зависит от зрелости компании в плане понимания важности вопросов информационной безопасности и их влияния на бизнес-процессы. Для зрелого бизнеса обеспечение конфиденциальности данных, категорирование информации и строгое разграничение доступа к ней, в соответствии с функциональными обязанностями сотрудников, было и остаётся приоритетным. И здесь нет зависимости от кризисных явлений. Компании, стоящие на ступень ниже по шкале зрелости, следовали и следуют прецедентному сценарию реагирования на угрозы ИБ. То есть, в случае утечки данных по причине злонамеренных или случайных действий сотрудников, выделяются средства на технологии защиты. А на «нет» — и бюджета нет.

В общем случае, независимо от того как та или иная компания пришла к необходимости обеспечения защиты от инсайдера, необходимо помнить, что основу для борьбы с инсайдерами составляет сбалансированный комплекс организационных мер и технических средств защиты. Кратко перечислим основные составляющие подобной комплексной системы:

• нормативно-правовая база (международные, отечественные и отраслевые стандарты, законы, подзаконные акты, нормативно-распорядительные документы ФСБ, ФСТЭК, отрасли и предприятия);
• система контроля и управления персонализированным доступом к корпоративным ресурсам предприятия (в идеале — интеграция системы контроля и управления физическим доступом в различные помещения предприятия с системой строгой аутентификации при доступе к ИС);
• внешний и внутренний аудит ИБ предприятия;
• комплекс средств защиты от НСД и средств, позволяющих осуществлять управление политикой безопасности на рабочих станциях;
• мониторинг действий пользователей и проведение разбора инцидентов;
• применение технических средств, осуществляющих контроль и очистку сетевого трафика;
• кадровое обеспечение (наличие штатных специалистов, обеспечивающих защиту организации от внутренних угроз).

Как видно из перечисленного, обычная комплексная система ИБ предприятия отличается от системы защиты, снижающей риски от действий инсайдеров, в основном тем, что в нее добавляются мероприятия, направленные на усиление контроля действий пользователей.

Таким образом, снижение мотивации сотрудника к нарушениям, благодаря организационным мерам, и сведение к минимуму самой возможности превышения прав доступа — есть два слагаемых успеха в борьбе против инсайдера. К этому можно добавить только необходимость поддержки этих мер на уровне топ-менеджмента компании и наличие инвестиций на построение эффективной комплексной системы защиты.

Инсайдерство в России

Владимир Гайкович, генеральный директор Группы компаний «Информзащита»

Вопреки мнению об увеличении случаев инсайдерства в связи с кризисом, я не думаю, что связанный с внутренними угрозами потенциальный ущерб увеличится. Основных причин у инсайдеров несколько.

Корысть. В эпоху кризиса желание нажиться, безусловно, возрастает. Однако для того чтобы конвертировать умысел в деньги, необходим тот, кто эту информацию купит, — и при этом без афиширования. Это далеко не всегда возможно.

Месть. В кризис обиженных людей становится больше, потому как не всегда окружающие ведут себя корректно, а христианская мораль не разделяется большим количеством людей, работающих в бизнесе. Месть по своей природе импульсивна, поэтому действия людей гораздо менее продуманы, чем в случае корысти, и поэтому легче пресекаемы.

Самоутверждение. В этом случае люди используют информацию компании для собирания «досье на будущее» и повышения своей значимости в собственных глазах. В дальнейшем это может привести к некоторым финансовым выгодам, а может и не привести.

Есть факторы за увеличение случаев инсайда, и есть достаточно веские факторы против. Пока в публичном информационном пространстве не обсуждается никаких громких событий: вероятно, две указанные группы факторов уравновешивают друг друга.

Уверен, российская специфика в инсайде, безусловно, есть. В первую очередь, она носит ярко выраженный криминальный оттенок. Вторая «отечественная черта» — разрешение конфликтов «по понятиям». То есть жертвы данных преступлений предпочитают не обращаться в правоохранительные органы и решают такие конфликты зачастую силовым способом.

А вот вопрос о средствах защиты довольно проблематичен. Проблема утечки информации такая же древняя, как и само наличие информации. Пока есть важные сведения и люди, которые с ними ознакомлены, до тех пор и будет существовать проблема разглашения этих важных сведений. Для того чтобы этот риск минимизировать, нужен целый комплекс мер, направленный на ограничение доступа сотрудников к важной информации.

Источник: http://offline.cio-world.ru/2010/91/531298/

Комментарии

 

Купить эту программу через eCo Shop