За последние пару лет операторы «большой тройки» уже дважды крупно оскандалились на SMS-сообщениях. В первый раз «помог» Яндекс и в принципе утечку можно относить к разряду утечек «по неосторожности». Но на этот раз… Федеральная служба безопасности сообщила о том, что была обнаружена группа злоумышленников, получивших от сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных московских чиновников, после чего «Вымпелком» подтвердил факт утечки информации, а МТС, напротив, опроверг. Оставим поиск виновных на долю следствия и обратим внимание на материалы дела: неустановленные сотрудники технических центров мобильных операторов передавали конфиденциальную информацию третьим лицам. Говоря языком «безопасников», имело место действия инсайдеров.
Появлению подобных личностей послужило несколько причин. Во-первых, размеры компании. При федеральных масштабах деятельности «Билайна» не удивительно, что «левая рука не знает, что делает правая», или, говоря корпоративными терминами, обозначилась «проблема роста». Во-вторых, очевидна недоработка службы информационной безопасности, позволившей действовать злоумышленникам на протяжении почти трёх лет. И в-третьих, возможно была забыта прописная истина ИБ – сотрудник должен иметь доступ только к той информации, которая ему необходима для работы. Кроме того всегда в купе с этими причинами присутствуют несколько классических. Перефразируя известное выражение, инсайдерами не рождаются, инсайдерами становятся. Причиной к действию может стать конфликт с начальством или желание побыть «народным мстителем»; или «прощальный аккорд» перед увольнением. Но самая популярная, конечно же, деньги.
Но вернёмся к инсайдерам. В связи с особенностями работы SMS-серверов (тексты сообщений на них хранятся не более 3 дней), «кроты» должны были извлекать и переправлять интересующею их информацию с завидной регулярностью. Разберём вероятные сценарии.
Чтобы не привлекать внимание службы ИБ, необходимо варьировать каналы передачи информации. Почта, внешние носители, передача файлов через мессенджеры, FTP и т.д. Для дополнительной защиты тексты сообщений можно «заливать» на общедоступный файлообменный ресурс в запароленном архиве. Пароль же передаётся по другому каналу (звонок, смс, при личной встрече и т.д.). Для отведения подозрений файлы также можно переименовать и сменить расширение. Кроме того, «матёрый» инсайдер наверняка сперва «прощупает почву» на какой-нибудь некритичной информации. Пробный успешный «слив» даст основание полагать, что канал чист. Здесь же как нельзя лучше работает принцип «предупреждён, значит, вооружён». С помощью нескольких поисковых запросов можно выяснить, чем защищена компания. Ну а обойти защиту – дело техники. Ведь идеальных систем не бывает.
По статистике более 80% утечек происходит по вине сотрудников. Однако львиная доля приходится на утечки по неосторожности. Промышленный шпионаж, подкупы и инсайд больше присущи крупным корпорациям, чем большинству компаний. А значит, не стоит придумывать себе лишних проблем, стараясь предусмотреть все варианты. Помните, что стоимость замка, охраняющего склад, не должна превышать стоимость самого склада. В большинстве случаев к утечкам информации приводит банальное любопытство, когда у сотрудника есть доступ к конфиденциальным данным. Поэтому организовывать защиту информации в компании следует с азов, а именно, с грамотного разграничения прав доступа.
Этот простой и очевидный шаг поможет избежать большего числа неприятностей, чем вы думаете. Как сказал бы современный последователь товарища Сталина, «нет лишней информации – нет проблемы». Но сегодня реализовать даже это базовое требование порой проблематично. Всему виной издержки администрирования систем, состоящих из нескольких десятков приложений. Для новых сотрудников к каждому из них необходимо настроить доступ с соответствующими правами. С другой стороны, учётки увольняющихся должны быть своевременно остановлены и удалены. Простые действия, помноженные на количество приложений и сотрудников компании, становятся настоящей головной болью для ИТ-отдела. И это даже если не касаться самой проблемы «пользователи-пароли». Порой сложно объяснить, что «qwerty» и «12345» в мире парольной аутентификации подобны Иванову Ивану Ивановичу на образцах заявлений. Тоже самое и с записанными комбинациями, заботливо сложенными под клавиатурой или прикреплёнными к монитору на ярких стикерах.
Тем не менее, выход есть. Если пользователь не в состоянии запомнить десяток бессмысленных цифробуквенных комбинаций со спецсимволами (а большинство не в состоянии, чего скрывать), нужно подумать, как облегчить ему жизнь. Одним из вариантов является использование IAM-системы (Identity&Access Control Management). По сути она представляет собой некое единое хранилище информации о пользователях. Главная же цель заключается в том, чтобы во всех необходимых пользователю приложениях вовремя появлялись учетные записи, наделённые необходимыми правами. Таким образом, сотруднику понадобится помнить всего один стойкий «мастер-пароль». Всё остальное в идеале будет делать автоматика. На самом деле, позволить пользователю аутентифицироваться во всех приложениях при помощи одного набора учетных данных — задача далеко не такая простая, какой она, возможно, кажется на первый взгляд: прикладные системы поддерживают ограниченный и часто не пересекающийся набор способов аутентификации. Но совсем другая история.
Статья опубликована http://daily.sec.ru/publication.cfm?pid=36039