Вирусные атаки и нападения хакеров все меньше обсуждаются на различных форумах по информационным технологиям. Нет, эти угрозы не исчезли, а наоборот – активно продолжают действовать, не оставляя ИТ-специалистов без работы. И хотя с внешними атаками хакеров давно научились весьма результативно справляться, антивирусы работают исправно, но один из важнейших ресурсов современного общества – информация – продолжает незаконным образом просачиваться в Интернет, попадать в руки конкурирующим фирмам, либо в виде баз данных бойко продаваться на рынках.
Скрытая угроза
В большинстве случаев во всем этом виноваты инсайдеры. Именно они, сотрудники той или иной компании, которые сознательно способствуют или осуществляет утечку определенной информации для своей выгоды и во вред компании, в которой работают, представляют главную угрозу безопасности всего предприятия.
Результаты опроса среди европейских ИТ-директоров, проведенного американской компанией Secure Computing, указали на довольно интересную вещь: 80% директоров полагают, что проблемы с инсайдерами являются самыми важными для них, и только 17% респондентов посчитали угрозу от хакеров приоритетной.
В России проблема недобросовестных работников пока не столь тревожит умы руководителей компаний. В результате ценные данные уходят конкурентам или просто в открытом доступе всплывают в Сети. Размеры потерь для бизнеса в таких ситуациях, безусловно, абсолютно разные, начиная с недостачи нескольких процентов месячной прибыли и вплоть до угрозы закрытия бизнеса.
Внимательность и подготовленность
Каналов пересылки данных для злоумышленников огромное множество. Это и электронная почта, и программы для мгновенного обмена сообщениями (ICQ, MSN Messenger, QIP, Jabber), и социальные сети, и голосовые или текстовые сообщения, отправленные через Skype. Зачастую недобросовестные сотрудники, пытаясь обмануть службу безопасности, передают информацию в графическом виде или, например, в зашифрованном архиве. Не стоит также забывать более простые, но не менее «эффективные» варианты: запись ценной информации на съемный носитель или обыкновенная распечатка базы данных на корпоративном принтере.
Каким же образом «бороться» со своими сотрудниками, требуя при этом от них же достижения поставленных рабочих целей? Оптимальным решением в данном случае видится разработка грамотных политик безопасности под каждую конкретную компанию. При этом реализация комплексной политики информационной безопасности невозможна при наличии хотя бы одного неконтролируемого службой безопасности канала потенциальных утечек.
В качестве профилактических мер, играя на опережение, служба информационной безопасности должна отслеживать настроения в коллективе. Мнения сотрудников о компании и руководстве часто отражаются в их общении в ICQ и Skype, на форумах, блогах, социальных сетях – все это крайне информативно для службы безопасности.
Необходимо, по «доброй» русской традиции, не только реагировать на последствия «чрезвычайных» ситуаций, но и, предугадывая возможные утечки ценной для компании информации, оказывать особое внимание некоторым сотрудникам.
В группу риска имеет смысл включать сотрудников, которые ранее были замечены в нарушении политики информационной безопасности, сотрудников, использующих различные трюки (переименованные файлы, запароленные архивы и т.д.), недовольных чем-либо сотрудников. Под больший контроль, безусловно, необходимо брать и тех работников, которые по каким-то причинам резко начали менее эффективно работать.
В профилактических целях полезно проводить ретроспективный мониторинг активности 1 - 2% персонала организации за прошедший месяц. В случае выявления каких-либо инцидентов, связанных с нарушением политики информационной безопасности организации, сотрудник должен быть добавлен в список активного мониторинга (в группу риска).
Если все же информация «ушла», для служебного расследования «безопасники» всегда имеют архив перехваченной информации, а также возможность получить срез по активностям сотрудника по всем каналам передачи информации с контролем содержимого рабочих станций и общедоступных сетевых ресурсов. В некоторых случаях именно подготовленность и быстрота реакции могут помочь минимизировать последствия утечки для бизнеса.
Особенности национального инсайдерства
Как и в других сферах, развитие технологий информационной безопасности, противостоящих инсайдерам, в России имеет свои особенности. «Отличия между западными и российскими инсайдерами обусловлены, в первую очередь, различиями в подходах к обеспечению информационной безопасности в компаниях, а также в менталитете работников», ― считает Сергей Ожегов, коммерческий директор компании SearchInform, ведущего российского разработчика средств информационной безопасности.
На Западе законы в целом работают лучше, чем в России, где чаще ищут, как их обойти, а не как соблюсти. Законодательство в сфере информационной безопасности в этом плане не является исключением. Как отметил С. Ожегов в интервью «МиБ», в России немалую роль играет «зарплатный фактор»: в западных странах работодатель «покупает» сотрудника большой заработной платой, за которую тот держится, и не ищет незаконных способов приработка.
«В целом же подход к обеспечению ИБ в западных странах кардинально отличается от российского, ― уверен эксперт. ― Там принято внедрить DLP-систему и рассказать об этом всем сотрудникам, чтобы отбить охоту заниматься чем-либо, кроме непосредственных служебных обязанностей на рабочем месте».
Сами же DLP-системы на Западе при этом ориентированы не столько на решение реальных задач, сколько на соответствие всевозможным законам и требованиям, то есть являются, по сути, страховкой от проверок организаций-регуляторов и контроллеров, которые ведут надзор в области защиты коммерческой тайны, персональных данных и других конфиденциальных сведений.
«В России же DLP-системы «ставят» для решения реальных задач, а не для «галочки». Большинство наших клиентов – коммерческие компании, которые покупают DLP-системы за немалые деньги, тщательно взвесив все «за» и «против», что говорит о высоком качестве нашего ПО. И защищаются они при этом не от проверок, а именно от инсайдеров», ― считает представитель SearchInform.
По его мнению, контроль должен быть максимально полным и комплексным, потому что без этого он попросту теряет смысл. «Представьте, что вы закрыли кошку в комнате, и кроме того, что закрыли дверь, повесили решетку на вентиляцию, и еще придвинули к двери шкаф, чтобы она не вышла, но при этом оставили открытой форточку. Вот именно так выглядит система безопасности, когда не контролируется хотя бы один из каналов передачи информации», ― подчеркнул С. Ожегов.
Автор - независимый эксперт
Журнал «Мир и безопасность», май-июнь 2011