В центре обсуждения на WikiLeaks сегодня рядовой 1-го класса армии США Брэдли Мэннинг, человек, которого подозревали в передаче этому обличительному веб-ресурсу объемной коллекции переписки посольства США.
На протяжении нескольких последних месяцев Мэннинг пребывал в военной тюрьме из-за висящего над ним обвинения в переносе на свой персональный компьютер не подлежащей огласке информации и передаче ее третьей, несанкционированной, стороне. И вскрылось это не благодаря программе мониторинга, а с помощью информатора, бывшего хакера Адриана Ламо, которому Мэннинг похвастался в ходе переписки через систему мгновенного обмена сообщениями.
Эта ситуация акцентирует внимание на проблемах контроля доступа и злонамеренного инсайда. Она побудила Административно-бюджетное управление при президенте США (OMB) издать меморандум для руководства министерств и ведомств страны, требующий от них пересмотреть конфигурации правительственных информационных систем, работающих с секретной информацией, в целях обеспечения гарантии того, что пользователи этих систем не получают доступа более широкого, чем этого требуется для эффективного выполнения служебных обязанностей, а также для того, чтобы ввести ограничения на использование съемных носителей в правительственных компьютерных сетях, в которых обрабатывается секретная информация.
Как следует из опубликованных журналом Wired логов чата Ламо и Мэннинга, последний писал, что пришел на службу с CD-диском с надписью вроде “Lady Gaga”, удалил музыку с диска, а затем записал на него разделенный на части сжатый файл.
Появление меморандума OMB — это уже не первый случай, когда правительственные чиновники обращают серьезное внимание на порядок использования съемных носителей данных. Так, военные, отвечая на атаки зловредов в 2008 году, временно запретили у себя использование USB-устройств. Однако, как заявляет технический директор компании TriGeo Network Security Майкл Малоф, запрет на использование съемных носителей и мобильных устройств остановит не всякого, если только к этому не принуждают принятые в организации политики безопасности. “Мониторинг и блокирование утечек в режиме реального времени не только возможны — они просто необходимы. Это единственный путь обеспечить себе уверенность в том, что важные данные никогда не будут перенесены на неавторизованные устройства”, — сказал он.
Как напоминает специалист по маркетингу компании Ipswitch File Transfer Хаг Гарбер, персональные мобильные устройства — удобный инструмент для организации атак, так как их очень просто спрятать в сумке или пакете. По его мнению, применение этих устройств связано с повышенным риском. Их легко потерять, их могут украсть. Даже использование персональной (не корпоративной) электронной почты может увеличить ИБ-риски, а также риски, связанные с выполнением требований регуляторов. Портативные персональные устройства снижают видимость (возможность контроля) и корректность следования требованиям регулирования, поскольку они не всегда интегрируются в системы контроля пересылки данных и составления отчетов об этих процессах.
Контроль утечек данных подразумевает также и управление доступом. “Примите это как должное — компания обязана задаться вопросом, что конкретно нужно конкретному сотруднику, для того, чтобы выполнять порученную ему работу. И уже после этого, чтобы быть уверенными в том, что сотрудники получают только то, что им необходимо, внедрите инструменты управления правами доступа, чтобы твердо держаться корпоративных политик. Идентификация тоже является ключом к тому, чтобы персонал выполнял свою работу должным образом”, — так говорит директор по решениям и по маркетингу продуктов для конечных пользователей компании Novell Грант Хо.
Компания Verizon в своем последнем отчете о выполнении законодательных требований сообщила, что в 2009 году примерно в 48% связанных с этим нарушений были вовлечены инсайдеры, злоупотребившие своими правами доступа к корпоративной информации. Невзирая на состояние соответствующих технологий в организациях идентификация сотрудников, которые могут украсть конфиденциальные данные или допустить их утечку, далека от идеального состояния.
Как говорит Грант Хо, это одна из самых больших проблем. Злонамеренный инсайд не является типичным, общим явлением. Порой люди получают доступ к информации, которая должна быть для них закрыта, даже не понимая этого.
Компаниям следует быть более осторожными при увольнении сотрудников (принудительном или произошедшем по собственному желанию). Обиженный сотрудник будет искать способ получить доступ к корпоративным данным, и нужно учитывать, что зарегистрировать это чрезвычайно непросто.
Как считает директор компании VaporStream Джек Хембург, между лояльным и злонамеренным инсайдерами лежит тонкая грань. Так, права системного администратора открывают очень большие возможности, и вот кто-то в системе захотел ими воспользоваться. Джек Хембург советует в таких случаях вместо того, чтобы попытаться идентифицировать, кто это может быть, просто отказать ему в доступе. Он думает, что продуктивнее помочь честному человеку остаться честным (отказав ему в доступе в роли сисадмина), чем контролировать то, что может наделать такой “системный администратор”.
