Суперпользователь корпоративных ИТ-ресурсов, кто он? Эксперты, к которым еженедельник PC Week/RE обратился с этим вопросом, относят к данной категории сотрудников и партнеров компаний, имеющих высокие права доступа к информационным и технологическим ресурсам, прежде всего критически важным для предприятия. Это — администраторы базовых и прикладных информационных систем (в первую очередь ИТ- и ИБ-специалисты), руководители высшего звена, некоторые партнеры, внешние аудиторы и консультанты. Привилегии в доступе полагаются им по роду выполняемой работы: мы исключаем при этом ошибки в организации управления правами доступа.
Управляющий партнер консалтингового агентства “Емельянников, Попова и партнеры” Михаил Емельянников обращает внимание на то, что с активным внедрением виртуализации администраторы виртуальной инфраструктуры как суперпользователи среди прочих системных администраторов стали выделяться особо как имеющие возможность выполнять любые действия именно в виртуальной среде.
Лояльность суперпользователей
Лояльность суперпользователей, как считают наши эксперты, зависит от многих факторов, начиная от уровня общекорпоративной культуры, достигнутого в организации, и заканчивая личностными характеристиками каждого отдельного сотрудника этой категории и его отношениями с коллегами.
Суперпользователи-технари. Единого мнения в оценке лояльности этой категории суперпользователей у наших экспертов нет. Так, большая их часть считает нынешний уровень лояльности сисадминов низким, хотя и более высоким, чем в среднем уровень персонала предприятия, который эксперты оценивают как крайне низкий. В отношении системных администраторов, как отмечает заместитель директора Центра информационной безопасности компании “Инфосистемы Джет” Евгений Акимов, ситуация усугубляется еще и тем, что порой они ради собственного удобства идут на нарушение политик безопасности, ослабляя защиту (например, настраивают возможность удалённого управления информационными системами, хотя это запрещено корпоративными правилами).
Залогом высокой лояльности внутренних суперпользователей могут служить их “хорошие отношения” с администрацией компании, представления о которых, увы, у каждой из сторон отношений могут сильно различаться. “Месть уволенного администратора стала притчей во языцех, а кража, “слив”, неправомерное использование сведений ограниченного доступа, незаконные действия в отношении корпоративной информации являются главной проблемой служб безопасности компаний, реально, а не на бумаге озабоченных охраной интеллектуальной собственности”, — говорит Михаил Емельянников.
Характеризуя лояльность суперпользователей из разряда техперсонала, главный аналитик компании InfoWatch Николай Федотов обращает внимание на особенности их карьерного развития по вертикали: “Должностной рост технаря в компании ограничен вторым или третьим уровнем снизу корпоративной иерархии — выше уже размещаются чистые управленцы. Если с одним из них у специалиста не сложатся отношения, то с его стороны возможны проявления нелояльности — увольнение, вредительство, саботаж. С одной стороны, технического специалиста невозможно двигать наверх, на административную должность — он там просто не приживётся и не примет правил игры. С другой, технические привилегии доступа нельзя отдать чиновнику-управленцу, поскольку тот и близко не имеет нужных знаний. Высокие технические возможности и низкое должностное положение образуют противоречие, из которого не рождается ничего прогрессивного, а только фрустрация”.
Со своей стороны генеральный директор компании Zecurion Алексей Раевский отмечает, что высококвалифицированные инженеры, так называемые “белые воротнички”, традиционно имеют устойчивые моральные принципы и дорожат своей репутацией.
Суперпользователи-управленцы. Лояльность к своим компаниям со стороны топ-менеджеров, т. е. суперпользователей, относящихся к управленцам, а не к техническим специалистам, наши эксперты считают высокой. Хотя в отношениях с компанией у них есть и своя специфика, которую г-н Федотов характеризует так: “Суперпользователи с административными привилегиями больше лояльны к своим персональным начальникам, нежели к компании, иными словами, они воруют [у компании], но делятся [с более высоким начальством]”.
Еженедельник PC Week/RE провёл опрос читателей на тему “Корпоративная ИБ и высшее корпоративное руководство”. Среди тех, кто принял в нём участие, 58% представляют средний бизнес (25—500 компьютеров в компании); 31% — крупный бизнес (более 500 ПК); 11% — малый бизнес (до 25 ПК). Данные опроса позволяют сделать следующие выводы относительно лояльности высшего руководства как суперпользователей к своим компаниям.
Примерно 4% респондентов отметили, что за последние два года в их компаниях был зарегистрирован ИБ-инцидент, в котором виновником выступало лицо, относящееся к высшему руководству; 88% опрошенных таких инцидентов в своих структурах не отметили; остальные 8% затруднились что-либо сказать по этому поводу. В то же время 15% участников опроса считают вероятность таких ИБ-инцидентов у себя высокой, 35% — средней и 50% — низкой.
Из числа опрошенных 31% считают, что ущерб от таких инцидентов выше, чем от других ИБ-инцидентов; 35%, что он сопоставим с ущербом от остальных ИБ-инцидентов; 12% полагают, что он ниже, чем от остальных инцидентов, связанных с нарушением ИБ; 22% затруднились привести такие оценки.
Контроль суперпользователей
Отношения с внешними суперпользователями — партнерами, аудиторами, консультантами и др. — регламентируются договорами о неразглашении информации, получаемой в ходе ведения совместного бизнеса, проверок, консультаций. Следует иметь в виду, что избыточное ограничение доступа к корпоративным секретам этой категории аутсорсеров снижает качество их работы. Надо учесть, что для этих специалистов важным фактором, повышающим их лояльность к клиенту, является также цеховая этика и личная репутация.
Правила ИБ для постоянного персонала (в том числе суперпользователей) определяются в корпоративных политиках ИБ, типизируются в должностных инструкциях на основании прописанных ролей доступа и индивидуализируются для каждого сотрудника в договорах о найме. Эти правила тоже не должны функционально ограничивать полномочия сотрудников в отношении выполнения ими должностных обязанностей.
Дело остается за “малым”: наладить контроль выполнения договоров с внешними специалистами-аутсорсерами и постоянными “внутренними” сотрудниками.
В общем случае, как отмечает генеральный директор компании “ДиалогНаука” Виктор Сердюк, концепция защиты от суперпользователей заключается в проведении периодического аудита и постоянном контроле тех действий, которые выполняются данной категорией сотрудников. Это позволяет своевременно выявлять умышленные или непреднамеренные нарушения политики ИБ со стороны суперпользователей и адекватно реагировать на них.
Необходимость применения тех или иных мер защиты по отношению к суперпользователям, по словам г-на Сердюка, должна определяться на базе корпоративной модели угроз информационной безопасности. Модель, в частности, должна определять возможные источники угроз ИБ, к которым могут быть отнесены и суперпользователи, а также способы реализации этих угроз. И уже исходя из модели угроз выбирается тот или иной набор средств защиты информации. И вот тут, отмечает г-н Раевский, многое зависит от того, сколько готово платить предприятие за такой аудит и контроль и в какой степени оно может мириться с их применением.
Опыт проектов, выполняемых агентством “Емельянников, Попова и партнеры”, особенно связанных с коммерческой тайной, персональными данными и иными сведениями ограниченного доступа, свидетельствует о том, что к этому готовы далеко не все. Уровень безопасности в российских компаниях, как отмечает г-н Емельянников, различается существенно. “Где-то для пользователей создана фактически замкнутая программная среда, и все за исключением специалистов из ИТ-подразделения и некоторых из службы ИБ лишены администраторских прав, в том числе и на своих рабочих станциях. А где-то вообще нет разграничения доступа к ресурсам, и каждый имеет возможность распоряжаться ими по своему усмотрению начиная с установки и использования на рабочем месте любых программ, не имеющих отношения к работе”, — говорит он.
Виктор Сердюк полагает, что многие из представленных на рынке средств защиты информации могут быть использованы в том числе и для защиты от суперпользователей. Это хорошо известные российским корпоративным сотрудникам межсетевые экраны, DLP-системы, средства мониторинга событий в области ИБ, средства контроля удаленного доступа к ИТ-системам, инструменты криптографической защиты баз данных и т. д.
В зависимости от ценности обрабатываемой информации и требований к функционированию информационных систем (иными словами, в зависимости от модели угроз и нарушителей) компании могут понадобиться дополнительные средства для аудита действий суперпользователей, разграничения прав доступа и ограничения действий с определенного рода данными.
Эффективными для этих целей г-н Акимов считает средства контроля действий системных администраторов (желательно с автоматизированным анализом результатов для оперативного вмешательства, если в их действиях обнаружится что-либо запрещенное) и предоставления высоких полномочий доступа только по требованию под конкретную задачу и на ограниченное время (концепция Privileged IdM). По его словам, российские компании активно изучают подобные решения и уже есть положительный опыт их внедрения.
Руководитель отдела аудита и консалтинга компании Group-IB Андрей Комаров отмечает, что на рынке существует много решений, направленных на мониторинг активностей суперпользователей. Они различаются по функциональным возможностям, но в целом сосредоточены на ограничении и отслеживании их действий. В основной функционал большинства из них включаются централизованный сбор событий ИБ и журналирование данных, получаемых от сетевых экранов, систем IDS/IPS, сетевого оборудования, рабочих и серверных станций и др.
Наиболее действенными мерами защиты от суперпользователей г-н Федотов признает технические средства для разделения полномочий доступа, которые он рекомендует непременно сочетать с организационно-юридическими средствами — иначе, по его мнению, они не будут работать. При этом он отмечает, что несмотря на их давнее присутствие на рынке компании внедряют такие средства неохотно и медленно.
Михаил Емельянников объясняет эту нерасположенность к подобным специализированным средствам и мерам защиты от неправомерных действий суперпользователей тем, что они сложны, дороги, их внедрение чаще в всего требует привлечения внешнего исполнителя, а применение ограничивает возможности и усложняет работу суперпользователей. Именно поэтому их приобретение часто саботируется ИТ-специалистами и встречает сопротивление со стороны некоторых топ-менеджеров.
По оценкам г-на Раевского решения с разделением полномочий доступа, когда для выполнения какого-либо критичного действия требуется ввод не одного, а двух (и более) паролей двух (и более) разных администраторов, ориентированы не на бизнес, а на защиту государственных и военных секретов. Их эффективность он оценивает как довольно высокую, однако отмечает, что они создают очень много проблем при эксплуатации. Как правило, бизнес-пользователи не готовы мириться с такими проблемами. Как результат, коммерческие организации предпочитают решать задачи контроля суперпользователей организационными мерами — документированием всех изменений конфигурации, регулярным аудитом и т. д.
Опрос читателей PC Week/RE “Корпоративная ИБ и высшее корпоративное руководство” показал, что по мнению 54% респондентов в компаниях используются специальные технические и/или организационные средства и меры противодействия ИБ-инцидентам, виновником которых может быть лицо, относящееся к высшему руководству компании; в 35% компаний такие средства и меры не применяются (11% участников опроса затруднились дать определенный ответ).
Одновременно 38% опрошенных оценивают эффективность таких мер как недостаточную для того, чтобы компенсировать причиняемый ущерб; 31% респондентов, напротив, рассматривают их как вполне эффективные; остальные 31% участников затруднились дать оценку.
Законы и суперпользователи
Руководитель отдела информационной безопасности компании “Навигационно-информационные системы” Александр Токаренко подчеркивает, что задачу лояльного отношения суперпользователей к компаниям невозможно решить одними лишь техническими средствами — компаниям необходима программа индивидуализированной мотивации и повышения лояльности доверенного персонала. Однако в реализации таких программ он усматривает возможность конфликта с Трудовым кодексом РФ и законом “О персональных данных”, что связано с соблюдением тайны личной жизни сотрудников, ограничение которой в нашей стране предусмотрено исключительно для секретоносителей государственной тайны. Для остальных же категорий секретоносителей ограничений прав на тайну личной жизни не предусмотрено. Иными словами, г-н Токаренко видит явные препятствия со стороны действующих в стране законов для принятия внутри компаний мер, предупреждающих злонамеренные действия суперпользователей в отношении работодателей.
Что касается оценки эффективности нынешней российской законодательной базы с точки зрения адекватного наказания суперпользователей за злоупотребления должностным положением, то единого мнения у наших экспертов на этот счет нет.
Так, экспертный опыт г-на Акимова позволяет ему утверждать, что российские компании при ныне существующих законах могут решать и весьма эффективно решают задачу судебного преследования служебных злоупотреблений со стороны суперпользователей.
С выводами г-на Акимова солидарен Виктор Сердюк, полагающий, что сегодня нет необходимости вносить изменения в российскую правовую базу в области наказания суперпользователей, поскольку к ним могут быть применены те же законы, которые применяются и для других категорий сотрудников, совершивших правонарушения (из чего можно предположить, что г-н Сердюк удовлетворен ныне действующей системой наказания всех категорий пользователей в случае правонарушений, связанных с доступом к корпоративным ИТ-ресурсам).
Со своей стороны г-н Раевский отмечает, что хотя законодательная база и предусматривает наказания (вплоть до уголовного) за злоупотребления со стороны суперпользователей, многое упирается в правоприменительную практику, которая, по его наблюдениям, многие законы оставляет просто неработающими.
Неутешительным выглядит и опыт г-на Токаренко: “На радость мошенникам всех категорий большинство коммерческих организаций у нас не имеет права даже обрабатывать сведения о судимости. Все проверки персонала и контрагентов корпоративными службами безопасности в подавляющем большинстве превращаются в борьбу с правонарушениями путем правонарушений же — со всеми соответствующими рисками”.
Как полагает г-н Емельянников, существующих в нашей стране законов для привлечения к ответственности суперпользователей за злоупотребления должностным положением вполне достаточно. Проблема же, по его мнению, заключается в том, что наказать на основании этих законов возможно только за неправомерные действия с информацией, доступ к которой законодательно ограничен . Но вот вопрос о том, можно ли отнести к такой информации логины и пароли пользователей, сведения о топологии сети или используемых средствах обработки данных, на его взгляд, остается сложным, давно обсуждаемым и однозначного ответа до сих пор не имеющим. Поэтому в ряде случаев суперпользователям, совершившим неправомерные действия, удается уйти от ответственности. Для изменения этой ситуации, считает он, нужна радикальная переработка законодательства в части охраны конфиденциальности и ограничения доступа к обрабатываемым в компьютерных сетях сведениям.
Наиболее категорично в отношении эффективности существующей правовой системы в борьбе со злоупотреблениями со стороны суперпользвателей высказался г-н Федотов: “Когда законы в России начнут применяться и появится судебная ветвь власти, можно будет судить, эффективно ли наше законодательство. А пока законы лучше не трогать.”