БЕЗОПАСНОСТЬ
Так уж исторически сложилось, что большинство средств защиты информации направлено на защиту от внешних угроз. Организация защищенного периметра вызывает иллюзию полной безопасности, и все силы в первую очередь бросаются на поддержание актуального состояния защищенности именно этих рубежей.
В то же время большие объемы информации часто неудобно и рискованно передавать по сети: это может занимать много времени, отсюда весьма высок риск, что затянувшимся сеансом воспользуются злоумышленники. И внимание охотников за чужими секретами обратилось в сторону нелояльных внутренних сотрудников, которые есть в любой организации. Гораздо легче и проще путем подкупа, шантажа или с помощью других средств воздействия вынудить инсайдера воспользоваться своим служебным положением и украсть информацию. Поэтому сегодня ситуация такова, что компании зачастую оказываются не готовы противостоять утечке ценных данных по этому каналу.
Говоря об организации защиты от утечки данных, стоит обратить внимание на тот факт, что даже если в компании имеются средства разграничения доступа к корпоративной сети и аудит доступа сотрудников к особо ценным информационным ресурсам (например, базам данных), даже если используются средства защиты от копирования, то такие каналы передачи информации, как интернет-пейджеры, файлообменные сети и т. д., обычно никак не контролируются. Некоторые компании запрещают применять у себя эти средства, но многие считают это нецелесообразным с точки зрения бизнеса (так, сотрудникам отдела продаж удобно общаться с клиентами через всем известную ICQ и т. п.).
Наиболее распространенные типы компьютерных атак и злоупотреблений
Статистика инсайдерских инцидентов разного вида за последние
12 месяцев (в % от общего числа компаний, участвовавших в опросе)
Статистика применения мер по защите от утечек информации через инсайдеров в банковском секторе
Немного цифр
Исследование Deloitte ("2006 Global Security Survey") наглядно показало, что утечки изнутри оказывают наибольшее отрицательное влияние на имидж и репутацию организации. В опросе, проведенном среди ведущих финансовых компаний, 49% респондентов зафиксировали за прошедшие двенадцать месяцев внутренние инциденты. Причем в 31% случаев речь шла о вирусах, которые сотрудники занесли в корпоративную сеть извне, а остальные 28% представляли собой мошенничество инсайдеров. Из общего количества участвовавших в опросе организаций 18% стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть.
В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки на уровне 1 млн. долл., а у 2% респондентов ущерб превысил 5 млн. Следует отметить, что 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Это подтверждает возросшую обеспокоенность банков и страховых компаний вопросом утечки важной информации.
Законодательство
Если на Западе уже давно сформировано законодательство в сфере безопасности обрабатываемых данных о клиентах (личных, финансовых и др.) и существуют прецеденты по привлечению к ответственности компаний, не сумевших обеспечить надлежащий уровень защиты и допустивших утечку (например, Choice Point, Teledata Communications и др.), то в России нечто подобное до недавнего времени казалось очень далекой перспективой, о которой предпочитали "думать завтра". Но вот 28 июля 2006 г. наш президент подписал федеральный закон "О персональных данных".
Основным предназначением этого документа является защита прав граждан на неприкосновенность частной жизни при сборе и обработке приватной информации, а также обеспечение правовых гарантий защиты конституционных прав людей при обработке их персональных данных.
Закон вступит в силу в 2007 г. и потребует от коммерческих и государственных структур дополнительных вложений в обеспечение безопасности обрабатываемых персональных данных. Под персональными данными подразумевается всякая информация, относящаяся к физическому лицу: фамилия, имя, отчество, год и место рождения, адрес проживания, сведения о семейном положении, доходах и др. Это значит, что любая компания, ведущая электронный учет сведений о своих сотрудниках, любая поликлиника и даже частный практикующий стоматолог обязаны соответствующим образом защищать попавшие в их ведение персональные данные граждан.
Если обратить внимание на экономические вертикали, наиболее чувствительные к утечкам данных, а конкретнее - на кредитно-финансовую сферу, то здесь проблема инсайдеров обозначена законодательно. В стандарте по информационной безопасности (пункт 5.4) Банка России (первая версия стандарта была принята в 2004 г.: ЦБ РФ СТО БР ИББС-1.0-2004, вторая - в марте 2006-го: ЦБ РФ СТО БР ИББС-1.0-2006) записано: "Наибольшими возможностями для нанесения ущерба организации РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации". Это еще раз заставляет банки и страховые компании всерьез задуматься о решении проблемы соответствия своих информационных систем нормативным актам и применении средств защиты от инсайдеров.
Не только ИT-проблема
Для начала должны быть определены пути утечки информации, наиболее вероятные для данной конкретной организации, и выделен круг (возможно, не один) сотрудников, через которых подобная информация может быть вынесена наружу. Программные и аппаратные средства контроля помогают свести к минимуму риск случайной утечки, утечки по халатности, а также позволяют защититься от действий тех сотрудников, кто не считает нужным задумываться о возможности контроля над его действиями.
Однако вынести за охраняемый периметр важную информацию можно вовсе и не на электронном носителе, а, скажем, на листке бумаги или в таком универсальном "устройстве", как человеческий мозг. И здесь не помогут никакие ИT-средства контроля. Поэтому с сотрудниками должна вестись постоянная работа: люди, которые дорожат своим местом в компании, представляют гораздо меньшую опасность как инсайдеры, а сотрудники с высокой зарплатой, имеющие доступ к важной информации, редко бывают заинтересованы в ее разглашении.
Строго говоря, проблема инсайдеров - это проблема комплексная, панацеи от которой не существует. Необходимо понимать и всегда помнить, что в борьбе с инсайдерами недостаточно установить некое программное или аппаратное обеспечение, которое будет фиксировать попытки передачи информации по таким каналам, как электронная почта, Интернет, различные съемные устройства и т. п.
ИT и проблема инсайдеров
Но вернемся к той части затронутой проблемы, которая лежит в области ИT-компетенции.
Конечно, можно было бы сказать, зачем, мол, рассуждать на эту тему, если такие решения все равно не дают гарантии. Однако рассуждать можно и нужно: программные и аппаратные средства утечки позволяют облегчить работу администраторов безопасности, занимающихся расследованием инцидентов, сводя к минимуму случайные утечки и сужая круг подозреваемых в случае, если утечка все-таки произошла.
Как ни банально, но электронная почта по-прежнему остается одним из наиболее популярных каналов утечки информации. Кроме того, в последние годы получили широкое распространение средства мгновенной передачи сообщений, которые сегодня также служат для передачи различного рода информации, в том числе и конфиденциальной.
Нынешний рынок инструментов, позволяющих контролировать различные каналы утечки, в целом довольно широк, но большинство производителей выпускают такие решения лишь для какой-то части возможных каналов утечки, что не позволяет эффективно управлять всеми этими средствами в комплексе. В отсутствие единой системы генерации отчетов, аккумулирующей данные со всех средств контроля, могут быть пропущены критичные инциденты или потрачено слишком много времени на их разбор.
Компаниям, занимающимся построением системы контроля над действиями инсайдеров, можно рекомендовать следующее:
- довести до всех сотрудников правила обращения пользователей с корпоративной информацией;
- выявить все потенциальные каналы утечки данных и определить спектр средств, которые позволяют их контролировать;
- предусмотреть возможность блокировки передачи наиболее важной информации в реальном времени (например, при попытке отправить, в том числе и случайно, сообщение по электронной почте, содержащее конфиденциальную информацию, система должна быть в состоянии по ключевым словам или цифрам определить вероятность ее конфиденциальности и отправить пользователю запрос на подтверждение отправки с одновременным уведомлением администратора безопасности);
- выявить сотрудников, составляющих группу риска по утечке, как намеренной, так и случайной;
- анализировать полученные от средств контроля данные, предпочтительно в реальном времени.
Следование этим рекомендациям поможет повысить эффективность работы по контролю над утечкой информации по вине инсайдеров.
С автором, аналитиком департамента информационной безопасности компании "Энвижн Груп" Екатериной Дербенцевой, можно связаться по электронной почте: derbentseva@nvisiongroup.ru.