referat-ok.com.ua

Для тих хто прагне знань!

Основні засади заходів запобігання витоку конфіденційної інформації підприємства

ПОЗНАЧЕННЯ І СКОРОЧЕННЯ

ІБ – інформаційна безпека
ІС – інформаційна ситема
ІТ – інформаційні технології
НСД – несанкціонований доступ
ПЗ – програмне забезпечення
СУБД – система управління базами даних
ILD&P – Information Leakage Detection & Prevention
MI – Instant Messengers

 

ВСТУП

Статистичний аналіз показує, що внутрішні ІТ-загрози знаходяться в лідерах інформаційних загроз, відсунувши на другий план традиційних лідерів –

хакерські атаки і віруси [4,5,6]. Це пов’язано з кількома причинами. Перша — успіх виробників засобів захисту від зовнішніх загроз і повсюдне поширення їх продуктів. Антивірусні компанії і виробники міжмережних екранів і систем виявлення вторгнень пропонують продукти, на яких можна побудувати гнучкий багаторівневий захист інформаційних систем. Успіхи в біометрії та інших системах аутентифікації дозволяють побудувати зручну та ефективну систему захисту від несанкціоного доступу, що включає єдину точку входу і контроль над обліковими записами. Вся концепція інформаційної безпеки будується на поділі прав доступу до ІТ — ресурсів на «санкціоновані» і «несанкціоновані».

Наблизившись до вирішення проблеми захисту периметру інформаційною системи зовні, виробники засобів інформаційної безпеки залишили без уваги те, що робить користувач із «санкціонованим» доступом. Вендори програмного і апаратного забезпечення, немов об’єднались, збільшують кількість каналів, портів і протоколів, за якими легальний користувач може викрасти інформацію. Системи стають все більш дружелюбними до користувача. Бездротові протоколи IrDA, Bluetooth і WiFi, змінні носії (від традиційних flash-носіїв до медіа плеєрів і фотокамер), програми синхронізації мобільних телефонів та PDA, дозволяють досить легко передавати величезні обсяги інформації. Доступ до високошвидкісних каналів Інтернет, постійно зростаючий обсяг файлів, які можливо приєднувати до поштових дозволяють пересилати великі обсяги інформації.

Якщо поглянути на класифікацію продуктів і послуг в області інформаційної безпеки, опубліковану IDC, ми не побачимо там жодного продукту, здатного контролювати внутрішні ІТ-загрози, зокрема витік і спотворення конфіденційних даних. Ні міжмережні екрани, ні антивірусні продукти, ні системи виявлення вторгнень не можуть запобігати зловживанням користувачів. Системи розподілення доступу, біометричні та інші системи ідентифікації, шифрування конфіденційних даних також не здатні захистити інформацію. Мільярди доларів, вкладені в ці системи безпеки, виявилися безсилими проти рядового клерка з iPod-ом. Більшість електронних витоків в останні роки було розкрито і відхилено не засобами інформаційної безпеки, а старими добрими оперативними засобами: фізичним стеженням за співробітниками, кадровою роботою і т.д. [2].

Однак відношення кількості співробітників служби безпеки, відповідальних за збереження інформації до кількості співробітників, що мають доступ в інформаційну систему, зменшується з ростом компанії. Коли один офіцер інформаційної безпеки припадає на декілька сотень співробітників, що мають доступ до конфіденційної інформації, оперативні методи не дають належного ефекту. Починаючи з п’ятисот користувачів інформаційної системи на одного офіцера безпеки, компанії починають серйозно замислюватися про технологічні рішеннях, які могли б підвищити ефективність роботи служби інформаційної безпеки. Саме при такій кількості користувачів в компаніях зазвичай вводиться посада офіцера інформаційної безпеки. На першому етапі компанія готова витратити від 100 до 200 доларів за робоче місце для захисту конфіденційної інформації в своїй інформаційній системі.

Перш, ніж визначити, якими продуктами необхідно захищатися від внутрішніх ІТ-загроз, необхідно відповісти на базові питання:

— навіщо від них захищатися;

— який портрет порушника;

— які ресурси компанія готова витрачати на захист від внутрішніх загроз.

У зв’язку з цим можна зробити висновок, що тема дипломної роботи, яка присвященна розробці рекомендацій щодо використання сучасних методів і засобів запобігання внутрішнім загрозам витоку конфіденційної інформації, є актуальною.

Мета дипломної роботи — на основі аналізу типовий проблеми витоку конфіденційної інформації комерційного підприємстві розробити систему заходів для забезпечення внутрішньої безпеки використаних інформаційних технологій.

Для досягнення поставленої мети вирішуються такі основні завдання:

  • аналіз типових внутрішніх загроз витоку конфіденційної інформації з об’єктів інформаційної діяльності;
  • дослідження основних заходів запобігання витоку конфіденційної інформації;
  • обґрунтування рекомендацій щодо створення системи заходів щодо забезпечення внутрішньої безпеки інформаційних технології, які застосовуються в організації.

Область застосування. Матеріали роботи можуть бути використані при плануванні та проведенні заходів щодо захисту конфіденційної інформації на об’єктах інформаційної діяльності.

1 АНАЛІЗ ТИПОВИХ ВНУТРІШНІХ ЗАГРОЗ ВИТОКУ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ.

1.1 Загальні положення

Перш, ніж визначити, якими продуктами необхідно захищатися від внутрішніх ІТ-загроз, необхідно, як і при впровадженні будь-якої системи безпеки, відповісти на базові питання: навіщо від них потрібно захищатися, який портрет порушника і які ресурси компанія готова витратити на захист від внутрішніх загроз .

Відповідь на питання «Навіщо впроваджувати систему захисту від внутрішніх загроз?» і як «Як впроваджувати цю систему?» не настільки очевидна, як це здається на перший погляд. Розглянемо чотири можливі відповіді на це питання (таблиця 1.1).

Таблиця 1.1

Цілі та методика впровадження системи захисту проти інсайдерів

Ціль Нововведення
Відповідність вимогам нормативних стандартів Впровадження контролів, що перевіряються при аудиті
Збереження інформації Відкрите впровадження в поєднанні з кадровою роботою
Виявлення каналу витоку Приховане впровадження в поєднанні з ОРЗ
Довівши непричетність Архівація руху даних і мережних операцій для доказу того, що джерело витоку не всередині фірми

Вимоги нормативно-правового регулювання

Дійсно, в банківській сфері, страхуванні, біржах та інших фінансових інститутах у багатьох країнах існує жорстке законодавство, невиконання якого тягне за собою позбавлення ліцензії на право займатися основною діяльністю. В основі більшості вимог до інформаційних систем, що зберігають фінансову інформацію лежать вимоги стандартів ISO, Базельські угоди, стандарти з інформаційної безпеки. Для компаній, що торгують своїми акціями на міжнародних біржах, існують свої вимоги. Наприклад, Нью-Йоркська фондова біржа потрапляє під дію акта Сарбейнса-Окслі 2002 року, що регламентує керування інформаційною системою компаній, що виставляють свої цінні папери на торги. У різних країнах є інші акти: GLBA, HIPAA, локальні акти щодо захисту персональних даних.

Таким чином, модель системи захисту від внутрішніх ІТ-загроз закладена в стандарти і впроваджувати цю систему потрібно, перш за все, таким чином, щоб пройти аудит на відповідність описаним стандартам. У цьому випадку при конфлікті функціонала системи між ефективністю та відповідності стандартам вибір робиться на шкоду ефективності. Слід також зазначити, що жоден регулюючий орган не рекомендує навіть тип продуктів, якими слід захищатися і частину загроз допускається закривати організаційними засобами.

Збереження інформації

Це питання найчастіше виникає після реального інциденту з витоком конфіденційної інформації. У цьому випадку замовник не пов’язаний стандартами, а вільний будувати захист своєї інформаційної системи виходячи з власного розуміння та наявних коштів. Тоді для посилення ефективності захисту впровадження технічних засобів супроводжується роботою з персоналом. У цю роботу входять як інструктажі та тренінги, так і адаптація під нові умови і перепідписання трудових угод, посадових інструкцій і регламентів використання інформаційної системи.

Психологічний фактор працює на захист інформації. Знаючи про те, що їх дії контролюються, багато потенційні порушники відмовляться від намірів порушити політику безпеки. Тому впровадження такої системи має супроводжуватися голосними заходами, політики внутрішньої безпеки повинні бути впроваджені наказом за підписом першої особи. Однак конкретне технологічне рішення краще не афішувати, щоб зловмисники не працювали проти конкретної системи.

Виявлення джерел і каналів витоку інформації

Ця мета постає перед замовником, якщо він знає про регулярні випадки витоку інформації з своєї інформаційної системи [1,2]. Перш за все, наголос робиться на прихованому впровадженні та зборі доказів. Часто при прихованому впровадженні установка програмного забезпечення маскується під оновлення іншої системи безпеки, наприклад, антивіруса.

Збір доказів — не менш важлива частина такого впровадження. Адже мало виявити джерело витоку, необхідно мати можливість його покарати в рамках чинного законодавства. Предметом цього курсу не є аналіз юридичної бази збору доказів. Тим більше, що в кожній країні вона своя. У загальних рисах ситуація наступна: збір цифрових доказів (журналів доступу, копій листів і т.д.) суворо регламентується законодавством. Найчастіше для того, щоб докази були визнані в суді, потрібно спеціальним чином опечатаний спецслужбами сервер, до якого, крім спецслужб, доступу ніхто не має. Але навіть і в разі зізнань цих доказів судом, вони покажуть не на людину, а на його цифрову «копію» — поштова скринька, обліковий запис, IP-адресу і т.д. Довести, що в момент порушення за комп’ютером знаходився конкретна людина досить складно. Враховуючи презумпцію невинності, обов’язок доказування лежить на роботодавця. Технічні засоби, які можуть бути використані для цього — біометричні ключі і відеоспостереження.

Створення конкурентної переваги

Цю мету ставлять найчастіше ті підприємства, які беруть інформацію третіх компаній — дата-центри, ASP, аудиторські компанії, центри обробки викликів (call-центри), компанії, що надають послуги перекладу і т.п. У цьому випадку впровадження також проводиться відкрито, але різниця полягає лише в тому, що контроли впроваджуються таким чином, щоб компанія, що надає послуги, могла надати клієнтові інформацію про всі дії з його даними.

1.2 Комплекс технічних засобів і правил

Після того, як замовник визначився з метою проекту, необхідно описати системний ландшафт — комплекс технічних засобів і правил (системний ландшафт), що мають місце бути в компанії.

Права користувачів

Як зазвичай йдуть справи в інформаційній системі компанії? По-перше, відсутня єдина політика по стандартизації процесів, що відбуваються на робочих місцях користувача. Це означає, що частина користувачів володіє правами локальних адміністраторів. Зазвичай це дві групи користувачів — користувачі застарілих операційних систем (MS Windows 98, наприклад) і користувачі ноутбуків. Це також означає, що копії конфіденційних документів зберігаються на робочих місцях. Крім того, на робочих місцях встановлено потенційно небезпечне ПО: файлові менеджери, які можуть проводити операції з тимчасовими файлами Windows, програми синхронізації з мобільними пристроями, програми шифрування і т.д.

Кваліфікація користувачів

Користувачі з кожним роком стають все більш кваліфікованими. Маючи вдома комп’ютер з доступом в Інтернет, а то й локальну мережу, вони набувають навички, які можуть виявитися небезпечними для інформаційної безпеки підприємства. Рядовий користувач комп’ютера сьогодні вміє встановлювати програми, знімати процеси, виходити в Інтернет по мобільному телефону, передавати інформацію в зашифрованому вигляді і т.д.

Засоби захисту

Не можна сказати, що ніякі заходи по захисту інформації від внутрішніх загроз в типовій компанії не проводяться. Зазвичай замовники відносять до цього типу технічні рішення з контролю доступу до ресурсів (Інтернет, корпоративна пошта і USB), а також сигнатурну контенту фільтрацію (зазвичай спеціальним чином налаштований антиспам — фільтр). Однак ці методи дієві лише проти необережних або некваліфікованих порушників. Сигнатурно контент на фільтрацію легко обходиться або примітивним видаленням «небезпечних» слів, або елементарним кодуванням, що не вимагає запуску спеціальних програм шифрування — заміною символів однієї частини кодування (наприклад, західноєвропейської) на схожі символи інший (наприклад, кириличної), заміна букв на цифри,  і т.п. Заборонений доступ зловмисні співробітники зазвичай отримують імітацією службової необхідності  Таким чином, компанії мають необхідність, з одного боку, упорядкувати систему зберігання витоку конфіденційної інформації, з іншого боку, впровадити більш досконалу систему захисту від внутрішніх загроз. Визначивши, для чого ми захищаємо конфіденційну інформацію, що зберігається в корпоративній інформаційній мережі, важливо зрозуміти, що конкретно ми збираємося захищати. Перш за все, в компанії необхідно дати визначення конфіденційної інформації та встановити дозволені дії з нею для різних груп користувачів. У кожній компанії існує (або, принаймні, повинно існувати) «Положення про конфіденційну інформацію», що описує порядок роботи з такими даними, що знаходяться в паперовому вигляді. Необхідно адаптувати його до електронних документів. У реальності ця процедура займає кілька тижнів і зводиться до регламентації дій з такими відсутніми в паперових документах сутностями, як копія документа, частину документа і т.п. Регламенти роботи з конфіденційною інформацією в електронному вигляді також з невеликими змінами приходять з регламентів поводження з документами у паперовому вигляді. Тобто визначається цикл життя документа, де він створюється, як і ким використовується, хто і в яких умовах може вносити до нього зміни, скільки він зберігається і як знищується.

Контентна категоризація

З документами більш-менш зрозуміло. За великим рахунком, немає різниці, електронні вони або паперові. Є нюанси, що стосуються, наприклад, листування по електронній пошті. Регламенти звернення з електронною поштою, звичайно, строго регулюють відправлення документів, що містять конфіденційну інформацію. Однак у процесі адаптації «Положення про конфіденційну інформацію» до інформації в електронному вигляді необхідно особливо відзначити види інформації, які заборонено відправляти по електронній пошті. Майже у всіх компаніях є стандартний набір інформації, яку може відправляти з корпоративної пошти один підрозділ і не може інше. Так, надсилати листи, в яких містяться згадки перших осіб компанії, може лише служба зв’язків з громадськістю, банківські реквізити — бухгалтерія, ціни на продукцію — служба збуту, тендерну документацію — відділ закупівель і т. д. Звичайно, в кожної компанії є свої нюанси . Про технічні методи реалізації цих регламентів поговоримо нижче. Регламенти використання документів, які містять конфіденційну інформацію, повинні включати опис системи зберігання документів та організації доступу до них. Тут теж немає нічого принципово нового — досвід роботи з паперовими документами накопичений величезний. Ті ж нехитрі правила — перед отриманням доступу до документів для читання або внесення змін співробітник вказує, на якій підставі і для чого він збирається звернутися до документа, що збирається з ним робити, коли він закінчить працювати з документом і т. д. Цей «журнал «роботи з документом у випадку з електронними даними вести навіть простіше, так як більша частина операцій (наприклад, перевірка прав доступу або прав на зміну змісту, облік часу роботи і контроль змін) може йти в автоматичному режимі. Термін «журналирование», що позначає процес ведення журналу доступу до документа, зустрічається в джерелах поряд з терміном «логування». Також в положенні повинно бути зазначено, що ніякої адміністратор не може змінювати інформацію в журналі своєї роботи, щоб можливість приховати сліди не спонукала його на неправомірні дії.

Класифікація інформації за рівнем конфіденційності.

Після побудови документарної бази можна переходити до наступної процедури: класифікації наявної інформації. Необхідно визначити, які документи є конфіденційними, які працівники мають доступ і якого рівня до документів. Таким чином, створюється так званий реєстр конфіденційних документів, що містить, крім опису документів і прав доступу, ще й правила внесення в нього документів і правил їх вилучення (знищення). Оскільки в кожній компанії щодня створюється безліч нових документів, частина з них — конфіденційні, то без створення механізму їх автоматичної або напівавтоматичної класифікації реєстр вже через кілька місяців втратить актуальність.

Мітки документів

Особливо слід звернути увагу на організацію процесу позначки конфіденційних документів. Кожен конфіденційний документ повинен містити мітку, по якій контролюючі програми могли б визначити ступінь його конфіденційності та категорію користувачів, які можуть проводити з ним потенційно небезпечні операції — публікацію в Інтернет, копіювання на змінні носії, перейменування, відправку по електронній пошті і т.п. Технічні та організаційні методи установки міток вибирає замовник. Якщо все захищаються документи зберігаються виключно у форматі MS Office, то в якості мітки може використовуватися запис «конфіденційно» у відповідних полях властивостей документів. Деякі виробники систем документообігу використовують програмні мітки і спеціальні формати файлів. Однак найпоширеніший і простий спосіб присвоювання міток — іменування файлів по спеціальній масці. Наприклад, перші 10 символів — тематична група, до якої відноситься документ (назва клієнта, робочої групи, підрозділи, галузі і т.д.), потім знак підкреслення, потім 20 символів для опису документа, знову знак підкреслення, і 8-значна дата у форматі YYYYMMDD. Запровадження процедури іменування файлів не якась акція, а постійна робота по виробленню звичок персоналу іменувати файли таким чином. Крім організаційних методів, закріплення наказом тільки такої форми іменування, підтримки способу іменування всім топ-менеджментом та інструктажу нових співробітників, можна залучити на допомогу і технічні засоби. Найпростіший технічний спосіб впровадження цієї процедури — дозволяти викладати на файловий сервер, класти в корпоративне сховище або публікувати в Інтранет файли, пойменовані за заздалегідь затвердженим шаблоном. З часом всі файли, які пройшли через електронну пошту, файлові сервери, сховище даних і Інтранет, будуть називатися правильним чином. Документ, названий по такій масці, автоматично потрапляє в поле зору контролюючих систем і перехоплюється при заборонених з ним діях користувача не тільки контентної фільтрацією, але і моніторами, діючими на підставі політик. На відміну від контентної фільтрації цей метод дає 100% гарантію. Це зручно і для візуального контролю — навіть у черзі на друк можна відразу побачити конфіденційні документи. До того ж не зайве ще раз нагадати користувачеві при відкритті файлу, що документ конфіденційний.

Зберігання інформації

Після створення реєстру конфіденційних документів можна приступати до реорганізації їх зберігання. У великих компаніях організаційними та технічними заходами забороняється зберігання конфіденційної інформації локально — на робочих станціях. Зазвичай такі дані зберігаються в спеціальних клієнт-серверних або web-додатках (корпоративних інтранет-порталах, документних сховищах, бізнес-додатках, довідково-нормативних базах, системах документообігу, ERP і т.д.), які поділяють права доступу користувачів і захищають інформацію від збереження в несанкціонованому місці. Захист таких даних на сервері є багаторівневою (на рівнях апаратної платформи, операційної системи, СУБД і додатки). Однак ризики витоку цієї інформації з робочих станцій, тим не менше, існують.

1.3 Способи зберігання конфіденційної інформації

Компанія повинна захищати від витоку інформацію трьох основних типів: зведену інформацію, конфіденційні документи та інтелектуальну власність.

Зведена інформація

До зведеної інформації відносять різноманітні структуровані дані у форматі бази даних або електронних таблиць. Це може бути не тільки інформація про продукти і цінах, фінансова інформація і т.д., що представляє цінність для конкурентів, але й персональна інформація про клієнтів, яку компанія повинна охороняти за законом. При розкраданні інформації такого типу викрадачеві важливо зберегти повноту, достовірність і структуру інформації — цінність неповної інформації різко знижується. Окремим випадком розглядається «замовлення» на викрадення конкретних даних, а не всієї бази даних. Однак більшість інсайдерів допускають витоку інформації, не маючи конкретних замовників на неї, тому другий варіант зустрічається набагато рідше. У будь-якому випадку, тут і далі розглядається витік даних такого обсягу, щоб винос їх «в оперативній пам’яті людського мозку» або «переписаними на папірець» не представлявся можливим.

Інтелектуальна власність

Інтелектуальна власність — будь-яка інформація в електронному вигляді, яка забезпечує компанії конкурентні переваги. Це можуть бути будь-які внутрішні матеріали: шаблони документів, посадові інструкції, опис бізнес-процесів, довідково-нормативна інформація, документи, що містять відомості про винаходи, патенти, перспективних розробках та інші, які охороняються законом. Ця інформація може зберігатися в будь-якому місці: в документних сховище, базі даних, в спеціальних папках на серверах, на локальних робочих станціях. Формати зберігання: будь-які формати додатків, в тому числі і відскановані образи документів, креслень. На відміну від попередньої групи інформації, цінними є не тільки самі документи, але і їх фрагменти, чернетки і т. п.

Неструктурована інформація.

Всі інші документи, що містять неструктуровану конфіденційну інформацію, можна віднести до оперативного документообігу. Це накази по компанії, внутрішня електронна переписка. Інформація, що знаходиться в них, має оперативний інтерес для конкурентів і партнерів компанії, і її викрадення також може призвести до моральних і матеріальних втрат. У 2000 році по комп’ютерній пресі ходила копія наказу по одній з компаній «програмістам приймати душ не рідше двох разів на тиждень». Навряд чи вона привела до матеріальних втрат, але пляма на репутації компанії залишила. А ось витік документа, що містить собівартість комерційної пропозиції, що потрапила до замовника, може привести до конкретних збитків — замовник буде знати, до якої суми компанія готова поступатися. Оскільки така інформація розрізнена, зберігання її ніяк зазвичай не регламентовано, захист її від витоків особливо утруднена. Один із шляхів витоку інформації через санкціонований доступ — клієнтські додатки. Більшість робочих станцій в офісах великих компаній — комп’ютери на платформі Wintel. Архітектура таких робочих місць робить інформацію, відкриту за допомогою клієнтських додатків, практично беззахисною. Зберігання інформації в незашифрованих тимчасових файлах, вбудована в операційну систему можливість копіювання інформації в буфер (операції Copy і PrintScreen), наявність багатьох каналів вводу-виводу (дискети, CD-R, USB, Wi-Fi, Bluetooth і т. д.) роблять робочу станцію вельми небезпечним пристроєм для реалізації внутрішніх ІТ-загроз. Зауважимо, що таких загроз немає при доступі до інформаційної системи через тонкі клієнти або системи мейнфрейм-термінал.

Локальні копії

Інше потенційне джерело витоків — копії інформації на мобільних робочих місцях. Вимоги бізнесу сьогодні привели до того, що частина співробітників проводить більшу частину часу поза офісом. Є види бізнесу, практично немислимі без мобільних робочих місць, такі, як консалтинг, аудит та інші. Для ефективної роботи поза межами доступу до корпоративної мережі необхідні копії службових документів, у тому числі і конфіденційних. Проста заборона на зберігання інформації на мобільних робочих місцях призведе до неможливості виконувати службові обов’язки поза офісом, що неодмінно позначиться на ефективності бізнесу компанії. Тому практично всі мобільні співробітники мають копії конфіденційної інформації. Закриття всіх портів вводу-виводу на ноутбуках, по-перше, досить складно технічно, а по-друге — ускладнить роботу мобільним користувачам, так як останні за своїми службовими обов’язками повинні використовувати як змінні носії, так і комунікаційні порти.

1.4 Дослідження проблеми витоків конфіденційної інформації

Щоб краще розібратися з загрозами внутрішньої ІБ, звернемося до результатів дослідження, в ході якого представники російського бізнесу висловили свої побоювання щодо інсайдерів і можливих засобів захисту. Внутрішні інциденти часто призводять до витоку персональних або конфіденційних даних. З року в рік збитки від кожного з цих видів витоків ростуть на 20-25%. За оцінками аналітичного центру Info Watch, в 2006 р. одна лише економіка США втратила більше $ 60-65 млрд внаслідок витоків приватних відомостей. Апроксимуємо цей результат в глобальному масштабі, можна стверджувати, що загальносвітовий збиток від цих інцидентів складає близько $ 500 млрд. Між тим це лише одна сторона медалі, так як неврахованою залишилася ще одна загроза — витік конфіденційної інформації.

Виходячи з власного досвіду розслідування інсайдерських інцидентів, аналітичний центр Info Watch за підсумками року оцінює сукупні втрати світової економіки через витік комерційних секретів в $ 175 млрд. Таким чином, обидва види витоків обходяться щорічно майже в $ 700 млрд. Проте вже в наступному році з урахуванням інфляції та щорічного зростання збитків на 20-25% ця цифра може перевищити $ 1 трлн. Тим часом ці цифри справедливі для світової економіки. Щоб з’ясувати, як йдуть справи з витоками в нашій країні, звернемося до дослідження «Внутрішні ІТ-загрози в Росії — 2006», в ході якого компанія Info Watch опитала 1450 російських комерційних та державних організацій. Перш за все, розглянемо ключові висновки цього дослідження.

Стурбованість внутрішніми загрозами ІБ серед російських організацій досягла апогею. Наприклад, індекс небезпеки витоку інформації на 50% випереджає аналогічний показник для будь-якої з зовнішніх загроз. Держструктури і представники приватного сектору поставили на перше місце витік інформації далеко не випадково. Вони добре усвідомлюють всі негативні наслідки цього інциденту: прямі фінансові збитки (46%), удар по репутації (42,3%) і втрату клієнтів (36,9%). Організації починають придивлятися до своїх службовцям все пильніше й пильніше. Понад 40% респондентів вже зафіксували за 2006 р. більше однієї витоку, а майже 20% — більше п’яти витоків. Частка організацій, що впровадили захист від витоків, зросла за останній рік на 500%, або в п’ять разів. Позитивна динаміка в наявності, і це не може не радувати. У той же час говорити про масове впровадження не доводиться. Поки лише кожен десятий впровадив ефективне рішення на основі ІТ, однак дев’ять з десяти планують це зробити в найближчі два-три роки. Є всі підстави вважати, що проникнення систем захисту від витоків інформації на російський ринок продовжиться і далі, причому зачепить абсолютно всі галузі економіки. Ми знаходимося на порозі експоненціального зростання даного сегменту.

Портрет респондентів

Як і в попередніх дослідженнях (2005 і 2004 рр..), в опитуванні, проведеному в 2006 р., взяли участь висококваліфіковані фахівці — особи, приймаючі рішення в області розвитку корпоративних інформаційних систем. Респонденти були підібрані таким чином, щоб найбільш точно відповідати генеральної сукупності.Аналіз портрета респондентів за кількістю співробітників (мал. 1.1) показав, що найбільша частка опитаних компаній (28,7%) припадає на представників малого бізнесу (менше 500 співробітників). Практично рівні частки припали на компанії з 500-1000 службовцями (11,4%) і 5001-10 000 працівників (10,3%). Друга за чисельністю група респондентів потрапила в категорію «2501-5000 співробітників» (25,8%), а третя — «1001-2500 службовців» (16,7%). Нарешті, найменша кількість респондентів — це представники дуже великого бізнесу і федеральних держструктур: на групу «10 001-50 000 працівників» довелося 6,2%, а «більше 50 000 співробітників» — лише 0,9% опитаних організацій.

Звернемося тепер до ступеня інформатизації бази респондентів (мал.1.2). Найбільша за чисельністю частка опитаних організацій має від 251 до 1000 робочих станцій (35,1%). Наступною йде група з 1001-5000 терміналів (24,6%). Більшість респондентів (59,7%) припадає на представників бізнесу вище середнього. Тим часом частка дуже великих організацій становить 7,2%: з них 2,3% — це компанії з кількістю робочих станцій більше 10 000, а 4,9% — від 5001 до 10 000 комп’ютеризованих місць. Нарешті, на представників малого бізнесу припала майже одна третина всіх респондентів (33,1%): серед них 18,4% складають компанії з кількістю терміналів від 101 до 250, а 14,7% — з кількістю комп’ютерів менше 100. Таким чином, підсумовуючи два вищевказаних показника, можна зробити висновок, що база респондентів даного дослідження складається переважно з представників великого бізнесу і сегмента, який можна охарактеризувати як «вище середнього». Незважаючи на це, рівень репрезентативності як малих, так і дуже великих підприємств залишається досить високим.

З точки зору сфери діяльності (мал. 1.3) до групи лідерів увійшли такі сектори економіки, як фінансові послуги (21,5%), а також телекомунікації та ІТ (18,9%). За ними слідують міністерства і відомства (13,2%), виробництво (12,7%), ПЕК (11,7%) і торгівля (10,3%). Нарешті, найменші частки припали на страхування (5,2%) та освіта (4,4%).

Аналізуючи посади респондентів (мал.1.4), слід зазначити, що в порівнянні з 2005 р. дещо знизилися частки, що припадають на начальників відділів ІТ (40,2%) та ІБ (27,2%). Це цілком зрозуміло, оскільки наявність виділених служб ІТ і ІБ є ознакою зрілості організації, тому при збільшенні бази респондентів майже в п’ять разів логічно очікувати зменшення частки зрілих компаній з генеральної сукупності. Тим часом деяке зростання спостерігається в категоріях фахівців з ІТ (12,9%) та ІБ (19,3%).

Слід зазначити невелике зростання частки представників ІБ в загальній вибірці. У 2005 р. цей показник дорівнював 43%, а в 2006 р. досяг позначки 46,5%. Це говорить про те, що ІБ все частіше і частіше в російських компаніях стає обов’язком виділених і кваліфікованих фахівців, а не універсальних ІТ-службовців, на яких обов’язки захисту інформації покладаються в якості другорядних. Крім того, зростання частки представників ІБ можна пояснити зміною структури бази респондентів у бік великого бізнесу і підприємств розміру вище середнього.

Загрози ІБ

У порівнянні з минулим роком дещо змінився ландшафт найнебезпечніших загроз ІБ (мал. 1.5). На першому місці як і раніше залишається крадіжка інформації (65,8%). Її індекс небезпеки підріс на 1,8% в порівнянні з 2005 р. і на 3,8% в порівнянні з 2004 р. Проте вже на другому місці опинилася халатність співробітників (55,1%). Цього варіанту відповіді не було в торішньому дослідженні, тому не представляється можливим простежити за динамікою зміни індексу небезпеки цієї загрози. Тим не менш вже зараз можна зробити ряд висновків. Наприклад, вірусні атаки зайняли лише третє місце, набравши 41,7%.  Якщо порівнювати з 2005 р., то ця загроза втратила 7,3%, а якщо з 2004 р. — цілих 18,3%.  Ймовірно, саме цей рейтинг небезпеки дозволив таку загрозу, як халатність співробітників, відразу ж зайняти друге місце в списку найбільш небезпечних загроз ІБ.

На четвертому місці опинилася загроза, яка теж не входила в попередні дослідження. Це саботаж (33,5%). Судячи з усього, високий рейтинг небезпеки саботажу обумовлений тим, що респонденти поступово втрачають почуття страху перед зовнішніми загрозами. Якщо у випадку з халатністю службовців наводився приклад зниження рейтингу вірусних атак, то в даному випадку очевидна втрата лідируючих позицій з боку хакерських атак. Саме хакерські атаки посідають п’яте місце (23,4%). Іншими словами, за 2005 рік ця загроза втратила 24,6%, а за 2 минулих роки — 28,6%.Таким чином, якщо перерахувати результати відповідей на попереднє запитання, розділивши їх все на внутрішні та зовнішні загрози, то легко бачити, що інсайдери превалюють над вірусами, хакерами і спамом. Для побудови наступної діаграми (мал. 1.6) в категорію внутрішніх загроз були віднесені недбалість співробітників, саботаж і фінансове шахрайство, а в категорію зовнішніх загроз — віруси, хакери і спам. Після цього сумарний рейтинг небезпеки кожної категорії був нормований, щоб сума дорівнювала 100%. Відзначимо, що загрози крадіжки інформації, різних збоїв і крадіжки обладнання спеціально не були віднесені до жодної з груп. Справа в тому, що вони можуть бути реалізовані як зсередини, так і ззовні або взагалі без втручання людини (наприклад, апаратні збої).

Виходячи з отриманих результатів ( мал. 1.6), можна зробити висновок, що респонденти значно більше стурбовані внутрішньою ІБ, ніж захистом від зовнішніх загроз. Крім того, слід враховувати, що некласифіковані ризики, наприклад крадіжку інформації або обладнання, найчастіше відносять до внутрішніх загроз. В даному випадку це не було зроблено, щоб не надавати погрозам з боку інсайдерів додаткової ваги. Однак, як показали розрахунки, навіть у цьому випадку зовнішні ризики істотно поступаються внутрішнім загрозам.

Внутрішні загрози ІБ

З’ясувавши, що найнебезпечніші загрози ІБ виходять зсередини організації, цілком логічно вивчити структуру інсайдерських ризиків. Як показали результати наступного опитування (мал.1.7), в списку найбільш небезпечних внутрішніх загроз з величезним відривом лідирує порушення конфіденційності інформації (70,1%). Найближчий конкурент — спотворення інформації (38,4%) — відстав на цілих 31,7%. Іншими словами, ризик витоку цінної інформації хвилює респондентів майже в два рази більше будь-якої іншої інсайдерської  загрози. Тим часом індекс небезпеки цієї загрози у 2005 р. досягав 100%, а в 2004 р. — 98%. На перший погляд може здатися, що стурбованість респондентів витоком конфіденційної інформації за 2006 р. дещо знизилася, однак уважний аналіз показує, що це не так. Перш за все, в варіанти відповідей були додані дві нові загрози, які не враховувалися в попередніх дослідженнях, — це саботаж (26,2%) і шахрайство (19,3%). Легко бачити, що ці ризики зайняли третє і четверте місце в списку найбільш небезпечних загроз, так що включення їх в опитувальний лист було абсолютно виправданим. З урахуванням того, що кожен респондент і раніше міг вибрати лише три варіанти відповіді, видається найбільш імовірним, що дві нові загрози «відтягнули» частину голосів з порушення конфіденційності на себе. Крім того, немає жодних об’єктивних підстав вважати, що ризик витоку знизився за 2005 р., навпаки, даний рік пройшов під знаком інсайдерів. На це вказують п’ять великих витоків, які були зафіксовані в Росії і СНД (таблиця 1.2), а також майже півтори сотні інцидентів внутрішньої ІБ в інших частинах світу.

Коментуючи високий індекс небезпеки таких загроз, як саботаж і шахрайство, слід зазначити, що респонденти зовсім справедливо звернули увагу на ці ризики. Справа в тому, що серед опитаних компаній переважають представники великого бізнесу. Однак чим більша компанія, тим вищі шанси здійснення корпоративної диверсії або навмисного спотворення фінансових звітів. Крім того, проблемі саботажу значну увагу в 2006 р. приділили журналісти та різні дослідницькі інститути. Один з респондентів під час інтерв’ю зауважив, що якби журналісти не стали акцентувати увагу на проблемі ІТ-саботажу і в Інтернеті не з’явилися звіти CERT, Секретної служби США та інших організацій, то його компанія навіть не знала б, що такі ризики існують.

Витік конфіденційної інформації

Отже, найбільш небезпечною загрозою ІБ є витік конфіденційної інформації, що відбулася з вини інсайдерів. У 2006 р. перед респондентами вперше поставили питання щодо найбільш плачевних наслідків, що виникають внаслідок витоків (рис.1.8). Як виявилася, більш всього респонденти стурбовані прямими фінансовими збитками (46%). На другому місці — погіршення іміджу і громадської думки (42,3%), а на третьому — втрата клієнтів (36,9%).

Крім того, респонденти стурбовані зниженням конкурентоспроможності (25,2%) організації, що є скоріше наслідком цілого ряду інших негативних наслідків витоку. Тим часом лише кожен десятий (10%) згадав серед найбільш плачевних наслідків юридичні витрати і судове переслідування, що свідчить про нерозвиненість правозастосовчої практики в Росії. Нагадаємо, що в 2006 р. в Росії був прийнятий закон «Про персональні дані», який набув чинності в лютому 2007 р. і створив всі передумови для того, щоб компанія, яка допустила витік, могла бути притягнута до відповідальності. Тим не менше експерти компанії Info Watch сумніваються, що одна лише наявність правильного закону допоможе покласти край незаконному обігу персональних даних. Щоб досягти успіху, необхідно ще винести кілька судових рішень, карають ті організації, які допускають витоку.

На наступному етапі дослідження аналітичний центр Info Watch запропонував респондентам вказати найпоширеніші канали витоку інформації. Розподіл відповідей представлено на мал. 1.9. Зауважимо, що найбільшою популярністю серед інсайдерів користуються мобільні носії (86,6%), електронна пошта (84,8%) та Інтернет (82,2%). У порівнянні з 2005 р. перші дві позиції не помінялися, а ось Інтернет потіснив з третього місця мережні пейджери, які в 2006 р. набрали лише 74,5% і посіли четверте місце.

Тим часом особливу увагу на себе звертає істотно збільшений рейтинг небезпеки друкувальних пристроїв. У 2006 р. він становив 60,9%, в той час як в 2005 р. був лише 34%. Додаткові питання респондентам, що вказали на цей канал витоку, допомогли з’ясувати, що багато організацій вже мають досить зрілу систему ІТ-безпеки, яка включає або засоби фільтрації вихідного мережног трафіку, або обмежувальні заходи щодо доступу до зовнішніх мереж. Що ж стосується принтерів і інших друкуючих пристроїв, то вони залишаються непокритими, тому інсайдери перемикають свій погляд саме на них.

Нарешті, одним з найважливіших моментів дослідження стало питання про кількість витоків конфіденційної інформації, які респонденти допустили протягом 2006 р. (малюнок 1.10). Як у 2005-му, так і в 2004 р. переважало стандартне «Важко відповісти», оскільки занадто багато респондентів ще не використовують спеціалізованих рішень для виявлення витоків. Однак позитивне зрушення вже в наявності: якщо в 2004 р. труднощі виникли у 67%, в 2004 р. — у 62%, то в 2006 р. — вже лише у 44,8% всіх опитаних організацій.

Настільки ж позитивним виглядає той факт, що істотно зросла частка респондентів, досить точно відповіли про кількість витоків. Так, практично кожен четвертий (24%) повідомив, що його компанія допустила від однієї до п’яти витоків. У 2005 р. про це заявили лише 7% організацій. Далі, майже кожен восьмий (12,9%) повідомив, що його компанія зафіксувала від шести до 25 витоків за рік. Цей показник взагалі зріс з нуля в 2005 р. до 12,9% в 2006 р. Іншими словами, у респондентів з’явилася можливість фіксувати витоку або спостерігати результати витоків у зовнішньому середовищі організації. На завершення, точно така ж динаміка спостерігається у групи, яка заявила про більш ніж 25 витоках. У 2005 р. жоден респондент не обрав дану відповідь, а в 2006 р. це зробили вже 4,6%.

Зупинимося тепер на досить цікавому відповіді — «Жодного витоку не було». Частка цих респондентів скоротилася з 31% в 2005 р. до 13,7% у 2006 р. Судячи з усього, за минулі 12 місяців організації усвідомили, що точно так само схильні внутрішнім загрозам і постійним витіканням, як і весь інший бізнес. Якщо раніше респонденти просто заявляли, що у них немає витоків, не засновуючи свою думку на будь-яких логічних доводах, то тепер ця впевненість випарувалася. Багато з тих респондентів, які входять до 13,7%, які відповіли «Ні одног витоку не було», вже встановили комплексні системи внутрішньої ІБ.

Нормативне регулювання

Вперше в історії російських досліджень аналітичний центр Info Watch включив в анкету питання, що стосуються нормативного регулювання у сфері ІБ. Як виявилося (мал.1.11), переважна більшість респондентів (72,1%) не помітили зміни тиску з боку наглядових органів або держави, а ще 3,1% повідомили, що тиск або стало значно менше, або зменшилася незначно.

Тим не менш певний інтерес представляють майже 25% організацій, що зафіксували зростаючий нормативний тиск. Серед них 19% вважають, що вимоги наглядових органів стали жорсткіше, але не сильно, а ще 5,8% вважають, що тиск держави зріс суттєво.

Додатковий аналіз групи респондентів, що відносяться до цих 25%, показав, що дані організації є або банками, або представниками сектору телекомунікацій. Причому поглиблене інтерв’ювання показало, що фінансові компанії під нормативним регулюванням увазі угоду Basel II і стандарт Банку Росії по ІБ, а телекоми — закон «Про персональні дані» і «Базовий рівень ІБ». Таким чином, певна стурбованість цими нормативними ініціативами в банківській і телекомунікаційній сферах присутній.

Засоби захисту

Серед найбільш популярних засобів ІБ за останній рік не відбулося значних змін (мал. 1.12). Як і раніше пальму першості тримають антивіруси (98,6%), міжмережні екрани (73,9%) та контроль доступу (50,8%). Відразу відзначимо, що невелике зниження індексу використання антивірусних засобів (з 100 до 98,6%) було неминуче внаслідок суттєвого розширення бази респондентів. У той же час на четвертому місці виявилися програми захисту від спаму, які за 2006 р. додали 13,5% і досягли позначки 30,5%. Далі в рейтингу найбільш популярних засобів ІБ знаходяться системи виявлення та запобігання вторгнень (23%) і системи захисту від витоків (10,5%). Останній факт необхідно відзначити окремо, так як кошти внутрішньої ІБ вперше випередили популярну технологію VPN (7,5%). Зауважимо, що в опитувальному аркуші спеціально не уточнювалося, які саме засоби захисту від витоків використовують в компаніях респондентів, так що в цей пункт увійшли найрізноманітніші заходи: фільтри вихідного поштового трафіку та Інтернету, комплексний контроль над робочими станціями, блокування USB і інших портів, моніторинг виводу на друк документів і т. д.

Таким чином, використання засобів захисту від витоків всього за один рік зросла практично в п’ять разів: з 2 до 10,5%. Можна зробити висновок, що починають збуватися прогнози, отримані ще в дослідженні «Внутрішні ІТ-загрози в Росії — 2004». Так, близько 80% респондентів у 2004 і 2005 рр. планували впроваджувати системи захисту від витоку в найближчі два-три роки. На підставі цих даних аналітичний центр Info Watch ще три роки тому прогнозував вибухове зростання ринку внутрішньої ІБ, що зараз і відбувається. Наприклад, компанія Info Watch, за результатами 2006 р., збільшила кількість своїх клієнтів у три рази, а оборот в два рази. Більш того, топ-менеджмент фірми відзначає зростаючий інтерес до систем захисту від витоків з боку провідних системних інтеграторів та представників в тому числі середнього бізнесу.

Зате рівень проникнення в 10,5% не можна вважати задовільним на тлі тієї загрози, яку становлять собою внутрішні порушники і витоки конфіденційної інформації. Протягом двох років аналітичний центр Info Watch опитував респондентів щодо перешкод на шляху впровадження системи захисту від витоків. У результаті переважна кількість учасників опитування затруднялась відповісти. Експерти Info Watch списували це на психологічну неготовність російського бізнесу до боротьби з інсайдерами. Слід зазначити, що цей висновок знайшов своє підтвердження в дослідженні, проведеному в 2006 р. (мал. 1.13).

Отже, найбільш складною перешкодою на шляху впровадження захисту від витоку є психологічна неготовність (25,4%). За нею слідують бюджетні обмеження (20,6%), нестача кваліфікованого персоналу (17,5%), відсутність технологічних рішень (14,8%) та стандартів (12,2%).

У порівнянні з результатами 2005 р. слід відзначити ряд нових тенденцій. По-перше, у 2006 р. тільки 5,7% не змогли відповісти на запитання. У 2005 р. цей показник був на рівні 18%. Таким чином, за 12 місяців респонденти як мінімум звернули свою увагу на проблему внутрішньої ІБ і вивчили перешкоди на шляху реалізації ефективних заходів протидії. По-друге, частка організацій, що вказали на «відсутність технологічних рішень», знизилася за 2006 р. з 29 до 14,8%, а за 2004-2005 рр.. взагалі на 43,2% (з 58 до 14,8%). Обидва цих досягнення слід записати на рахунок грамотного інформування бізнес-співтовариства засобами масової інформації, а також ефективної просвітницької політиці постачальників.

Між тим якщо говорити про брак персоналу та бюджетних обмеженнях, то за 2005 р. суттєвих змін у цих показниках не відбувалося. Таким чином, респонденти, як і раніше виявляються психологічно не готовими до впровадження ефективних рішень для захисту від внутрішніх порушників. Тим не менш вже досягнутий рівень проникнення в 10,5% являє собою позитивну динаміку.

На наступному етапі аналітичний центр Info Watch запропонував респондентам визначити найбільш ефективні шляхи захисту від витоків (мал. 1.14). Мова тут йде про ті рішення, які представляються організаціям найбільш адекватними та прийнятними для вирішення проблеми внутрішньої ІБ, але з ряду причин (див. вище) не використовуваних респондентами на практиці.

Найбільш ефективним засобом є комплексні інформаційні продукти (44,8%). Цей захід лідирує ось вже впродовж трьох років, тому можна сміливо стверджувати, що саме в цьому напрямку буде відбуватися найбільше зростання ринку внутрішньої ІБ в найближчі роки.

Далі йдуть організаційні заходи (25,3%), тренінги персоналу (21,6%) та обмеження зв’язку із зовнішніми мережами (18,1%). Таким чином, можна розраховувати, що після подолання психологічних перешкод і бюджетних обмежень (рис. 11.15) фінансові ресурси, що виділяються на захист від витоків, будуть розподілятися як раз в цих частках. Однак найбільша частина бюджету доведеться на комплексні продукти на основі ІТ.

Цей висновок побічно підтверджують результати відповідей на питання, в якому аналітичний центр Info Watch запропонував респондентам визначити свої плани на два-три роки. Згідно з розподілом відповідей (див. Мал. 1.15), дев’ять з десяти (89,9%) організацій планують впровадити за три роки ту чи іншу систему захисту від витоків.

Найбільшою увагою респондентів користуються комплексні рішення (32,8%), засоби моніторингу інтернет-трафіку (23,9%) та системи моніторингу робочих станцій (18,6%). Замикає ланцюжок лідерів система моніторингу електронної пошти (14,6%). Її відставання можна пояснити тим, що частина організацій вже використовує фільтри вихідних повідомлень.

Відкрите питання

На закінчення дослідження респондентам було запропоновано просто прокоментувати проблему внутрішніх порушників і висловити свою думку. Виявилося, багато респондентів вважають, що внутрішні порушення практично завжди є наслідком людського фактора: халатності і безладності. Іншими словами, лише кілька російських організацій стикалися у своїй практиці з інсайдерами, діючими навмисне, — набагато частіше службовці допускають помилки через незнання. Саме тому більшість респондентів вважають, що технічні рішення (продукти на основі ІТ) здатні ефективно протистояти внутрішнім порушень. Адже досить просто блокувати пересилку конфіденційного повідомлення і вислати повідомлення відправнику, щоб тим самим підвищити грамотність цього службовця і показати, що він здійснює заборонену дію. Таким чином, в наступному році аналітичний центр InfoWatch планує включити в анкету питання, пов’язані з мотивами дій тих інсайдерів, яких компаніям уже вдавалося виявляти у своїй практиці.

У той же час у респондентів практично не спостерігалося ставлення до проблеми витоків як до неминучого зла. У 2004-му і 2005 рр.. багато організацій навіть не знали, що можна зробити для забезпечення внутрішньої ІБ. У 2006 р. ситуація кардинально змінилася — респонденти ясно розуміють, що витік  можна зупинити тому концентрують свою увагу на шляхах вирішення проблеми. «Якщо раніше ми могли просто заявити керівництву, що ніхто не знає, як боротися з витоками, то тепер питання стоїть зовсім інакше. «Дайте нам кошти, і ми перекриємо витоки!»- прокоментував у фіналі інтерв’ю один з респондентів.

В цілому, опитані фахівці та начальники відділів визнають, що вище керівництво починає прислухатися до їхніх аргументів і виділяти кошти на реалізацію комплексних проектів по захисту від внутрішніх загроз. Про повноцінне подолання психологічної неготовності ще мови не йде, але позитивна динаміка в наявності.

Найбільшу стурбованість респондентів викликають крадіжка конфіденційної інформації і недбалість співробітників, але тепер в цей ряд ще додався інформаційний саботаж. Порівняння індексів стурбованості внутрішніми і зовнішніми загрозами ІБ показує, що саме інсайдерські ризики превалюють у списку найбільш небезпечних загроз. Більш того, найбільший рейтинг небезпеки припадає на витік конфіденційної інформації. Як показало дослідження, респонденти дуже добре інформовані про негативні наслідки цих інцидентів: прямих і непрямих фінансових збитках, довгостроковому збиток для репутації, втрати клієнтів і труднощі в залученні нових.

Якщо говорити про запобігання витоків, то помітна позитивна динаміка. Кожна десята організація вже використовує ті чи інші засоби захисту, хоча про по-справжньому масовому впровадженні можна говорити в перспективі тільки трьох років. Що ж заважає бізнесу і держструктурам почати впроваджувати захист від витоків прямо зараз?

Виявляється, респонденти психологічно не готові піти на такий крок. Правда, дев’ять з десяти планують встановити системи внутрішньої ІБ вже в найближчі 2-3 роки. Таким чином, тенденція очевидна, причому якщо в 2005 р. можна було говорити про її малих темпах, то за підсумками 2006 р. темпи вже вражають: кількість респондентів, що впровадили продукти на основі ІТ, зросло на 500%.

2  ДОСЛІДЖЕННЯ ОСНОВНИХ ЗАХОДІВ ЗАПОБІГАННЯ ВИТОКУ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ ПІДПРИЄМСТВА 

2.1 Методи оцінки ефективності у сфері захисту інформації від витоків

З попереднього розділу зрозуміло, що найбільшою загрозою ІБ є витік конфіденційної інформації. Тепер зупинимося на тому, якого масштабу можуть досягати збитки внаслідок такого інциденту. Виявляється, що навіть у самих скромних випадках рахунок йде на сотні тисяч і мільйони доларів. Далі ми узагальнимо результати останніх досліджень, розкриємо масштаби і структуру шкоди, завданої крадіжкою даних. Наведені викладки допоможуть читачеві скласти правильну думку про загрозу витоку конфіденційної інформації і тим самим прийняти адекватні заходи безпеки.

Сьогодні від витоків конфіденційної інформації страждають усі. І великі корпорації і маленькі фірми. Дивно, але керівники надзвичайно спокійно реагують на пряму загрозу своєму бізнесу. Навіть коли відповідальні за безпеку співробітники попереджають про те, що важливі дані можуть ось-ось «відвести», начальство все одно продовжує бездіяльність. Вважається, що втрата декількох жалюгідних, нікому не потрібних документів не заподіє значної шкоди. Однак не варто спокушатися. Треба просто глянути в очі фактам, звернути увагу на цифри. Сотні тисяч і навіть мільйони доларів збитку — це зовсім не рідкість.

Згідно з дослідженням National Survey on Managing the Insider Threats, в ході якого організація Ponemon Institute опитала 450 експертів з ІТ-безпеки, 89% респондентів вважають атаки інсайдерів є найбільш серйозною загрозою. Однак тільки 50% керівників компаній згодні зі своїми підлеглими і визнають значимість внутрішніх загроз. А між тим, згідно з дослідженням 2005 FBI Computer Crime Survey, 44% компаній протягом року постраждали від інсайдерських інцидентів, витоку або спотворення даних. За відомостями The Global State of Information Security — 2005, з вини інсайдерів відбувається близько 60% від загального числа інцидентів ІТ-безпеки, причому середній збиток від інсайдерських атак, за даними ФБР, становить $ 355 тис. Однак усі ці цифри більшою мірою відносяться до 2005р. Розібратися ж із тим, як ішла справа в 2006 р., нам допоможе дослідження 2006 Annual Study: Cost of a Data Breach, в ході якого були проаналізовані фінансові збитки 31 компанії, що постраждала від витоку. Звернемося тепер до основних результатами дослідження.

Ключові висновки дослідження

Керівники багатьох організацій досить скептично ставляться до проблеми захисту конфіденційної інформації, що знаходиться у їх віданні. Однак багатомільйонні (в середньому $ 4,8 млн) збитки внаслідок витоків змушують топ-менеджмент відкрити очі на справжній стан справ.

Ще одною помилкою керівників є впевненість, що найбільша небезпека виходить ззовні. В дійсності власні працівники, партнери, постачальники і контрактники набагато небезпечніше. На них припадає 71% інцидентів (проти 29% з боку зовнішніх загроз). Правда, як вважають експерти Info Watch, від інсайдерів цілком можна захиститися, зберігши свою репутацію і попередивши величезні збитки. Спеціалізовані засоби запобігання витоків дозволяють автоматично закрити всі канали витоку, мінімізувати людський фактор і запротоколювати всі дії інсайдерів з конфіденційною інформацією. Вартість такого роду рішень (в середньому $ 300 тис.) на кілька порядків менше прогнозованих збитків внаслідок витоку.

Далі, хоча заходами щодо захисту інформації управляють в основному ІТ-підрозділи, наслідки крадіжок лягають важким тягарем на всі департаменти компанії. При цьому треба відзначити, що вся відповідальність за витік даних не повинна покладатися на одних лише ІТ-шпигунів — тільки комплексний підхід допоможе запобігти втратам. Нарешті, погіршення репутації компанії, на думку аналітичного центру Info Watch, є одним з найбільш важких наслідків інсайдерських атак, навіть на тлі величезних витрат на ліквідацію наслідків витоку і відшкодування шкоди потерпілим. Час показує, що зіпсована репутація серйозно підриває весь бізнес організації.

Які галузі потерпають від витоків

Захист інформації в останні роки приділяється чимало уваги. Однак багато напрямків досі залишаються в деякому роді обділеними. Так, зокрема, йде справа з внутрішніми загрозами. Атаки хакерів, спам, віруси та інші зовнішні напасті вже досить непогано вивчені, проти них використовують спеціально призначені засоби. А запобіжні заходи від неохайності власних працівників ще не відпрацьовані досить добре.

Дослідження 2006 Annual Study: Cost of a Data Breach одночасно показує граничні витрати компаній, постраждалих від витоків конфіденційних даних і втрати клієнтської бази. Найбільші збитки припадають на безпосередні витрати на ліквідацію наслідків, і вони дійсно дуже великі. Однак у перспективі збиток від шкоди репутації компанії може бути несумірно більше. Звернемося до даних табл. 2.1.У дослідженні взяло участь відносно невелика кількість компаній. І навіть у цій вибірці відмінно простежується тенденція до збільшення внутрішніх загроз: 71% внутрішніх інцидентів проти 29% зовнішніх не залишає в цьому жодного сумніву. Особливо добре це помітно для перших двох галузей (див. таблицю 2.1): для сфери фінансових послуг на один зовнішній інцидент доводиться до чотирьох внутрішніх. А для роздрібної та електронної торгівлі співвідношення взагалі 7:0 на користь інсайдерів. Можна нітрохи не сумніватися, що, будь статистика багатша, подібні співвідношення виявилися б справедливими і для інших областей. При одиночних же випадках цілком природний зазначений у таблиці розклад.

Щодо грошових втрат можна припустити, що, скажімо, в автомобільній індустрії збитки в середньому будуть більше, ніж в області фінансових послуг або охороні здоров’я. Але великі збитки і труднощі відбудови будуть чекати підприємства в будь-якій сфері діяльності.

Масштаб і структура збитків

Однією з причин того, що керівники нехтують проблемою захисту від внутрішніх загроз, є недооцінка збитку. Озброївшись цифрами практичного дослідження, неважко показати помилковість цієї думки. Підсумувавши всі збитки 31 компанії, отримаємо майже неймовірне значення $ 148 млн, тобто в середньому $ 4,8 млн на компанію. Якщо не усереднювати, то збиток лежить у межах від $ 226 тис. до $ 22 млн: навіть найменше з них — величезна сума майже в чверть мільйона.

Таблиця 2.1. Кількість досліджених витоків по галузях

Сфера  діяльності Кількість витоків
Всього Внутрішніх Зовнішніх
Роздрібна та інтернет-торгівля 7 7 0
Фінансові послуги 5 4 1
Апаратне і програмне забезпечення 3 1 2
Аутсорсинг 3 2 1
Охорона здоров’я 2 1 1
Фармацевтика 2 2 0
Страхування 1 0 1
Готельний бізнес 1 0 1
Авіалінії 1 1 0
Освіта 1 1 0
Телекомунікації 1 0 1
Комунальні послуги 1 1 0
Автоіндустрія 1 1 0
Інше 2 1 1
ВСЬОГО 31(100%) 22(71%) 9 (29 %)

Звернемося тепер до абсолютним значенням, що характеризує масштаб витоків. Досліджуючи інциденти, можна зробити висновок, що внаслідок крадіжки персональних даних до рук зловмисників потрапили приватні записи від 2,5 тис. до 263 тис. чоловік з кожної постраждалої організації. У середньому з розрахунку на одну фірму — 26,3 тис. записів, а сумарно це будуть персональні дані майже 815 тис. громадян. Таким чином, легко обчислити середні збитки організації на кожну «витекли» приватну запис — це $ 182. Невже, маючи по 182 «зайвих» долара на кожну картку, не можна було їх надійно захистити? Звичайно ж, можна! Причому обійдеться подібне рішення набагато дешевше, а служити буде ще не один рік. У даному випадку в наявності невдала спроба економії — абсолютно необгрунтована і нерозумна. Економити на власній безпеці означає повільно вбивати свій бізнес, вважають фахівці Info Watch.

Розберемо коротко структуру збитків. Прямі витрати (виплати готівкою, незаплановані витрати на адвокатів, поштові та телефонні повідомлення, зменшення вартості продукції й послуг) склали по $ 54 на запис, або $ 1,4 млн на компанію. Це на 8% більше, ніж було в 2005 р. Наведемо розклад прямих витрат (таблиця 2.2).

Таблиця 12.2. Прямі середні витрати на кожну втрачену запис

Стаття витрат Витрати, $
Безкоштовні послуги і підтримка 24
Повідомлення поштою, телефоном, інтернетом і або

ЗМІ

13
Послуги по найму адвокатів 7
Судові витрати, аудит, бухгалтерія 4
Витрати на call-центри 3
Зв’язки з пресою та інвесторами 1
Внутрішні розслідування 1

Непрямі загальновиробничі витрати через зниження продуктивності праці співробітників вилилися в $ 30 на загублену запис, або $ 800 тис. на компанію. Іншими словами, зареєстрований 100%-ве зростання у порівнянні з 2005 р.

Звернемося тепер до упущеної вигоди, тобто того прибутку, який компанія недоотримала внаслідок завданої марці шкоди, втрати були клієнтів і виникнення труднощів у залученні нових. Згідно з дослідженням 2006 Annual Study: Cost of a Data Breach, середня упущена вигода склала $ 98 на одну приватну запис, або $ 2,6 млн на компанію. Це на 31% більше показника 2005 р.

Уявімо вищеперелічені цифри у вигляді діаграми (мал. 2.1).

Загальні витрати на одну компанію склали $ 4,8 млн. Якщо звернутися до дослідження CSI / FBI Computer Crime Security Survey — 2005, то виникає питання: чому так різняться результати, адже там середній збиток від витоку в розрахунку на одну компанію становив усього $ 355 тис. ? На перший погляд, подібну розбіжність обумовлено меншою вибіркою і відповідно більшою похибкою. Однак таку ж велику різницю в результатах показує і інше дослідження — National Survey on Managing the Insider Threats. Опитування проводилося в американських компаніях серед більш ніж 450 фахівців з ІТ-безпеки. Середні втрати від атак інсайдерів у розрахунку на одну компанію склали $ 3,4 млн. Якщо і ця цифра здається непереконливою, то зміцнити впевненість у великих втратах цілком можуть фахівці з Deloitte. Вони вивчили стан справ у сфері найбільших банків і страхових компаній і отримали дані, що більш ніж 70% витоків призводять до збитків не менше $ 1 млн.

Представлені відомості аж ніяк не голослівні. Це все факти, сумний результат недогляду за конфіденційними даними. Випадки і показники взяті з життя, а не виведені теоретично.

Ще раз відзначимо, що наведені цифри — це лише безпосередні витрати на ліквідацію наслідків витоку. Насправді вони можуть бути набагато більше. З упевненістю можна сказати, що в далекій перспективі збиток бренду напевно обернеться значними втратами, можливо навіть більшими, ніж поточні витрати.

Наслідки витоків

У ході дослідження автори провели опитування серед населення. З’ясувалося, що близько 12% з 9 тис. опитаних громадян отримали повідомлення про втрату їх персональної інформації. Таким чином, можна припустити, що крадіжка особистості торкнулася близько 23 млн повнолітніх американців. Це дуже значна цифра. Не дивно, що люди вкрай негативно поставилися до витоку власних даних. Без малого дві третини постраждалих або вже розірвали стосунки зі скомпрометували себе компаніями, або планують це зробити найближчим часом. Ще 27% стурбовані крадіжкою особистості. Нарешті, лише 14% респондентів не виявили заклопотаності у зв’язку з інцидентами (рисунок 2.2).

На думку експертів Info Watch, остання цифра була б значно менше, якби всі громадяни усвідомлювали можливі наслідки витоків. Тому що неможливо залишатися безтурботним, коли зловмисники можуть використовувати твої дані для великих, у тому числі фінансових, махінацій.

Втрата клієнтської бази тягне за собою не тільки прямі витрати і втрату втраченого прибутку. Негативне ставлення з боку користувачів буде переслідувати фірму на протязі тривалого часу. Які пішли клієнти створять недружнє ставлення і з боку потенційних користувачів. На думку аналітичного центру Info Watch, організаціям буде дуже непросто відновити довіру громадян.

Цікаві висновки напрошуються після розгляду наступних двох діаграм. На першій (мал.2.3) представлений розклад, на які підрозділи припадають найбільші витрати при відшкодуванні збитку від витоків, а на другий (мал. 2.4) показано ступінь відповідальності за втрату конфіденційної інформації. З одного боку, ми бачимо, що співробітники ІТ-підрозділів несуть найбільшу відповідальність (всього більше половини: 20% ІТ-безпека та 33% ІТ-виконавці) за витік даних. Це й зрозуміло, адже саме вони найбільш обізнані про електронні загрози і саме на них покладені завдання збереження інформації. Однак, з іншого боку, ІТ-служби не несуть ніяких витрат при відшкодуванні збитку. Вся тяжкість наслідків лягає на відділи маркетингу (55%), служби підтримки клієнтів (34%), а також підрозділи аудиту та управління ризиками (11%). Крім того, відзначимо, що нерідко у крадіжці даних винні співробітники відразу декількох секторів (майже третина в опитуванні).

Разом з тим навантаження на ІТ-відділи повинна рішуче збільшитися після випадків втрати інформації. До інциденту відповідальні особи і керівництво ще можуть живити деякі ілюзії з приводу збитків від інсайдерських атак, але, підрахувавши реальний збиток, вони повинні негайно закрити виявлені проломи. На думку аналітичного центру Info Watch, витрати на систему захисту від витоків і інсайдерів окупляться після першого ж попередженого інциденту. А як показує практика використання такого роду рішень у великих російських компаніях щомісяця з вини службовців відбувається мінімум один серйозний витік інформації. Цю думку цілком підтверджують цифри дослідження 2006 Annual Study: Cost of a Data Breach. На нові заходи захисту після інцидентів було направлено менше 4% від сумарного збитку: всього $ 180 тис. на 31 компанію. У порівнянні з $ 4,8 млн це просто мізерна сума.

Витрати крок за кроком

Розглянемо більш докладно структуру втрат при ліквідації наслідків витоку інформації. Цифри в табл. 2.3 є хоч і опосередкованими, але абсолютними значеннями збитку в результаті витоку персональних даних всього однієї людини. Тому легко можна простежити всі етапи, які проходить організація, виконуючи необхідні за законом заходи і намагаючись відновити своє реноме.

Таблиця 2.3. Середні витрати на відшкодування збитку витоків на кожен запис, $

Міроприємства Прямі витрати Збитки від втрати продуктивності Втрачений прибуток Всього
Виявлення та вивчення інциденту 5,76 5,51   11,28
Внутрішнє розслідування 1,38 4,10   5,48
Правові, аудиторські та консультаційні послуги 4,38 1,41   5,80
Сповіщення 13,03 12,16 25,19
Поштою 5,30 1Д1   6,41
Єлектронними листами 0,34 0,53   0,86
По телефону 7,30 10,47   17,76
Через друковані видання 0,03     0,03
По веб-сайтах 0,06 0,06   0,12
Подальші заходи 35,42 11,97 47,39
Пошта 0,13 0,10   0,23
Єлектронні лист 0,15 0,86   1,00
Дзвінки на внутрішній call-центр 1,88 3,28   5,16
Дзвінки на зовнішні call-центри 1,40 4,62   6,03
Послуги адвокатів 5,51 1Д2   6,63
Судові розслідування 1,38 1,10   2,48
Спілкування з прессою та інвесторами 1,16 0,89   2,05
Безкоштовні послуги 23,80     23,80
Збиток бренду     98,32 98,32
Втрата лояльних клієнтів     4,70 4,70
Втрата клієнтів     93,62 93,62
Сума витрат на компенсацію витоку 54,22 27,96 98,32 182,17
Подальші витрати на ІТ 6,85     6,85

Слід звернути увагу на те, які великі витрати потрібні навіть на елементарне повідомлення клієнта про втрату його персональних даних. До речі, за американським законодавством це потрібно робити обов’язково. Було б добре, щоб подібне положення було задіяне і в Україні. У такому випадку громадянин зможе зробити хоч якісь кроки, щоб застрахувати себе від маніпуляцій шахраїв.Найдорожчими виходять телефонні дзвінки (по $ 17,76 на запис), трохи відстають від них поштові повідомлення ($ 6,41). А ось способи, засновані на сучасних технологіях, виявляються дуже дешевими. Електронні листи коштують всього $ 0,86, а використання інтернет-сайтів і зовсім — $ 0,12. Сумарно на сповіщення клієнта йде $ 25,19. Це досить багато в порівнянні з витратами на внутрішнє розслідування інциденту ($ 11,28): власне на розслідування — $ 5,48 і правові, аудиторські та консультаційні послуги — $ 5,80. Суму витрат на повідомлення та розслідування перевищують витрати на ліквідацію наслідків. Це значна цифра $ 47,39 на обліковий запис, що складається переважно з безкоштовних послуг клієнтам ($ 23,80), телефонних дзвінків (в сумі $ 11,19) і послуг адвокатів ($ 6,63). Інші складові значно менше.

Однак всі перераховані статті, разом узяті, поступаються перспективним збиткам в $ 98,32 від збитку втрати репутації. Більшу частину тут становить втрата поточних користувачів ($ 93,62).Останній рядок табл. 2.3 — вже згадувані витрати ІТ-підрозділів на зміцнення захисту від витоків. Вельми скромні $ 6,85 на запис — це майже в три рази менше витрат на телефонне повідомлення клієнтів.

Інсайдерські атаки можуть приймати самі різні форми. Крадіжка інтелектуальної власності, розкриття корпоративної таємниці, шахрайство і здирство, зупинка діяльності організації і крадіжка особистості — все це як дамоклів меч висить над будь-якою сучасною компанією. Причому для західних підприємств найбільш неприємним може стати крадіжка особистості постраждалих громадян зі всіма витікаючими звідси додатковими витратами для компанії, яка допустила витік. Для російських організацій ситуація дещо інша. На думку аналітичного центру Info Watch, найбільші втрати в результаті витоку виникають через погіршення іміджу вітчизняної компанії та втрати лояльних клієнтів.

Як бачимо, проблема витоку персональних та інших конфіденційних даних стоїть надзвичайно гостро. Майже половина (44%) всіх організацій страждає від внутрішніх крадіжок хоча б раз на рік. Якщо взяти період в декілька років, то цифра буде набагато вище. Таким чином, можна сказати, що питання актуальне для всіх організацій, що мають інформацію не для широкого кола.На основі даних дослідження можна спрогнозувати потенційні збитки в разі витоку інформації. Беручи до уваги наявні цифри, легко порівняти вартість пропонованих на ринку рішень щодо захисту інформації та збитки при ліквідації наслідків. Очевидно, що попередити інцидент буде набагато вигідніше, ніж дозволяти його наслідки. Навіть якщо компанія понесе не п’ятимільйонні витрати, а, приміром, «всього» п’ятисоттисячні.

На ринку вже зараз доступні спеціалізовані рішення, здатні захистити конфіденційну інформацію та запобігти інсайдерські атаки. Пропоновані продукти досить гнучкі, так що їх можна легко підстроїти під корпоративні вимоги і стандарти. Крім того, централізоване управління і автоматичний контроль забезпечують високу ефективність роботи навіть при гігантських обсягах трафіку, що проходить через поштові та веб-сервери. Нарешті, існуючі рішення дозволяють забезпечити контроль контролера, тобто не залишають в системі суперкористувача, чиї дії ніким не контролюються. Експерти компанії Info Watch зазначають, що така характеристика винятково важлива.Незважаючи на всю очевидність даних висновків, нові повідомлення про витоки приходять щодня. І будуть приходити, поки організації не турбуватимуться придбанням досконалих засобів захисту. Ще раз нагадаємо про витік персональних даних з Міністерства у справах ветеранів у США. Орієнтовний збиток в $ 25 млрд потряс уми громадськості. Якщо в минулі роки дуже гостро стояло питання про нейтралізації зовнішніх загроз, атак хакерів, засилля спаму і вірусів, то в даний час не менш важливо припинити внутрішні витоки. Кілька років знадобилося, щоб розробники створили ефективні засоби, міжмережеві екрани, антивіруси та інші фільтри, а користувачі застосували їх належним чином. Ось і зараз бізнесу і державним установам необхідно точно так само направити свої сили на боротьбу з інсайдерами. А комплекси протидії вже представлені і апробовані. Так, зараз їх вартість досить висока, але спроби обійтися навряд чи будуть обгрунтованими. Навпаки, витратившись на сучасну систему, розроблену професіоналами в області захисту інформації, підприємство зможе заощадити значні кошти. Ці системи побудовані з урахуванням досвіду безлічі попередніх інцидентів. Вони зможуть надійно захистити всю корпоративну мережу і комунікації з партнерами. Функціонувати подібні засоби захисту будуть не один рік, і скільки грошей дозволять заощадити, можна оцінити по цифрам, в тому числі наведеним у цьому розділі.

Ще одна величезна, насамперед економічна вигода буде досягнута при збереженні репутації компанії, тому що збитки від зниження привабливості марки в довгостроковій перспективі представляються навіть більш солідними, ніж невідкладні витрати на сповіщення, супровід і компенсацію збитку користувачам і партнерам, розслідування і штрафи.

Норми безпеки настійно вимагають застосування особливих технічних засобів захисту інформації. Однак левова частка компаній такі рішення ще не впровадила. І навпаки, підприємств, що піклуються про засоби комплексного захисту, налічується всього близько 10%.В середньому витрати на кожний випадок витоку інформації виливаються в $ 4,8 млн. Проте їх легко уникнути. Експерти Info Watch рекомендують використовувати сучасні системи захисту від витоків та інсайдерів. І не потрібно додаткових досліджень, щоб зрозуміти — попередження внутрішньої крадіжки або псування інформації набагато вигідніше економічно, ніж усунення наслідків інцидентів.

2.2 Основні напрямки захисту

Оскільки потенційними викрадачами інформації є всі співробітники, що мають до неї доступ, методи захисту плануються таким чином, щоб дотримати баланс доступності інформації для легального використання та захищеності її від витоку. Традиційний вибір між доступністю і безпекою кожною компанією робиться в залежності від рівня параної в корпорації.

Захист документів

Це сама розроблена область захисту електронної інформації від внутрішніх загроз. За зразок бізнес-процесу захисту електронного документа взято методи роботи з паперовими документами, які описують, як створюється документ, як змінюється, як зберігається і як знищується. Частина функцій контролю життєвого циклу електронного документа автоматизована, частина залишилася незмінною з минулих століть. Також в цій області активно використовується шифрування документів і використання спеціальних форматів файлів, що забороняють їх збереження в іншому форматі, редагування та копіювання вмісту файлів в буфер Windows.

Захист каналів витоку

Цей вид захисту електронних документів також має аналог у минулому. У всякому разі, поки не навчилися копіювати інформацію безпосередньо в мозок людини, контроль виносу з території компанії фізичних носіїв залишається одним з найефективніших. У багатьох компаніях вже не можна входити на територію із стільниковими телефонами і фотоапаратами. Мініатюризація носіїв інформації і вбудовування флеш-пам’яті в годинники, плеєри роблять такий контроль все менш ефективним. Тому найбільш ефективний захист документів даним способом — контроль копіювання інформації «до» того, як вона буде скопійована.

Моніторинг (аудит) дій користувачів

Для внутрішньої безпеки важливо не тільки те, хто отримав доступ до документа, але і що цей користувач робить з документом. Різні користувачі можуть використовувати один і той же документ по-різному. Хтось може редагувати документ, хтось тільки читати і т.д. Для внутрішньої безпеки особливо важливо контролювати ті дії, які можуть привести до витоку. Це три групи дій — переміщення документа, як єдиного цілого, копіювання інформації з нього і його зміна з метою обдурити стежать. До першої групи відносяться копіювання файлу на змінні носії, відправлення поштою, публікацію в Інтернет, друк. До другої — копіювання інформації з документа в буфер Windows, копіювання тимчасового файлу Windows і т.п. До третьої групи — перейменування файлу або його розширення, збереження файлу під іншим ім’ям, збереження в іншому форматі, архівування, кодування і шифрування.

Неприпустима для цього користувача операція з конфіденційним файлом в залежності від методу контролю повинна або блокуватися, або інформація про цю операцію повинна надходити до офіцера безпеки. У другому випадку система внутрішньої безпеки може бути налаштована так, щоб користувач або його керівник дізнавався про те, що він намагається здійснити заборонену операцію, або, щоб ця інформація залишалася доступною тільки офіцерові інформаційної безпеки.

2.3 Класифікація внутрішніх порушників

Співробітники, що допускають витік конфіденційної інформації, будучи допущеними до неї, класифікуються за кількома критеріями — зловмисні чи халатні, що ставлять цілі собі самі або діючі на замовлення, що полюють за конкретною інформацією або виносять все, до чого мають доступ. Правильно класифікувавши потенційного порушника, співробітники підрозділу інформаційної безпеки компанії можуть спрогнозувати поведінку порушника при неможливості здійснення спроби передачі інформації. Крім того, розглядаючи засоби захисту, завжди треба мати на увазі, проти яких порушників ці кошти дієві, а проти яких — ні.

Ми поділяємо порушників на п’ять основних видів — необережні, маніпульовані, саботажники, нелояльні і мотивуються ззовні. Розглянемо кожен вид і їх підвиди докладніше.

Таблиця 2.4 — Екосистема внутрішніх порушників

Тип Умисел Користь Постановка задачі Дії при неможливості
Недбалий Ні Ні Ні Повідомлення
Маніпульований Ні Ні Ні Повідомлення
Ображений Так Ні Сам Відмова
Нелояльний Так Ні Сам Імітація
Підробляючий Так Так Сам\ Ззовні Відмова\ Імітація

\ Злом

Запроваджений Так Так Сам\ Ззовні Злом

Необережні

В інших джерелах також зустрічається назва «халатні». Ці співробітники створюють незловмисні ненаправлені загрози, тобто вони порушують правила зберігання конфіденційної інформації, діючи з кращих спонукань. Найчастіші інциденти з такими порушниками — винос інформації з офісу для роботи з нею вдома, у відрядженні і т. д., з подальшою втратою носія або доступом членів сім’ї до цієї інформації. Незважаючи на добрі наміри, збиток від таких витоків може бути нітрохи не менше, ніж від промислових шпигунів. Зіткнувшись з неможливістю здійснити копіювання інформації, цей тип порушників буде діяти за інструкцією — звернеться за допомогою до колег або системного адміністратора, які пояснять йому, що винос цієї інформації за межі офісу заборонений. Тому проти таких порушників дієвими є прості технічні засоби запобігання каналів витоку — контентна фільтрація вихідного трафіка в поєднанні з менеджерами пристроїв введення-виведення.

Маніпульовані

Останніми роками термін «соціальна інженерія» найчастіше використовується для опису різних типів шахрайства в Мережі. Однак маніпуляції використовуються не тільки для одержання обманним шляхом персональної інформації користувачів — паролів, персональних ідентифікаційних номерів, реквізитів кредитних карт і адрес. Відомий екс-хакер Кевін Митник вважає, що саме соціальна інженерія сьогодні є «бичем» інформаційних систем. Приклади, які наводить Митник у своїй книзі «Мистецтво обману», показують, наприклад, що «добросовісна» секретарка може на прохання зловмисника «для надійності» продублювати поштове повідомлення, що містить конфіденційну інформацію, на відкриту поштову скриньку. Таким чином може бути здійснена витік. Іншим прикладом маніпулювання співробітниками може служити співробітник, начальник якого є зловмисником і віддає цьому співробітникові злочинні накази відправити в неналежне місце конфіденційну інформацію. І в тому і в іншому випадку співробітники, наткнувшись на неможливість зробити необхідну маніпуляцію, звернуться до служби підтримки. Оскільки маніпульовані і необережні співробітники діють зі свого розуміння «блага» компанії (виправдовуючись тим, що іноді заради цього блага потрібно порушити дурні інструкції, які тільки заважають ефективно працювати), два типи цих порушників іноді об’єднують в тип «незлонамеренних». Як вже говорилося вище, збиток не залежить від намірів, зате від намірів залежить поведінка порушника в разі неможливості здійснити свою дію. Як лояльні співробітники, ці порушники, зіткнувшись з технічним блокуванням їх спроб порушити регламенти зберігання і руху інформації, звернуться за допомогою до колег, технічному персоналу або керівництву, які можуть вказати їм на неприпустимість планованих дій. Наступна група порушників — зловмисні, тобто на відміну від співробітників, описаних вище, які усвідомлюють, що своїми діями вони завдають шкоди компанії, в якій працюють. За мотивами ворожих дій, які дозволяють прогнозувати їхню поведінку, вони поділяються на три типи — саботажники, нелояльні і мотивуватися ззовні.

Саботажники

Саботажники (в інших джерелах — скривджені співробітники) — це співробітники, які прагнуть завдати шкоди компанії через особисті мотиви. Найчастіше мотивом такої поведінки може бути образа через недостатню оцінку їх ролі в компанії — недостатній розмір матеріальної компенсації, неналежне місце в корпоративній ієрархії, відсутність елементів моральної мотивації або відмову у виділенні корпоративних статусних атрибутів (ноутбука, автомобіля, секретаря). Для оцінки моделей поведінки порушника відзначимо два ключових відмінності від інших типів порушників — перше, співробітник не збирається покидати компанію і, по-друге, мета співробітника — нанести шкоду, а не викрасти інформацію. Тобто він прагне до того, щоб керівництво не дізналося, що витік стався через нього, і, зіткнувшись з технічною неможливістю викрасти будь-яку інформацію, він може направити свою руйнівну енергію на що-небудь інше, наприклад на знищення або фальсифікацію доступною інформації, або викрадення матеріальних цінностей. При цьому співробітник, виходячи з власних уявлень про цінності інформації та завдану шкоду, визначає, яку інформацію має сенс викрасти і кому її передати. Найчастіше це преса або тіньові структури, відповідно для оголошення або шантажу. Прикладом реалізації такої загрози може служити передача пресі екологічних даних про стан затоплених ядерних підводних човнів одним із співробітників підприємства, відповідального за моніторинг цього стану.

Нелояльні

Останнім часом також збільшилася кількість інцидентів, пов’язаних з викраденням інтелектуальної власності високотехнологічних європейських і американських компаній стажерами з країн, що розвиваються, тому тимчасових співробітників іноді також відносять до цього типу. По спрямованості загроза, що виходить від таких порушників, є ненаправленої — порушники намагаються забрати максимально можливу кількість доступної інформації, часто навіть не підозрюючи про її цінності та не маючи уявлення, як вони її будуть використовувати.

До цього ж типу ми відносимо і тих співробітників, які, вирішивши змінити місце роботи, ще не повідомили про це начальству і колегам, і почали діяти в своїх інтересах на шкоду інтересам компанії. Найчастіший спосіб отримання доступу до інформації або можливості її скопіювати, якщо вони цієї можливості не мають, — це імітація виробничої необхідності. Від попереднього типу порушників нелояльні відрізняються в основному тим, що, викравши інформацію, вони не приховують факту викрадення. Більш того, іноді викрадена інформація використовується як застава для забезпечення комфортного звільнення — з компенсацією і рекомендаціями, або — як спосіб підвищити свою оцінку новим роботодавцем, наприклад, маючи на руках клієнтську базу колишнього рекламодавця. Іноді отримати контакти всіх клієнтів компанії не так складно, як здається на перший погляд. Звичайно, в системах CRM і ERP вона надійно захищена, і доступ до неї, особливо в консолідованому вигляді суворо контролюється. Однак раз на рік всі контакти вивантажуються в звичайний файл Excel для розсилки новорічних привітань і цей файл зберігається на локальному комп’ютері асистента відділу маркетингу. Зазвичай це юна особа. Досить коробки цукерок, щоб втертися до неї в довіру.

Але найбільшу небезпеку представляють не ці два типи порушників. Саботажники і нелояльні співробітники все ж самі визначають інформацію для викрадення і місце її «збуту». Комерційний директор, який вирішив звільнитися, понесе з собою базу даних клієнтів, але, можливо, він знайде роботу в компанії, безпосередньо не конкурує з нинішнім роботодавцем. Передана пресі саботажником інформація може не виявитися сенсацією і не буде надрукована. Стажист, який викрав креслення перспективної розробки, може не знайти на них покупця. У всіх цих випадках витік інформації не завдасть шкоди власнику. Наткнувшись на неможливість викрасти інформацію, порушники навряд чи будуть шукати технічний спосіб обійти захист, до того ж, швидше за все, вони не володіють належною технічною підготовкою для цього.

Однак якщо ще до викрадення інформації саботажник чи нелояльний співробітник вийде на потенційного «покупця» конкретної інформації, будь то конкурент, преса, кримінальні структури або спецслужби, він стає найнебезпечнішим порушником — мотивованим ззовні. Тепер його подальша доля — робота, добробут, а іноді життя і здоров’я безпосередньо залежать від повноти та актуальності інформації, яку він зможе викрасти.

Порушники, мотивовані ззовні

Мотивовані ззовні — це співробітники, ціль яким визначає замовник викрадення інформації. До цього типу співробітників відносять впроваджених, тобто спеціально влаштованих на роботу для викрадення інформації, і завербованих, тобто співробітників, спочатку лояльних, але згодом підкуплених або заляканих. Небезпека цього типу порушників полягає в тому, що в разі технічних обмежень на винос інформації за межі корпоративної інформаційної мережі «роботодавці» можуть забезпечити їх відповідними пристроями або програмами для обходу захисту.

Інші типи порушників

У цю класифікацію не випадково не включена така поширена група економічних злочинців, як інсайдери — співробітники, що передають з метою отримання вигоди внутрішню корпоративну інформацію, яка може вплинути на вартість акцій. Справа в тому, що технічними та організаційними заходами присікти витік інформації, що впливає на вартість цінних паперів, практично неможливо. Ця інформація зазвичай дуже невелика, часто всього кілька цифр або одну пропозицію, і може навіть не існувати в електронному вигляді. Наприклад, це прибуток компанії за якийсь період, розвідані запаси нафти, інформація про майбутній поглинанні компанії і т. п. На відміну від преси, перевіряючих органів і т. п., клієнтам інсайдерів не потрібні підтвердження в електронному вигляді. З технічної точки зору, присікти винос такої інформації (наприклад, назви знову засновуваній компанії та дати запуску) за межі компанії «в оперативній пам’яті людського мозку» неможливо, для запобігання таких витоків діє законодавчо закріплений заборона на використання інсайдерської інформації при торгівлі цінними паперами. Тому даний тип порушників не приймається в запропонованій класифікації до уваги.

У цій лекції Ви зможете вивчити нетехнічні заходи захисту конфіденційної інформації від несанкціонованого доступу, а саме: психологічні заходи та організаційні заходи. А також познайомитеся з поняттям рівнів контролю інформаційних потоків.

3. РОЗРОБКА РЕКОМЕНДАЦІЇ ЩОДО СТВОРЕННЯ СИСТЕМИ ЗАХОДІВ ПО ЗАБЕЗПЕЧЕННЮ ВНУТРІШНЬОЇ БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ ОРГАНІЗАЦІЇ

 3.1 Організаційні заходи захисту

Підхід до забезпечення IT-безпеки, як ніякий інший процес, характеризується системністю і тісним зв’язком з існуючими бізнес-процесами. Різноманітний арсенал для захисту конфіденційної інформації запросто може ввести в замішання навіть професіонала. Чому віддати перевагу: технічним засобам, організаційним заходам або їх комбінації?

Проблема організаційних заходів

В процесі впровадження системи контролю над конфіденційною інформацією і захисту від інсайдерів шекспірівське «бути чи не бути» часто перетікає в дискусію про переваги і недоліки технічних засобів і організаційних заходів. Аргументація апологетів тієї чи іншої позиції, включаючи дуалістичну, струнка і переконлива. Причепитися дійсно ні до чого.

Навіщо нам оргзаходи? Прийнявши їх, ми просто злякаємо порушника і упустимо можливість скористатися мечем правосуддя! Треба «нишком» ставити фільтри і відстежувати інсайдерів! Так вважають прихильники програмно-апаратних засобів.

До чого витрачати сотні тисяч доларів на всякі «залізяки»? Я просто на всіх робочих станціях включу в області повідомлень «зелененьку штучку» і пущу по компанії слух, що все тепер під ковпаком. А звільняються буду давати $ 100, щоб вони всім говорили, що їх вистежила «зелененька штучка». Це реальна думка прихильника організаційних заходів.

Дуалісти виглядають найбільш переконливими, вважаючи, що необхідний комплекс та технічних і організаційних заходів.  Тільки так можливо ефективно протистояти внутрішнім ІТ-загрозам в якому їх прояві.

Складно не погодитися з думками всіх сторін. Адже кожен з них вирішує свої завдання. І тому важко визнати єдину істину — вона лежить в кожній аргументації і відштовхується від конкретних цілей впровадження (табл. 3.1).

Таблиця 3.1 — Цілі та методика впровадження системи захисту проти інсайдерів

Ціль Методика впровадження
Відповідність вимогам норма-тивних актів і стандартів Впровадження контролів, що перевіряються при аудиті
Збереження інформації Відкрите впровадження в поєднанні з кадровою роботою
Виявлення каналу витоку Приховане впровадження в поєднанні з ОРЗ
Докази непричетності Архівація руху даних і мережевих операцій для доказу того, що джерело витоку не всередині фірми

В залежності від мети вибирається і методика впровадження. Відповідно підшукується місце і насиченість організаційними заходами. Наприклад, для досягнення відповідності вимогам національних і міжнародних нормативних актів і стандартів (таким як стандарт Банку Росії по ІБ, Basel II, SOX, HIPAA, GLBA, Combined Code on Corporate Governance, ISO 27001 та ін) ступінь застосування організаційних заходів визначається самим текстом . Причому щоразу по-різному.

Для вирішення проблеми збереження інформації оргзаходи будуть складати один з основних етапів впровадження. Іноді на їх реалізацію буде потрібно до 70%  всього часу проекту. У випадку з виявленням каналу витоку процес повинен відбуватися якомога непомітніше, щоб не злякати підозрюваних, і витрати на оргзаходи мінімізуються до оперативно-розшукових заходів. Нарешті, в цілях доказу непричетності компанії до витоку інформації необхідно впровадити стільки організаційних заходів, скільки буде потрібно для досягнення мети.

У будь-якому випадку, у кожної компанії будуть виникати свої специфічні цілі і завдання. Вписати їх в просту табличку — занадто самовпевнено. Універсального рецепту, так само як і ідеальних умов, не буває. Компаніям доведеться розглядати необхідність та обсяг комплексу організаційних заходів при впровадженні системи захисту від внутрішніх ІТ-загроз окремо для кожного конкретного випадку.

Організаційні заходи

Перш за все, не сприймайте перерахований далі комплекс організаційних заходів як істину в останній інстанції. Надія на універсальність рецепту може зіпсувати проект те саме що ефект картонного бронежилета. Компанії все одно необхідно самостійно приймати рішення про вибір і інтенсивності тих чи інших заходів. Навряд чи хтось точніше може сказати, де болить у хворого, крім самого хворого. До того ж перераховані аспекти — це не повний список заходів, а скоріше найбільш поширених.

Психологічні заходи

Не вдаючись у психологічні аспекти захисту докладно, виділимо два способи впровадження систем: відкритий і закритий. Як впроваджувати систему — вирішує сам замовник, причому на найвищому рівні. Безумовно, повністю реорганізувати документообіг непомітно для користувачів неможливо, тим більше що частина процесу впровадження — ознайомлення користувачів з процедурами доступу. Однак, якщо основна мета впровадження системи — виявлення вже діючого каналу витоку і визначення всіх його ланок, причому не тільки виконавців усередині компанії, але і замовників інформації поза нею, має сенс почекати з оголошенням процедур і поставити в першу чергу монітори активності користувачів і контентну фільтрацію пошти і веб-трафіку. У разі оперативної розробки щодо співробітників компанії за домовленістю з виробником має сенс замаскувати програмні агенти на робочих станціях під програми, які не викличуть підозр, — антивірус або монітори аудиту програмного забезпечення.

Якщо ж впроваджувати систему захисту від внутрішніх загроз відкрито, то за рахунок психологічного фактора можна навіть заощадити. Відомо, що при впровадженні систем відеоспостереження для захисту периметра компанії на деяких напрямках можна ставити непідключеними камери, так як сам факт наявності відеокамери спостереження вже зупиняє більшу частину порушників. Для цього камери повинні стояти на увазі. Крім того, такі заходи, як організація нової системи зберігання, ознайомлення співробітників з новими регламентами, оприлюднення інцидентів зі спробою винести заборонену інформацію за межі компанії, напевно запобіжать розкрадання інформації саботажниками і нелояльними співробітниками.

Права локальних користувачів

Було б неправильним вважати, що, встановивши будь-яке, хай найдосконаліше, програмне забезпечення, ви вирішите всі проблеми, пов’язані з витоками. Навіть коли воно буде встановлено, його необхідно час від часу перевіряти на можливість подолання захисту. Крім постійного тестування системи безпеки, необхідно обмежити можливості потенційних зловмисників. В першу чергу це досягається за рахунок позбавлення користувачів прав локального адміністратора на їх робочих місцях. Така, здавалося б, проста міра досі не застосована в більшості компаній. Іноді виправданням цього служить наявність в компанії успадкованого програмного забезпечення, нездатного працювати з операційними системами, що підтримують віддалене управління.

Виходом з даної ситуації може бути локалізація робочих місць з правами локального адміністратора для роботи з успадкованим додатком в окремому сегменті мережі, фізична або програмне позбавлення робочих місць пристроїв виведення і концентрація їх в одному місці під контролем співробітника, персонально відповідального за відсутність витоків інформації. Однак необхідно розуміти, що це рішення є тимчасовим і стратегічно необхідно прагнути якомога швидше перенести успадковані програми в більш сучасні операційні системи.

Стандартизація ПО

Рідко побачиш у компаніях такий документ, як список програмного забезпечення, допустимого до установки на робочих станціях, а там, де він є, на його складання відповідальних осіб спонукало не турбота за витоку конфіденційної інформації, а скоріше розуміння того, що співробітники можуть використовувати наданий їм для роботи комп’ютер для розваг. Інакше неможливо пояснити наявність у цьому списку, наприклад, потужного файлового менеджера зразок FAR або Total Commander. Можливо, вбудований в операційну систему Windows Explorer дійсно незручний, але зате він не дозволяє копіювати тимчасові файли і багато інших низькорівневих, але потенційно небезпечних з точки зору збереження конфіденційної інформації операцій. Що вигідніше компанії: змусити співробітників користуватися штатними засобами операційної системи або залишити потужний інструмент викрадення даних? Відповідь напрошується сама собою, але більшість компаній, мабуть, не ставлять навіть це питання.

Після складання списку програмного забезпечення необхідно забезпечити його установку на всі робочі станції і обмежити запуск інших програм без участі адміністратора. Принцип «все, що не дозволено, — заборонено» в цьому випадку повинен виконуватися неухильно. Це позбавить компанію від майбутніх проблем з витоками через зловмисних порушників. Інсайдери просто не зможуть працювати з програмним забезпеченням, яке можна використовувати для обману. Наприклад, внутрішні зловмисники не зможуть обдурити механізми контентної фільтрації за допомогою шифрування і стеганографії.

Специфічні рішення

Невеликими організаційними заходами можна вирішити дуже великі проблеми. Коли-небудь рішення наступної задачі будуть вивчати в університетах. Одне федеральне відомство серйозно страждало від регулярних витоків своєї бази даних, яка мала стійкий попит на піратських ринках. Контролювати всі точки доступу до бази було технічно дуже складно, і відділ інформаційної безпеки придумав наступний хід. Розсудивши, що розкраданням інформації займається не більше десятка чоловік, причому навряд чи керованих з одного центру, вони попросили адміністраторів бази обмежити обсяг щоденних запитів до 20 Мбайт. Все, що більше, — по додатковій заявці з обгрунтуванням службової необхідності. Навряд чи порушники захочуть проявити себе регулярними проханнями про збільшення ліміту. Оскільки вся база займала кілька гігабайт, викачати її за місяць одній людині не представлялося можливим. До того ж база міняється щодня, тому зшиті шматки, скопійовані в різні дні, порушували цілісність бази. Через деякий час базу перестали купувати, а потім, через відсутність попиту, — і викрадати. Як видно, запобігти витоку в даному випадку вдалося без додаткових матеріальних витрат.

Робота з кадрами

І звичайно, необхідно постійно працювати з користувачами. Навчання користувачів, виховання пильності співробітників, інструктаж новачків і тимчасових співробітників в чому зможуть запобігти витоку через незловмисних користувачів. Будь-яке копіювання інформації на змінний носій повинно викликати запитання колег — адже лояльні співробітники постраждають разом з компанією, а значить, вони по один бік барикад.

Висока кваліфікація комп’ютерного користувача не завжди є плюсом. У західній літературі зустрічається термін overqualified — приблизно його можна перекласти як «занадто кваліфікований» або «перекваліфікований». Причому зайві навички в роботі з комп’ютером є більш серйозним недоліком, ніж недостатня кваліфікація. Адже підвищити кваліфікацію можна завжди, а як змусити людину забути вже наявні навички? Задайте собі питання: чи правильно, що співробітник бухгалтерії володіє навичками системного адміністратора, а оператор на атомній станції заочно навчається на експерта з комп’ютерної безпеки? Виявлення «фахівців-любителів» можливо під час традиційної атестації. Варто додати запитальник питання: «Як зняти завислий процес в Windows?» І провести роз’яснювальну роботу з тими, хто почне відповідь зі слів «Натиснути одночасно клавіші Ctrl, Alt і Delete».

Адже правильна відповідь на це питання для більшості користувачів — «Викликати системного адміністратора».

Внутрішньокорпоративна нормативна база

Важко однозначно сказати, чи можна до організаційних заходів віднести створення внутрішньокорпоративної нормативної бази. Вирішувати вам, а ми на всякий випадок розглянемо і цей важливий аспект.

Хаос в обігу конфіденційної інформації та її суворий облік, контроль і аудит поділяють чіткі положення, що визначають права і обов’язки користувачів і адміністраторів, регламенти обробки, зберігання та обміну даними, політику доступу. Деякі з перерахованих пунктів вже були або будуть розглянуті далі. Тому ми зупинимося на найбільш важливих аспектах.

Перш за все, необхідно виділити три основних рівня застосування нормативної бази у компанії. Рівень підприємства. Починаючи з цього рівня, необхідно поширити організаційну складову системи захисту конфіденційної інформації на всі інші рівні. Як правило, тут задіяні всі ключові відділи організації під постійною, безпосередній протекцією і мотивацією вищого керівництва. Практика показує, що без виконання останньої вимоги будь-яке благе починання поступово тоне в потоці повсякденного плинності і спускається на гальмах. Цілком очевидно, що у ІТ-, HR-, ІБ-відділів завжди є чим зайнятися і туманні загрози з боку інсайдерів їх не дуже сильно турбують. Набагато важливіше виконати план або освоїти бюджет. Топ-менеджмент часто розуміє, які наслідки може мати всього лише один витік, і має важелі управління, щоб цього не сталося.

Найважливішим нормативним актом рівня підприємства в процесі впровадження системи захисту конфіденційної інформації є положення про конфіденційність електронної інформації. Це високорівневий документ, що описує корпоративну парадигму відношення до даних. Він спирається безпосередньо на класифікацію інформації, яка виділяє суворо конфіденційні, конфіденційні і неконфіденційні документи і дані. Нарешті, невід’ємною частиною цього рівня є трудові угоди і посадові інструкції, що описують права і обов’язки співробітників. Важливий момент, який повинен знайти відображення в цих документах, полягає в відчуженні всієї інформації з робочого місця співробітників на користь компанії. З одного боку, це означає свободу дій організації у відношенні перегляду, фільтрації, затримки та інших корпоративних даних, а також систематизацію ролей різних службовців, а з іншого — захист компанії від можливих зустрічних позовів з боку виявлених інсайдерів за звинуваченням у порушенні їх конституційних прав на таємницю листування.

Рівень інформаційної системи.

На цьому рівні важливо визначити регламент користування корпоративною інформаційною системою, регламент користування додатками та вимоги до системного ландшафту. Дані документи закріплюють стан інформаційної системи, дозволяють контролювати запуск потенційно небезпечних додатків і досягти відповідності корпоративної мережі специфічним вимогам для контролю та аудиту конфіденційної інформації.

Рівень інформаційної безпеки.

На даному рівні необхідно визначити поведінкову модель порушника, політику доступу до інформації та політику роботи з інформацією. По суті, саме на цьому рівні відбувається безпосередня робота по контролю і аудиту дій користувачів. Між кожним користувачем, групами користувачів і кожним документом створюються відносини прав, впроваджуються механізми журналізації і запобігання несанкціонованих дій. Нарешті, на цьому етапі компанія дізнається, з ким вона бореться, створюючи портрет порушника.

Зберігання фізичних носіїв

Ще один канал витоку інформації — фізичний винос носіїв з резервними копіями. Зрозуміло, що після абсолютно легального резервного копіювання ніяке програмне забезпечення не в силах зупинити фізичний винос зловмисником носія, його копіювання та внесення назад. Тому зараз використовується декілька способів захисту цього каналу витоку. Перший — анонімізації носіїв, тобто співробітники, що мають доступ до носіїв, не знають, на якому носії яка інформація записана, вони управляють тільки анонімними номерами носіїв. Ті співробітники, які знають, на якому носії знаходиться яка інформація, у свою чергу, не повинні мати доступ до сховища носіїв. Другий спосіб — шифрування інформації при резервному копіюванні, оскільки навіть винесена і скопійована інформація зажадає деякого часу і великої обчислювальної потужності на розшифровку. Безумовно, тут працюють всі технології зберігання цінних речей — замки, що відкриваються тільки двома ключами, які знаходяться у різних співробітників, кілька рівнів доступу і т. д.

З розвитком технологій RFID і GPS, можливо, з’явиться рішення, при якому впроваджені в кожен носій радіомітки будуть сигналізувати про спроби винести його за межі сховища і навіть посилати сигнали про їх місцезнаходження.

Система моніторингу роботи з конфіденційною інформацією

Розгорнувши систему моніторингу роботи з конфіденційною інформацією, крім нарощування функціонала і аналітичних можливостей, можна розвиватися ще в двох напрямках.

Перший напрямок — інтеграція систем захисту від внутрішніх і зовнішніх загроз. Інциденти останніх років показують, що існує розподіл ролей між внутрішніми і зовнішніми зловмисниками, тому об’єднання інформації з систем моніторингу зовнішніх та внутрішніх загроз дозволить виявляти факти таких комбінованих атак. Однією з точок дотику зовнішньої і внутрішньої безпеки є управління правами доступу, особливо в контексті симуляції нелояльними співробітниками і саботажниками виробничої необхідності для збільшення прав. Будь заявки на отримання доступу до ресурсів, не передбаченим службовими обов’язками, повинні негайно приводити в дію механізм аудиту роботи з цією інформацією. Ще безпечніше вирішити раптом виникли завдання без відкриття доступу до ресурсів.

Наведемо приклад з життя. Системному адміністраторові надійшла заявка від начальника відділу маркетингу на відкриття доступу до фінансової системи. В якості обгрунтування заявки було прикладено завдання генерального директора на маркетингові дослідження про процеси покупки товарів, вироблених компанією. Оскільки фінансова система — один із самих охоронюваних ресурсів і дозвіл на доступ до нього дає генеральний директор, начальник відділу інформаційної безпеки на заявці написав альтернативне рішення — доступу не давати, а вивантажити у спеціальну базу для аналізу знеособлені (без зазначення клієнтів) дані. У відповідь на заперечення головного маркетолога про те, що йому так працювати незручно, директор запитав у лоб: «Навіщо тобі назви клієнтів — злити базу хочеш?», Після чого всі пішли працювати. Чи була це спроба організувати витік інформації, ми ніколи не дізнаємося, але, що б це не було, корпоративна фінансова система була захищена. Інший напрямок розвитку системи моніторингу внутрішніх інцидентів з конфіденційною інформацією — побудова системи запобігання витоків. Алгоритм роботи такої системи той же, що і в рішеннях щодо запобігання вторгнень. Спочатку будується модель порушника, по ній формується «сигнатура порушення», тобто послідовність дій порушника. Якщо кілька дій користувача збіглися з сигнатурою порушення, прогнозується наступний крок користувача, якщо і він збігається з сигнатурою — подається сигнал тривоги. Наприклад, був відкритий конфіденційний документ, частина його була виділена і скопійована в буфер, потім був створений новий документ і в нього було скопійовано вміст буфера.

Система припускає: якщо далі новий документ буде збережений без мітки «конфіденційно» — це спроба викрадення. Ще не вставлений USB-диск, не сформовано лист, а система інформує офіцера інформаційної безпеки, який приймає рішення: зупинити співробітника або простежити, куди піде інформація.

До слова, моделі (в інших джерелах — профілі) поведінки порушника можна використовувати не тільки за допомогою збору інформації від програмних агентів. Якщо аналізувати характер запитів до бази даних, завжди можна виявити співробітника, який поруч послідовних запитів до бази намагається отримати зріз конкретної інформації. Необхідно відразу простежити, що він робить з цими запитами, чи зберігає їх, підключає чи змінні носії інформації і т. д.

Аутсорсинг зберігання інформації

Зараз розвивається ринок послуг з аутсорсінгу інформаційних систем, які забезпечують зберігання інформації в захищеному режимі, її завантаження в орендовані програми та видачу по віддаленому запитом. Датацентр — ядро ​​компанії, що надає такі послуги, споконвічно проектується таким чином, щоб звести до мінімуму ймовірність витоків. Принципи анонімізації і шифрування даних — обов’язкова умова організації збереження і обробки інформації в датацентрі, а віддалений доступ можна організувати по термінальному протоколу, не залишаючи на комп’ютері, з якого надсилається запит, ніякої інформації.

Причому згадані програмні та організаційні рішення для таких центрів — засоби виробництва і конкурентні переваги, тому їх ціна є для них меншим перешкодою, ніж для компаній, що купують ці рішення для себе. Можливо, з розвитком ринку цих послуг внутрішня безпека інформації трансформується в забезпечення безпеки датацентрів.

Глибина опрацювання теми боротьби з внутрішніми ІТ-погрозами залежить від рівня параної в компанії. Межі досконалості немає — Великий Брат, придуманий Ору-еллом, прагне знати все про всіх. Головне, розуміти, що власник інформації має право на її захист, і знати, що для цього доступні всі засоби — технічні і організаційні. І важливо застосувати комплексну систему захисту інформації проти тих співробітників, які, прикриваючись розмовами про порушення конституційного права на невтручання в особисте життя, намагаються використовувати дані їм на виконання службових обов’язків ресурси у власних, непорядних цілях.

Перефразовуючи класика новітньої історії, на закінчення резюмуємо: «Тільки той бізнес-чого коштує, який вміє захищатися».

3.2 Служби обміну миттєвими повідомленнями і інсайдери

Сьогодні важко знайти інтернет-користувача, який ніколи не працював з інтернет-пейджерами (Instant Messengers, IM). Ідентифікаційні номери ICQ або Windows Messenger де-факто стали одним із стандартів при обміні контактною інформацією як між знайомими, так і між діловими партнерами. Таке визнання є кращим доказом того, що в список сучасних засобів мережних комунікацій непомітно увійшов ще один учасник, міцно зайняв унікальну нішу. Разом з тим все частіше піднімається питання, пов’язане з безпекою IM. В останні роки з’явилося багато шкідливих програм, що атакують користувачів пейджерів ICQ (Bizex, Goner, Atlex), MSN (Bropia, Kelvir, VB) і AIM (Oscarbot, Aimes). Причому, за оцінками «Лабораторії Касперського», створення таких специфічних програм знаходиться на початковому етапі розвитку і майбутнє може піднести ще багато неприємних сюрпризів. IM також являють собою заповітну мету для хакерів (атака через проломи в системі безпеки), несуть в собі загрозу витоку конфіденційної інформації і знижують продуктивність праці співробітників, відволікаючи їх на неформальне спілкування з особистих питань.

Дослідження «Інтернет-пейджери: пролом внутрішньої ІТ-безпеки або майбутнє засіб бізнес-комунікацій?» Є першим російським проектом, націленим на вивчення плюсів і мінусів IM, відносини до цього засобу комунікацій рядових користувачів та ІТ-професіоналів, корпоративної політики використання інтернет-пейджерів та їх впливу на внутрішню інформаційну безпеку підприємства.

Дослідження має на меті позначити майбутнє IM: чи загрожує їм вимирання з міркувань корпоративної ІТ-безпеки, або ж вони отримають законний статус офіційного засоби ділових комунікацій?

Які кроки необхідно зробити компаніям для запобігання загрози та вилучення користі з цього нового інструменту обміну інформацією?

Загальні висновки дослідження

Інтернет-пейджери стали стандартом де-факто для мережевих комунікацій: 87% користувачів застосовують їх на своїх робочих місцях. Велика частина інтернет-аудиторії (64%) використовує IM для вирішення ділових питань. Близько 2/3 користувачів допускають обмін конфіденційною інформацією через IM. Переважна частина (80%) ІТ-та ІБ-фахівців усвідомлюють небезпеку IM: 83% російських організацій ввели контроль за використанням інтернет-пейджерів. 77% користувачів також визнають небезпеку IM, але 58% негативно ставляться до введення контролю за IM в корпоративних мережах.

Негативне ставлення користувачів до введення контролю над IM продиктовано нерозумінням переваг цього інструменту для захисту бізнесу.

Серед сучасних способів обмеження використання IM заборонні переважають над контролюючими. Однак останні демонструють тенденцію до зростання. Розвиток ситуації призведе до фактичного і повсюдному доданню IM статусу офіційного засоби ділового спілкування і бурхливому зростанню індустрії IM-додатків, в тому числі в галузі ІТ-безпеки.

Ставлення користувачів до інтернет-пейджерам

Абсолютна більшість респондентів (87%) підтвердили, що використовують IM на своєму робочому місці. Частки прихильників інтернет-пейджерів майже рівномірно розподілилися між тими, хто користується ними постійно (45%) або час від часу (42%). Решта 13% пояснили свою відсутність в цьому списку наступними причинами: централізований заборона на використання IM в корпоративній мережі і неприйняття самої концепції IM з різних міркувань.

Ці статистичні дані красномовно свідчать про те, що IM стали стандартом де-факто для комунікацій під час виконання посадових обов’язків. Більш того, можна сказати, що практично 100% користувачів хотіли б мати IM, але не можуть цього дозволити через політику ІТ-безпеки підприємства: 93% трінадцатіпроцентного меншини побічно висловилися за установку цього засобу спілкування на робочому місці (мал. 3.1).

Результати опитування про найбільш популярних IM-платформах не були несподіваними: безсумнівним лідером по числу користувачів виявилася ICQ — 78% (рисунок 3.2). За нею з великим відривом слідує MSN Messenger (16%). На всі інші платформи (AIM, Yahoo! Messenger і ін) припадає 2%, причому всі користувачі екзотичних пейджерів зізналися в паралельному використанні більш поширених ICQ і / або MSN Messenger. У цю ж групу «многоплат-форменніков» потрапили 4% респондентів, які працюють одночасно з ICQ і MSN Messenger.

Необхідно відзначити, що дані про популярність IM-платформ істотно різнилися в залежності від країни проживання респондента. Практично всі користувачі MSN Messenger виявилися представниками «далекого зарубіжжя», в основному США. Росія і країни колишнього СРСР майже одноголосно проголосували за ICQ.

Мабуть, найбільш цікаві результати дав питання про цілі використання IM на робочому місці (мал. 3.3). Ділові й особисті питання із застосуванням інтернет-пейджерів вирішують 59% респондентів, 28% користувачів працюють з цим засобом комунікацій для вирішення суто ділових питань і 5% — для особистих цілей.

Ці дані показують, що більша частина інтернет-аудиторії (64%) в тій чи іншій мірі успішно використовує IM для вирішення поточних ділових питань.

Респонденти вважають, що мережні пейджери володіють незаперечними перевагами перед традиційними засобами комунікацій (електронна пошта, телефон): оперативністю, неформальністю, наочністю. Поглиблені інтерв’ю з деякими користувачами виявили ієрархію довіри між діловими партнерами в залежності від використовуваного каналу спілкування. Телефон застосовується на початковому етапі, коли довіра і зацікавленість в контакті — принаймні однієї зі сторін — досить низькі. Початок зв’язку по електронній пошті свідчить про налагодження тісніших контактів і появі високого ступеня зацікавленості.

Обмін ідентифікаційними номерами IM знаменує найвищий рівень довіри, синергію ділових і дружніх відносин. Респонденти не приховували, що запити по інтернет-пейджерам мають вищий пріоритет виконання, ніж отримані по електронній пошті.

Одночасно користувачі висловили небажання відмовлятися і від традиційних засобів комунікацій. З одного боку, це інстинкт захисту особистого простору спілкування. З іншого — вимушена необхідність для оформлення офіційної кореспонденції між організаціями, оскільки, згідно з чинним законодавством, IM-листування не володіє законною силою і не може використовуватися в якості речового доказу.

Як і в попередньому випадку, питання про цілі використання IM на робочому місці виявив відмінності в перевагах залежно від географії проживання. Зарубіжні користувачі виявилися не настільки дисциплінованими і лояльними по відношенню до роботодавців. У цій групі 48% респондентів вважають використання інтернет-пейджерів на робочому місці гідним вирішення особистих питань. І лише 47% опитаних застосовують їх для ділових комунікацій.

У процесі дослідження особлива увага була приділена ролі IM в порушенні конфіденційності корпоративної інформації (мал. 3.4). 54% опитаних заявили, що ніколи не обмінювалися секретними даними по інтернет-пейджерам. Відповідно 46% чесно визнали, що такі факти мали місце. Більш того, кожен четвертий респондент (27%) вважає, що його колеги по роботі обмінюються конфіденційною інформацією по IM. Впевненість у непогрішності товаришів по службі висловили 32% опитаних, а 41% не змогли відповісти. Враховуючи високу латентність відповідей на подібні питання, можна констатувати, що близько 2/3 користувачів все ж допускають подібні промахи, перебуваючи при виконанні службових обов’язків.

Це питання виявив вельми тривожний факт: IM є поширеним джерелом загрози витоку конфіденційної інформації. Витік може відбутися як навмисно (умисна пересилання секретних даних), так і ненавмисно (пересилання секретних даних по незнанню, перехоплення даних в Інтернеті і пр. і пр.). Ця обставина вимагає виняткової уваги з боку ІТ-та ІБ-відділів організацій при формуванні корпоративної політики ІТ-безпеки.

У таких обставин цілком логічною виглядає позиція користувачів, абсолютна більшість яких вважає IM загрозою корпоративної ІТ-безпеки: 61% визнали її існування, але вважають не надто серйозною; 16% присвоїли їй високий ступінь небезпеки (рисунок 3.5). Всього 23% висловили думку, що IM не представляє ніякої загрози. У процесі аналізу відзначена чітка кореляція між відповідями на це питання і даними з обміну конфіденційною інформацією з використанням IM. В основному респонденти, обізнані про випадки витоку, погодилися з існуванням загрози.

На тлі визнання небезпеки IM для корпоративної безпеки парадоксальна позиція користувачів з приводу введення спеціального моніторингу для інтернет-пейджерів, що включає механізм запобігання витоку конфіденційної інформації (мал. 3.6). 31% респондентів поставилися до такої можливості негативно. Більш того, 27% охарактеризували своє ставлення «як різко негативне». На жаль, радянська спадщина залишило в умах користувачів чітку асоціацію будь-якого контролю з демонізіруемим Великим Братом. Цей факт означає, що введення моніторингу може супроводжуватися значним невдоволенням співробітників і зажадати додаткових зусиль для роз’яснення необхідності такого засобу захисту і відновлення лояльності персоналу.

В дійсності, моніторинг допомагає захистити бізнес і, як наслідок, робочі місця. З іншого боку, це і огорожу самих співробітників від необгрунтованих звинувачень у витоку інформації.

Контроль над IM дозволяє проводити глибокий ретроспективний аналіз комунікацій і майже безпомилково виявляти джерело витоку. Виступати проти цього інструменту можна виключно по необізнаності про його переваги або з причини ділової неохайності.

У відповідях респондентів знову простежується залежність між даними з обміну конфіденційною інформацією з використанням IM і ставленням до моніторингу інтернет-пейджерів. Противниками моніторингу виступили в основному користувачі, які визнали факт обміну секретними даними.

Ставлення ІТ-професіоналів до інтернет-пейджерам

Зворотний бік проблеми — ставлення до IM з боку ІТ-та ІБ-професіоналів. Ці фахівці стежать за інформаційною безпекою підприємства та більш прагматично підходять до питання використання інтернет-пейджерів.

Однак, на подив, думка ІТ-професіоналів по відношенню до ступеня загрози IM для корпоративної інформаційної безпеки практично співпала з думкою користувачів (мал. 3.7). Низький рівень небезпеки IM привласнили 19% респондентів (23% користувачів). 43% респондентів обрали варіант «середній ступінь небезпеки», 33% — «висока» і 5% — «надзвичайно висока».

Закономірним відображенням такого ставлення ІТ-професіоналів до інтернет-пейджерам є статус IM в корпоративних політиках ІТ-безпеки. 17% організацій не вживають ніяких заходів для запобігання загрози IM, 44% обмежують використання і 39% забороняють IM різними способами. Ці дані практично повністю корелюють з оцінкою ступеня небезпеки інтернет-пейджерів і демонструють адекватність вжитих заходів у відповідності з масштабом витоку конфіденційної інформації, виявленим в результаті опитування користувачів.

Серед причин заборони або обмеження використання IM в корпоративних мережах більшість респондентів відзначили втрату робочого часу співробітників (46%), який вони витрачають на особисту комунікацію (малюнок 3.8). Наступною за значимістю виявилася загроза витоку конфіденційної інформації (40%) — цей показник не відображає реального стану речей і свідчить про недооцінку масштабу обміну секретними даними і ступеня загрози. Небезпека вірусної інфекції, настільки широко освітлювана ЗМІ, посіла лише третє місце (30%). 28% респондентів вважають, що слід заборонити або обмежити використання IM, оскільки вони є потенційною проломом в системі корпоративної безпеки і можуть призвести до непередбачуваних наслідків. Серед інших причин обмеження були відзначені невиправдана перевантаження інтернет-каналу (9%), всі перераховані недоліки IM (4%) та інші обставини (4%).

Результати відповідей на це питання свідчать про утилітарне відношення ІТ-професіоналів до питання використання IM. Це цілком виправданий підхід, проте він містить в собі ризик непорозуміння ролі інтернет-пейджерів як дійсно ефективного засобу ділових комунікацій. Результатом може бути відмова від IM без урахування багатофакторного значення цього інструменту і, як наслідок, зниження ефективності бізнес-комунікацій організації і лояльності співробітників.

Дослідження показало, що найбільш поширеним (49%) способом контролю за використанням IM є блокування порту (мал. 3.9). Необхідно відзначити, що це рішення є скоріше напівзаходом. Воно допомагає обмежити, але не відключити інтернет-пейджери: у користувачів все одно залишається можливість працювати з IM за допомогою веб-інтерфейсу, який використовує стандартний HTTP-порт. З іншого боку, такий спосіб дає можливість перенаправити IM-трафік на фільтруючий сервер HTTP-трафіку для моніторингу і запобігання витоку конфіденційної інформації або застосувати блокування доступу до веб-сайтів, що містять ІМ-інтерфейси.

Наступним за популярністю способом, як не дивно, виявилися організаційні заходи (39%). Вони виключають використання технічних засобів, але вводять персональну відповідальність співробітників за зловживання корпоративними мережевими ресурсами. Далі, 25% респондентів вважають ефективним інструментом обмеження блокування IM-додатки, що спільно з правильною настройкою операційної системи (23%) може дійсно виключити застосування IM в мережі. 24% вирішили уникнути заборони IM, але використовують спеціальні технічні засоби для моніторингу цього каналу передачі даних.

Серед 17% організацій, які не вживають ніяких заходів для контролю за використанням IM, переважна більшість (80%) заявили, що в найближчий рік планують змінити статус інтернет-пейджерів в напрямку посилення контролю за їх застосуванням (мал. 3.10).

Таким чином, респонденти вважають за краще використовувати різні способи обмеження. Це відображено у таких цифрах: організаційні заходи — 36%, блокування порту — 32, моніторинг IM технічними спецзасобами — 27, блокування програми та налаштування операційної системи — по 22, інші методи — 13%.

Результати дослідження дають можливість стверджувати, що інтернет-пейджери стали стандартом де-факто для ділових комунікацій. Абсолютна більшість користувачів успішно застосовують його для листування з колегами, партнерами та замовниками з метою вирішення оперативних бізнес-питань.

Цей висновок підтверджується даними аналітичного центру Radicati Group, згідно з якими 85% компаній вже взяли на озброєння IM; на кінець 2004 р. в світі було зареєстровано близько 130 млн. користувачів IM різних платформ.

Важливо відзначити, що інтернет-пейджери не є конкурентом традиційним каналам спілкування (наприклад, електронною поштою), це засіб комунікацій нового рівня. Воно відрізняється більшою оперативністю, зручністю, простотою, символізує високу ступінь довіри між сторонами.

Разом з тим IM представляють серйозну небезпеку з точки зору витоку конфіденційної інформації. Цей тривожний факт не залишився без уваги ІТ-та ІБ-фахівців: велика частина організацій вже ввела або планує ввести контроль за використанням IM. Однак якщо переборщити, то можна досягти того, що заборонні заходи будуть переважати над обмежувальними або контролюючими. У цьому полягає небезпека недооцінки інтернет-пейджерів як інструменту підвищення ефективності бізнес-комунікацій, їх необдуманого заборони і, як наслідок, зниження конкурентоспроможності організації. Електронна пошта є набагато небезпечнішим каналом передачі даних, але рідкісні компанії дозволяють собі відмовитися від її використання. Актуальним бізнес-цілям більш відповідає створення в корпоративній мережі безпечної IM-середовища для запобігання витоку конфіденційних даних, протидії зовнішнім атакам і застосування цього засобу комунікацій на благо бізнесу. Індустрія ІТ-безпеки пропонує значний арсенал спеціальних засобів для вирішення цього завдання.

При збереженні існуючих тенденцій майбутнє IM представляється певним. За прогнозами аналітиків, зробленим в 2006 р., популярність інтернет-пейджерів перевершить навіть електронну пошту. Цей факт поставить компанії перед необхідністю додання IM статусу офіційного засоби ділового спілкування. Статусна модернізація цього каналу буде означати бурхливе зростання 1М-індустрії, в основному за рахунок появи супутніх додатків, у тому числі в області захисту даних від внутрішніх і зовнішніх атак. Останнє дозволить перетворити інтернет-пейджери в ефективний і безпечний засіб ділових комунікацій, яке буде сприяти вирішенню актуальних завдань і зростанню бізнесу.

3.3 Виявлення нелояльних співробітників. Інсайдери та комп’ютерний саботаж.

Ніхто не застрахований від саботажу ІТ-інфраструктури. Будь-який співробітник компанії може навіть по самому дріб’язкового приводу образитися на керівництво чи колег, а потім вчинити справжню диверсію: знищити надзвичайно важливу для компанії інформацію, розіслати непотребні листи клієнтам фірми і т. п. Очевидно, що збиток в цьому випадку може варіюватися від зіпсованого робочого клімату до прямих багатомільйонних втрат.

Корпоративний саботаж стає все більш злободенною темою. Сьогодні вищим виконавчим особам і фахівцям з ІТ-безпеки життєво необхідно знати, як виглядає, якими мотивами керується і на що здатний типовий саботажник. Нарешті, для боротьби з диверсантами в білих комірцях начальство повинно розташовувати цілим арсеналом прийомів. В іншому випадку ризики інформаційного саботажу стануть просто некерованими і ефективність всієї організації буде поставлена ​​під сумнів. Всі ці питання якраз і є об’єктом розгляду даної глави.

Введення в поняття «корпоративний саботаж»

Перш ніж переходити до аналітичних викладок, необхідно відповісти на питання, що ж все-таки називається корпоративним саботажем. Важливість цього визначення підвищується ще й тим, що саботаж є лише частиною внутрішніх загроз ІБ, тому при подальшому розгляді слід розрізняти між собою саботажників і, наприклад, інсайдерів, «зливають» конфіденційну інформацію конкурентам.

Отже, корпоративний саботаж — це шкідницькі по відношенню до компанії дії, вчинені інсайдерами в силу ураженого самолюбства, бажання помститися, люті і будь-яких інших емоційних причин. Зауважимо, що під ємним терміном «інсайдер» розуміються колишні і нинішні співробітники підприємства, а також службовці-контрактники.

Корпоративні диверсії завжди вчиняються з емоційних, часом нераціональних спонукань. Таким чином, саботажник ніколи не керується бажанням заробити і не переслідує фінансову вигоду. Цим, власне, саботаж відрізняється від інших інсайдерських загроз.

Наведемо чотири реальні приклади інформаційного саботажу. Це типові випадки, які найкраще ілюструють мотиви і засоби корпоративних диверсантів.

Компанія з’ясувала, що співробітник достатньо компетентний в дизайні і програмуванні, і попросила його розробити корпоративний веб-сайт. Кілька місяців потому цьому службовцю було оголошено догану за систематичні прогули, а президент компанії повідомив йому, що керівництво планує усунути його від роботи. У той же день скривджений співробітник віддалено увійшов в корпоративну мережу, стер деякі дані, а також поміняв текст і картинки на веб-сайті компанії. Коли саботажника затримали правоохоронні органи, він пояснив свою поведінку тим, що розлютився на роботодавця за те, що його усунули.

Системний адміністратор процвітаючої компанії, що працює в оборонній промисловості, розсердився на начальство, так як вирішив, що його недооцінюють, в той час як вся корпоративна мережа побудована і управляється тільки завдяки його (адміністратора) старанням і зусиллям. Розсерджений службовець переніс програмне забезпечення, яке підтримує промислові процеси в компанії, на один-єдиний сервер. Потім він залякав свого товариша по службі і забрав єдину резервну копію цих програмних продуктів. Після того як керівництво звільнило системного адміністратора внаслідок агресивної та неналежного ставлення до колег, логічна бомба детонувала.

Скривджений співробітник стер всі дані на сервері, в результаті чого компанія зазнала збитків у розмірі $ 10 млн, що призвело до звільнення 80 службовців.

Розробник додатків втратив своє місце в компанії, що працює в секторі інформаційних технологій, внаслідок скорочення штатів. В помсту за це колишній службовець атакував мережу фірми якраз перед різдвяними святами. Через три тижні після звільнення він віддалено увійшов в корпоративну мережу, скориставшись обліковим записом та реквізитами одного зі своїх колишніх колег, модифікував дані на веб-сервері компанії, змінив текст і вставив порнографічні зображення.

Після цього розлючений розробник послав всім клієнтам компанії електронні листи, закликаючи відкрити корпоративний веб-сайт і переконатися, що він був зламаний. У кожному повідомленні містилися ім’я і пароль клієнта для доступу до веб-сайту. Було розпочато розслідування, але встановити особу злочинця не вдалося. Через півтора місяця зловмисник знову віддалено увійшов в мережу і запустив програму-сценарій, яка змінила все мережеві паролі та 4 тис. записів в базі даних цін. На цей раз розсердженого саботажника вдалося обчислити і зловити. Його засудили до п’яти місяців в’язниці і двох років умовно. Крім того, покарання включало штраф у розмірі $ 48,6 тис., які колишній співробітник повинен був виплатити своєму колишньому роботодавцеві.

Службовець муніципального самоврядування не був призначений на посаду фінансового директора. Це місце віддали іншому співробітникові. Щоб помститися, розсерджений чиновник видалив всі файли на своєму комп’ютері і комп’ютерах товаришів по службі за день до того, як новий фінансовий директор повинен був вступити на посаду. Слідство довело провину скривдженого працівника, але за угодою з муніципалітетом у зв’язку з тим, що багато файли вдалося відновити, проти зловмисника не було порушено кримінальну справу і йому дозволили звільнитися.

Наслідки корпоративних диверсій

Традиційно вважається, що результатом корпоративного саботажу дуже рідко бувають фінансові втрати. Однак останні дослідження спростовують таку точку зору (мал. 3.11).

Тим не менше сумарні фінансові втрати індустрії внаслідок саботажу на тлі збитків від інших внутрішніх і зовнішніх загроз виглядають не дуже великими (мал. 3.12).

Однак інтерпретація цих даних вимагає певної обережності. По-перше, саботаж є латентним видом злочинів. Респонденти дуже неохоче зізнаються, що в їх компанії мала місце корпоративна диверсія, так як це майже завжди пов’язане з помилками і неуважністю менеджменту організації. По-друге, саботаж дійсно зустрічається набагато рідше, ніж інші інциденти, тому сумарний збиток виходить невеликим.

Для оцінки фінансового збитку внаслідок саботажу найкраще підходять результати дослідження CERT (мал. 3.13).Зауважимо, що трохи менше половини всіх респондентів, які стали жертвами саботажу, понесли досить «незначний» утрату — до $ 20 тис. У порівнянні з середнім збитком в результаті витоку конфіденційної інформації ($ 255 тис., за відомостями ФБР) це дійсно небагато. Однак найбільшу стурбованість експертів викликає саме та одна десята частина, яка припадає на втрати понад $ 1 млн (9% — від $ 1-5 млн і 2% — понад $ 10 млн). Це зайвий раз вказує на деяку відносність статистики ФБР, в якій сумарний збиток за рік оцінено лише в $ 341 тис.

Таким чином, якщо абстрагуватися від нематеріальних чинників, небезпека саботажу полягає саме в гігантських багатомільйонні збитках, які може понести абсолютно будь-яка компанія, маючи в своєму штаті людину з нестійкою психікою. У деяких випадках це може становити загрозу національній безпеці (уявіть саботажника на ядерній електростанції), однак у світі бізнесу, крім фінансових втрат, виникає ще цілий ряд негативних наслідків. По-перше, втрата репутації. По-друге, шкоду, завдану іншим службовцям підприємства. Більш того, дослідження показують, що негативні наслідки для колишніх колег диверсанта зустрічаються досить часто (малюнок 3.14).

Можна резюмувати, що саботаж може завдати величезної фінансовий та моральну шкоду компанії. Саме тому з ним необхідно боротися.

Портрет типового саботажника

Дослідження секретної служби США встановило, що в 98% випадків диверсантом є чоловік. Правда, портрет корпоративного саботажника не включає таких ознак, як сімейний статус, вік і расова приналежність. Іншими словами, це може бути як одружений чоловік, так і холостий, як 17-річний молодик, так і минає на пенсію службовець. Не підтвердилося також популярне переконання, що більшість саботажників — це люди, що мають кримінальну історію. Так, лише в 30% досліджених випадків диверсант був хоча б раз заарештований.Тим не менше можна простежити мотиви, якими керуються саботажники.

Як видно, всі вони носять емоційний характер. Більше того, аналітики спеціально з’ясували, що ні одним диверсантом не рухали мотиви наживи.

Однак ці мотиви самі по собі є наслідками більш ранніх подій, які вивели службовця з рівноваги (мал. 3.16).

Аналітикам вдалося з’ясувати, що в 92% випадків саботажу передує неприємний інцидент або ціла серія таких інцидентів на роботі: в 47% випадків — звільнення, в 20% — суперечка з нинішніми або колишніми колегами, 13% — переклад на посаді або, навпаки, відсутність підвищення. Іншими словами, 85% всіх внутрішніх диверсантів розсерджені на когось, кого вони асоціюють з компанією. Так, в 57% випадків товариші по службі саботажника характеризували його як надзвичайно розсердженого і роздратованого людини.

Як видно, багато саботажники на момент вчинення диверсії є вже колишніми співробітниками компанії-жертви, що зберегли доступ до її інформаційних ресурсів з якихось причин (ймовірно, по необачності адміністратора). Зауважимо, це майже половина всіх випадків.

Однак, незважаючи на всі ці відомості, більш або менш помітною рисою портрета типового саботажника (крім підлоги) є його професія. Як показало дослідження CERT, практично всі корпоративні диверсанти є фахівцями, так чи інакше пов’язаними з інформаційними технологіями (мал. 3.17).

На частку технічно підкованих диверсантів припадає 87% інцидентів. Серед них 38% системних адміністраторів, 21% програмістів, 14% інженерів, 14% фахівців з ІТ. Що ж стосується саботажників, не працюють в технічних департаментах, 10% з них працюють, серед іншого, редакторами, менеджерами, аудиторами і т. д., а 3% саботажників припадає на сферу обслуговування, зокрема на спілкування з клієнтами.

Таким чином, з найбільш достовірних рис саботажника можна виділити всього дві: це чоловік, що є співробітником технічного департаменту.

Що не так з хлопцями з ІТ?

Мал. 15.7 наочно демонструє, що дев’ять з десяти диверсій скоюються людьми, так чи інакше пов’язаними з інформаційними технологіями. На думку експертів компанії Info Watch, розробника систем захисту конфіденційної інформації від інсайдерів, причина такої професійної приналежності криється в психологічних особливостях цих службовців. Докладніше розібратися в проблемі дозволяю два приклади з життя, найбільш яскраво ілюструють типові риси характеру ІТ-професіоналів. Причому якщо перший оповідач не став приховувати свого імені, то другий вирішив залишитися анонімним.«Я працював в середній за розміром компанії, що займається розробкою програмного забезпечення. При доступі до основних серверів у мене були привілеї адміністратора. Тільки щоб розім’яти свій розум, я обмірковував, як можна використовувати цей доступ зловмисно, і розробив наступний план. По-перше, зламати систему резервного копіювання. У нашій компанії всі копії шифрувалися в цілях безпеки прямо під час створення і дешифрувати в процесі відновлення, тобто самі резервні дані в зашифрованому вигляді нікому не потрібні. Злом системи копіювання припускає, природно, витяг ключів шифрування. По-друге, почекати рік або довше. По-третє, стерти всю інформацію на серверах, включаючи зламати програмне забезпечення для шифрування / дешифрування резервних даних. Таким чином, у підприємства залишаться лише зашифровані резервні копії (без ключа). По-четверте, запропонувати компанії купити ключі, які вдалося отримати ще на першому кроці. Якщо фірма відмовиться, то втратить цілі роки своєї роботи. Це, звичайно, всього лише гіпотетичний план. Яні намагався втілити його в життя, тому не знаю, спрацював би він … »- Філіес Купіо (Filias Cupio).«Більшість фахівців з інформаційних технологій, яких я знаю, навіть ще початківці хлопці, відразу ж при вступі на посаду, першим ділом встановлюють програму прихованого управління (Rootkit) в корпоративну систему. Це рефлекс. Хлопці не хочуть нікому нашкодити і не будують шкідливих планів, їм просто потрібен надійний доступ до системи, щоб можна було спокійно працювати з дому або коледжу », — Бен.

Деструктивна активність саботажників

Глибока психологічна підоснова акту саботажу часто призводить до того, що розлючений службовець загрожує начальству або товаришам по службі, наприклад, по електронній пошті. Іноді він навіть ділиться своїми думками з кимось із колег. Іншими словами, інформація про підготовлювану диверсію є не тільки у саботажника. Аналітики підрахували, що в 31% випадків відомостями про плани диверсанта знають інші люди: 64% — колеги, 21% — друзі, 14% — члени сім’ї, а ще 14% — спільники.Крім того, вдалося встановити, що 62% корпоративних диверсантів продумують свої дії завчасно. У 47% випадків вони здійснюють підготовчі дії, наприклад крадуть резервні копії конфіденційних даних. У 27% — конструюють і перевіряють механізм атаки, наприклад «логічну бомбу» в корпоративній мережі, додаткові приховані входи в систему і т. д. При цьому в 37% випадків активність співробітників цілком можна помітити: 67% підготовчих дій помітно в режимі онлайн, 11% — офлайн, 22% — в обох відразу

Слід також врахувати, що переважна більшість атак проводиться саботажниками в неробочий час і за допомогою віддаленого доступу до корпоративної мережі. Таким чином, навіть якщо звільнити системного адміністратора і відразу ж заблокувати його обліковий запис, але забути про його привілеї віддаленого доступу і залишити колишнім пароль root в системі, то розсерджений службовець дуже швидко зможе помститися начальству. В одному з таких інцидентів диверсанту вдалося вивести з ладу всю корпоративну мережу на три дні.Таким чином, 57% саботажників мають права адміністратора в системі під час роботи, з них 85% на момент вчинення диверсії вже позбулися таких широких повноважень на доступ до корпоративної середовищі.

Що стосується самої атаки, то 61% саботажників воліють прості і нехитрі механізми, наприклад команди користувача, обмін інформацією, експлуатацію фізичних вразливостей безпеки. Що залишилися 39% саботажників застосовують більш витончені методи атаки: власні програми або сценарії, автономних агентів і т. д. У 60% випадків зловмисники компрометують облікові записи, щоб з їх допомогою потім провести атаку. У 33% інцидентів це компрометація імені користувача і пароля; у 20% — неавторизоване створення нового облікового запису. Важливо, що в 92% випадків помітити підозрілу активність в даній сфері до моменту вчинення диверсії майже неможливо.

Як виявити диверсанта?

Припустимо, що атака вже відбулася. Отже, перед керівництвом, серед іншого, стоїть питання про виявлення винного. Практика показує, що відповісти на це питання можуть тільки журнали системних подій. Однак слід враховувати, що зловмисник зробить все можливе і неможливе, щоб приховати свою особистість, постати кимось іншим або якось заплутати сліди. Тим не менш у багатьох випадках диверсанта можуть обчислити інші службовці, які не мають з безпекою ІТ-інфраструктури нічого спільного.

Якщо перевести ці дані на мову цифр, то вийде, що 63% атак було помічено лише тому, що в системі з’явилися сильні відхилення. У 42% випадків система зовсім вийшла з ладу. При цьому в 70% інцидентів зловмисника вдається обчислити по журналах системних подій, в 33% — по IP-адресою, в 28% — по телефонних записів, у 24% — по імені користувача, в 13% — за рахунок процедур аудиту (рис. 3.18 ). Таким чином, журнали подій є найбільш ефективним засобом.У тих же випадках, коли використовуються журнали системних подій, найчастіше потрібно досліджувати журнал подій віддаленого доступу (73%). За ним з великим запізненням слідують журнал доступу до файлів (37%), журнал зміни системних файлів (37%), журнали додатків і баз даних (30%), поштові журнали (13%). Загалом, у 31% випадків для ідентифікації зловмисника використовуються відразу декілька журналів (малюнок 3.19).

Проте не все так просто. У 76% інцидентів диверсанти намагаються приховати особистість (31%), дії (12%) або одночасно і те і інше (33%). Саботажники можуть модифікувати або видаляти журнали подій, створювати приховані входи в систему і неавторизовані облікові записи, підробляти свій IP-адресу. При цьому 71% саботажів вчиняються співробітниками, не пов’язаними із забезпеченням ІТ-безпеки.

На думку експертів компанії Info Watch, найкращим засобом запобігання корпоративного саботажу є профілактичні заходи. Перш за все, компаніям потрібно перевіряти рекомендації і місця попередньої роботи найманих службовців. Таким способом вдається виключити ті 30% саботажників, які мають кримінальне минуле.

Ще одним надзвичайно ефективним методом є регулярні тренінги або семінари, на яких до персоналу доводиться інформація про погрози ІТ-безпеки і саботажі як такому. При даному підході керівництво робить ставку на тих співробітників, які взаємодіють з саботажником в офісі, бачать його нервозний поведінку, отримують погрози на свою адресу і т. п. Всі ці службовці повинні знати, що подібні інциденти не можна замовчувати, навпаки, про них тут же слід сповіщати уповноважених осіб.

Наступний метод передбачає використання принципу мінімальних привілеїв і чіткого поділу функцій. Очевидно, що адміністративних повноважень у звичайних офісних службовців бути не повинно. Крім того, зрозуміло, що співробітник, відповідальний за резервні копії, не повинен мати можливості видалити дані в оригінальному джерелі.

Крім того, в обов’язки цього працівника слід поставити інформування начальства у разі, якщо на резервні копії зазіхне якийсь інший службовець.Взагалі, проблема захисту резервних копій може бути вирішена створенням їх дублікатів. У поєднанні з поділом ролей саботажників буде практично неможливо видалити цінну інформацію і позбутися від усіх резервних копій. У зв’язку з тим що в компанії, як правило, не так багато по-справжньому критичних даних, створення декількох резервних копій представляється доцільним.

Надзвичайно важливим моментом є ефективне управління паролями і обліковими записами. Система ІТ-безпеки, роздільна віддалений доступ вже давно звільненим співробітникам, нікуди не годиться. Адміністратори повинні ретельно стежити за правами доступу службовців, покидають компанію. Відповідні облікові записи слід анулювати відразу ж.

Кращим профілактичним заходом є моніторинг, причому не тільки пасивний (як, наприклад, журнали подій), але й активний (захист цінної інформації).

У цьому випадку завдати реальної шкоди компанії зможе тільки топ-менеджер, тому що у решти працівників, які мають доступ до цифрових активах фірми, просто не буде прав на видалення цінної інформації. Слід зазначити, що на ринку вже є спеціалізовані рішення для захисту даних від внутрішніх загроз, в тому числі і від корпоративного саботажу.

Таким чином, у розпорядженні сучасних компаній і державних організацій є цілий ряд засобів, що дозволяють мінімізувати ризики інформаційного саботажу.

3.4 Управління змінами в ІТ-інфраструктурі

Бізнес будь-якої сучасної організації тісно пов’язаний з інформаційними технологіями. Сьогодні важко уявити ефективну роботу компанії без використання передових досягнень. Разом з тим на передній план впровадження ІТ-проектів, поряд зі стійкістю, масштабованість, прозорістю і відповідністю ІТ-інфраструктури бізнес-специфіці замовника, виходить проблема ІБ. Без урахування цього елемента цінність проекту не тільки зводиться до нуля, але і може завдати організації непоправної шкоди: шкоди репутації, порушення безперервності процесів, фінансові збитки, а в гіршому випадку — неможливість подальшого ведення бізнесу.

Корпоративна інформаційна система являє собою постійно мінливу структуру, чітко реагує на зміни бізнес-процесів. Одночасно з розвитком організації ускладнюється і ІТ-система в напрямку розширення спектру завдань, функцій і сервісів. У ході цих змін дуже просто порушити процеси ІБ. Разом з тим ІБ повинна пронизувати проект не тільки з самого початку, але й супроводжувати всі без винятку етапи модернізації ІТ-інфраструктури. Відсутність цього елементу провокує появу проломів в ІТ-інфраструктурі, спричиняє виникнення хаосу і призводить до різкого зростання ризиків, зводячи нанівець початкові вкладення і зусилля.

Дослідження «ІТ-безпека і керування інформаційною системою сучасної організації» має на меті з’ясувати підходи організацій до змін ІТ-інфраструктури та ролі ІБ в цьому процесі для зіставлення з глобальними тенденціями і загальноприйнятими нормами. Матеріал зачіпає такі актуальні питання, як наявність політики, засобів і робочого інструментарію управління змінами в ІТ-системі, ступінь залученості різних підрозділів організації. Одним з найважливіших аспектів дослідження є положення і відповідальність відділу ІБ як найважливішого провідника стійкості ІТ-інфраструктури з точки зору ІБ. Дослідження показало, що російські організації набагато більш підготовлені до вирішення проблем інформаційної безпеки, ніж їхні західні колеги: 45% респондентів мають виділені ІБ-служби, в той час як на Заході цей показник становить 27%.

У той же час Росія відстає від глобальних тенденцій з точки зору місця ІБ-служби в ієрархії організації: лише в 25% організацій ІБ курирує безпосередньо перша особа. У загальносвітовій практиці цей показник становить 46%.

У короткостроковій перспективі слід очікувати посилення ролі ІБ-служби в бізнес-процесах та її впливу в структурі російських організацій.

Російські компанії розуміють необхідність політики управління змінами в ІТ-системі і активно впроваджують її, однак зміст реалізованих проектів ще не цілком відповідає міжнародним стандартам і потребує доопрацювання.

Служба ІБ в структурі сучасної організації

Одним з найбільш вражаючих результатів дослідження став показник присутності виділеної служби ІБ в структурі сучасних організацій. 46% респондентів позитивно відповіли на це питання, проте все ж велика частина учасників опитування (48%) заявила про відсутність такої (мал. 3.20). Цей факт свідчить про високо динамічні позитивні тенденції. Підприємства винятково швидко усвідомлюють необхідність більш відповідального ставлення до захисту інформації, що неможливо без створення виділеної служби. У дослідженні «Внутрішні ІТ-загрози в Росії — 2004» цей показник дорівнював всього 16%, причому 94% організацій з цього числа заявили, що ІБ-служба була створена протягом останніх двох років. До цього захистом даних займалися ІТ-відділи, лише незначна частина яких (23%) мала виділеного співробітника для вирішення проблем ІБ. Настільки бурхливе зростання показника однозначно свідчить не просто про синхронізацію російської дійсності з глобальною тенденцією, але й про її випередженні. Згідно з дослідженням The State of Information Security Survey — 2005 аудиторсько-консалтингової фірми PricewaterhouseCoopers, лише 27% іноземних респондентів підтвердили існування виділених ІБ-відділів.

На жаль, в рамках цього дослідження не представляється можливим простежити точну відповідність вибірки генеральної сукупності. Незважаючи на це, результати свідчать про те, що російські організації істотно просунулися в плані професійного відношення до захисту інформації. Не випадково Росія займає одне з останніх місць у світі по збитку від комп’ютерних злочинів — вітчизняні компанії краще захищені від ворожої мережевої активності завдяки підготовці та досвіду ІБ-фахівців, а також професійному підходу до формування ІБ-стратегії.

Разом з тим Росія все ще відстає від загальносвітової практики місця ІБ-служби в ієрархії організації. Ключова роль інформаційної безпеки а отже, і в підтримці бізнес-процесів в цілому диктує необхідність наділення ІБ-служби великими повноваженнями, розширення сфери її відповідальності та виведення на якісно новий рівень підпорядкованості.

Всього 25% респондентів назвали перша особа компанії безпосереднім куратором питань інформаційної безпеки організації (мал. 3.21). Найбільша частка відповідей припадає на ІТ-службу (30%), найменша — на службу загальної безпеки (18%). 27% учасників дослідження заявили, що керівництво ІБ-службою делеговано іншим підрозділам.Зарубіжні дані помітно відрізняються від російських: в 46% організацій ІБ-служба підзвітна першій особі і в 36% — директорові з інформаційних технологій.

Подібний розрив цілком характерний для ринків, що розвиваються, де ІТ-процеси ще знаходяться в стадії становлення. Хоча Росія далеко попереду з точки зору впровадження виділених ІБ-служб, але все ще відстає від глобальних тенденцій визначення її місця в структурі організації. Це також підтверджує факт переважаючою підпорядкованості ІТ-службі. Об’єктивно сфера ІБ відбулася з ІТ, і на етапах становлення ІТ-фахівці поєднували обидві функції. Однак з розвитком технологій, зростанням ролі ІТ у бізнес-процесах, ускладненням корпоративних ІС і збільшенням значення ІБ остання була виділена в самостійну область.

Якщо ІБ-службі відвести не зовсім правильне місце, то це може звести нанівець успіхи за рахунок її створення. При некоректному розподілі функцій та обов’язків цей підрозділ може сприяти процвітанню бюрократії і додатково гальмувати бізнес-процеси.У майбутньому, безсумнівно, буде спостерігатися подальша реалізація тенденції перепідпорядкування ІБ-служби першій особі організації. Цього вимагає актуальна необхідність підвищення ролі ІБ в корпоративної ІТ-системі і посилення стратегічної ролі цього напрямку. Таким чином, компанії зможуть переключитися з тактики пожежогасіння до системного підходу щодо прогнозування та обліку ІТ-ризиків.

Управління ІТ-змінами в сучасній організації

Ефективне управління змінами є одним з найважливіших факторів стабільної роботи будь-якої ІТ-системи, незалежно від її масштабу і якісних характеристик. З ростом складності ІТ-інфраструктури пропорційно збільшуються ризики, пов’язані з кількістю користувачів, різноманітністю бізнес-процесів, відносин між підрозділами організації. Кожен новий елемент структури породжує нові зв’язки, які вимагають не просто інтеграції в ІТ-систему, але й чіткого обліку та формалізації на основі загальних правил. У зворотному випадку неможлива реалізація ефективної ІБ-політики і, як наслідок, стабільна робота ІТ-системи в цілому.

Для того щоб зрозуміти, що і як захищати, необхідно знати точний стан системи за всіма параметрами. Крім того, впровадження централізованої системи управління змінами дозволяє зробити ІТ-систему прозорою, відчужуваної, максимально незалежною від людського фактору і більше адаптивною до змін бізнес-цілей. 46% респондентів дослідження підтвердили, що в їхніх організаціях існує політика управління змінами ІТ-системи (мал. 3.22). Цей показник разюче точно корелює з часткою компаній з виділеною ІБ-службою (46%). Такий зв’язок дозволяє припустити, що серйозне ставлення сучасної організації до питань ІБ тягне створення виділеного підрозділу, який стає провідником реалізації ефективного механізму управління змінами. 36% опитаних заявили про відсутність такого механізму і 18% не змогли відповісти на дане питання.В цілому експерти Info Watch вважають такий розподіл відповідей дуже обнадійливим. Попередні очікування, засновані на емпіричній оцінці стану справ, були набагато скромнішими. Отриманий результат свідчить про дуже високу підготовленості російських організацій з точки зору врахування змін ІС, що позитивно позначається на їх рівні захищеності.Не менш важливе питання, безпосередньо впливає на ефективність політики управління змінами, пов’язаний з залученістю підрозділів в процес прийняття рішень і розподілом їх ролей. Ідеальна система командної роботи відділів полягає в чіткому визначенні зон відповідальності, функцій і регламенту взаємодії.

Дослідження показало, що майже в 2/3 випадків (69%) у цей процес втягнута ІТ-служба (мал. 3.23). Зі значним відставанням далі йдуть ІБ-служба (31%), рада директорів (27%) і HR-служба (5%). 20% опитаних заявили про причетність інших підрозділів, і тільки в 7% організацій в управлінні змінами в ІТ-системі беруть участь всі перераховані служби.

Отримані дані свідчать про те, що російські організації знаходяться на початковому етапі реалізації ефективної системи управління змінами. Цей процес повинен обов’язково включати підрозділ-власника конкретного інформаційного ресурсу або сервісу, ІТ-службу та ІБ-службу. Ідеальна схема взаємодії, формалізована у міжнародному стандарті ISO 17799, має на увазі, що власник ресурсу ініціює зміни, ІТ-служба розробляє план реалізації та після затвердження ІБ-службою втілює їх у життя. У той же час глобальні стратегічні зміни ІС повинні також проходити узгодження на найвищому рівні — у раді директорів або з першою особою організації.

У російській дійсності спостерігається неузгодженість дій підрозділів і обескураживающе низька залученість фахівців з ІБ. Ця особливість дозволяє зробити висновок, що впроваджені політики управління змінами ще далекі від ідеалу і вимагають доопрацювання.

Ефективне управління змінами можливо тільки при використанні комплексу організаційних і технічних засобів, що описують правила «гри». З одного боку, це забезпечує координацію взаємодії підрозділів, з іншого — повністю автоматизує процес, мінімізуючи ризик, пов’язаний з людським фактором.

Результати опитування показують, що 62% російських організацій застосовують технічні засоби та 57% — організаційні заходи (мал. 3.24).

Більш детальне вивчення відповідей показало, що в цьому багатоваріантному питанні респонденти даних груп майже повністю перетинаються. Отже, організації комплексно підходять до проблеми реалізації управління змінами — впровадження проходять одночасно обидві складові.

Іншим важливим аспектом, що характеризує ефективність управління змінами корпоративної ІТ-системи, є порядок складання та прийому заявок. По суті, заявки ініціюють зміни, і від їх правильної обробки та контролю за виконанням залежить стабільність роботи ІТ-інфраструктури з точки зору відповідності як бізнес-процесам, так і ІТ-безпеки організації в цілому.

Дані дослідження свідчать про те, що письмова форма складання заявок закріплена більш ніж у половині російських організацій: 35% респондентів підтвердили наявність готових шаблонів і правил складання, 21% обмежуються напрямком формального листи у вільній формі (малюнок 3.25). Більш глибоке вивчення питання виявило (малюнок 3.26), що в цих компаніях заявки централізовано приймаються власниками ресурсів (45%) або ж пересилаються в загальну систему документообігу (11%).

Ці результати ще раз підтверджують, що більше половини російських організацій розуміють важливість врахування змін і вже впровадили систему обробки заявок.

Результати дослідження «ІТ-безпека і керування інформаційною системою сучасної організації» перевершили наші найоптимістичніші очікування. Виявилося, що російські організації не тільки почали процес впровадження правильних процедур в область ІБ і управління змінами в ІТ-системі, але й за деякими параметрами навіть перевершили загальносвітовий рівень. Перш за все це відноситься до створення виділених ІБ-служб, відповідальних за розробку та реалізацію політики захисту інформаційних ресурсів.

Разом з тим спостерігається і деякий дисбаланс у цьому напрямку. Зокрема, це стосується місця ІБ-служби в структурі організації, розподілу ролей у процесі прийняття рішень, взаємодії підрозділів. Крім того, залишає бажати кращого розповсюдження технічних та організаційних засобів управління змінами та створення регламентів подачі та обробок заявок на зміни, тим більше що компаніям уже пора задуматися про наступний крок — зрощуванні систем управління і контролю в єдиний механізм. Однак у цілому стан справ можна охарактеризувати як сприятливий.

Виявлені тенденції свідчать про те, що в короткостроковій перспективі Росія подолає ці перешкоди і виявиться в авангарді глобальної мейнстріму. Вже зараз можна сказати, що вітчизняні організації набагато більш стійкі по відношенню до ворожого мережевого оточення. Це підтверджують дані про поширення шкідливих програм і про збитки від хакерських атак. Проте хаос і незнання стану власної ІТ-системи являє собою не меншу загрозу. Реалізація відсутніх заходів дозволить ефективніше боротися з внутрішніми ІТ-загрозами (зокрема, розкраданням конфіденційної інформації), а також більш системно підходити до прогнозування і проактивного захисту.

У заключній лекції даються останні рекомендації впровадження технічних засобів захисту конфіденційної інформації, докладно розглядаються характеристики і принципи роботи рішень InfoWatch

3.5 Програмні рішення InfoWatch

Продукти InfoWatch базуються на двох фундаментальних технологіях — контентної фільтрації та аудиті дій користувача або адміністратора на робочому місці. Також складовою частиною комплексного вирішення InfoWatch є сховище інформації, що покинула інформаційну систему і єдина консоль управління внутрішньою безпекою (мал.  3.27).

Контентная фільтрація каналів руху інформації

Основною відмінною рисою контентної фільтрації InfoWatch є використання морфологічного ядра. На відміну від традиційної сигнатурної фільтрації, технологія контентної фільтрації InfoWatch має дві переваги — нечутливість до елементарного кодуванню (заміні одних символів на інші) і більш високу продуктивність. Оскільки ядро ​​працює не зі словами, а з кореневими формами, вона автоматично відсікає корені, які містять змішані кодування. Також робота з коренями, яких у кожній мові налічується менше десяти тисяч, а не зі словоформами, яких в мовах близько мільйона, дозволяє показувати значні результати на досить непродуктивному устаткуванні.

Аудит дій користувачів

Для моніторингу дій користувачів з документами на робочій станції InfoWatch пропонує кілька перехоплювачів в одному агенті на робочій станції — перехоплювачі файлових операцій, операцій друку, операцій всередині додатків, операцій з приєднуючими пристроями.

3.6  Сховище інформації, що покинула інформаційну систему по всіх каналах.

Компанія InfoWatch пропонує сховище інформації, що покинула інформаційну систему. Документи, які пройшли по всіх каналах, що ведуть назовні системи — електронною поштою, Інтернет, друк та змінні носії, зберігаються у програмі * storage (до 2007 р. — модуль Traffic Monitor Storage Server) із зазначенням всіх атрибутів — ПІБ і посада користувача, його електронних проекцій (IP-адреси, облікового запису або поштової адреси), дати і часу здійснення операції, імені та атрибутів документів. Вся інформація доступна для аналізу, в тому числі і контентного.

Супутні дії

Впровадження технічних засобів захисту конфіденційної інформації представляються малоефективними без використання інших методів, перш за все організаційних. Вище ми вже розглянули деякі з них. Тепер зупинимося докладніше на інших необхідних діях.

Моделі поведінки порушників

Розгорнувши систему моніторингу дій з конфіденційною інформацією, крім нарощування функціонала і аналітичних можливостей, можна розвиватися ще в двох напрямках. Перше — інтеграція систем захисту від внутрішніх і зовнішніх загроз. Інциденти останніх років показують, що існує розподіл ролей між внутрішніми і зовнішніми зловмисниками, і об’єднання інформації з систем моніторингу зовнішніх та внутрішніх загроз дозволить виявляти факти таких комбінованих атак. Однією з точок дотику зовнішньої і внутрішньої безпеки є управління правами доступу, особливо в контексті симуляції виробничої необхідності для збільшення прав нелояльними співробітниками і саботажниками. Будь заявки на отримання доступу до ресурсів, не передбаченого службовими обов’язками, повинні негайно включати механізм аудиту дій з цією інформацією. Ще безпечніше вирішити завдання, які раптом виникли без відкриття доступу до ресурсів.

Запобігання витоків на етапі підготовки

Інший напрямок розвитку системи моніторингу внутрішніх інцидентів з конфіденційною інформацією — побудова системи запобігання витоків. Алгоритм роботи такої системи той же, що і в рішеннях щодо запобігання вторгнень. Спочатку будується модель порушника, по ній формується «сигнатура порушення», тобто послідовність дій порушника. Якщо кілька дій користувача збіглися з сигнатурою порушення, прогнозується наступний крок користувача, якщо і він збігається з сигнатурою — подається сигнал тривоги. Наприклад, був відкритий конфіденційний документ, частина його була виділена і скопійована в буфер, потім був створений новий документ і в нього було скопійовано вміст буфера. Система припускає: якщо далі новий документ буде збережений без мітки «конфіденційно» — це спроба викрадення. Ще не вставлений USB-накопичувач, не сформовано лист, а система інформує офіцера інформаційної безпеки, який приймає рішення — зупинити співробітника або простежити, куди піде інформація. До слова, моделі (в інших джерелах — «профілі») поведінки порушника можна використовувати, не тільки збираючи інформацію з програмних агентів. Якщо аналізувати характер запитів до бази даних, завжди можна виявити співробітника, який поруч послідовних запитів до бази намагається отримати конкретний зріз інформації. Необхідно відразу простежити, що він робить з цими запитами, чи зберігає їх, підключає чи змінні носії інформації і т. д.

Організація зберігання інформації

Принципи анонімізації і шифрування даних — обов’язкова умова організації збереження і обробки, а віддалений доступ можна організувати по термінальному протоколу, не залишаючи на комп’ютері, з якого організується запит, ніякої інформації.

Інтеграція з системами аутентифікації

Рано чи пізно замовнику доведеться використовувати систему моніторингу дій з конфіденційними документами для вирішення кадрових питань — наприклад, звільнення співробітників на основі фактів, задокументованих цією системою або навіть судового переслідування осіб, що допустили витік. Однак все, що може дати система моніторингу — електронний ідентифікатор порушника — IP-адреса, обліковий запис, адресу електронної пошти і т.д. Для того, щоб законно звинуватити співробітника, потрібно прив’язати цей ідентифікатор до особистості. Тут перед інтегратором відкривається новий ринок — впровадження систем аутентифікації — від простих токенів до просунутої біометрії і RFID — ідентифікаторів.

ВИСНОВКИ

Результатом виконаної роботи є методичні рекомендацій щодо використання сучасних методів і засобів при створення системи заходів щодо забезпечення внутрішньої безпеки інформаційних технології, які застосовуються в організації.У процесі виконання роботи отримані наступні результати:

  1. Сформульовано основні тенденції та підходи до типової проблеми витоку конфіденційної інформації комерційної організації: дано визначення конфіденційної інформації підприємства, описані типові оточення і кругообіг конфіденційної інформації, способи її зберігання, а також проведений аналіз типових витоків і основних внутрішніх загроз.
  2. Сформульований загальний підхід до оцінки ефективності захисту конфіденційної інформації комерційного підприємства, досліджено основні напрямки її захисту, а також основні тип порушників.
  3. Запропоновано методичні рекомендації щодо створення системи сучасних методів і засобів для забезпечення внутрішньої безпеки інформаційних технологій, використовуваних на комерційному підприємстві, і мають у своєму складі: систему організаційних заходів захисту, службу обміну миттєвими повідомленнями, службу роботи з нелояльними співробітниками і саботажниками, а також систему управління в ІТ-інфраструктурі.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 

  1. Богуш В.М., Юдін О.К. Основи інформаційної безпеки держави. — К.:‘‘МК ПРЕС’’, 2005. — 432 с.
  2. Скиба В.Ю, Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. – СПб.: Питер, 2008. – 320 с.
  3. Введение в защиту информации от внутренних ИТ-угроз. http://www.intuit.ru/department/security/infowatch/.
  4. Внутренние ИТ-угрозы в России 2006. http://www.viruslist.com/ru/analysis?pubid=204007530.
  5. Внутренние IT-угрозы в России 2007-2008: итоги и прогнозы. http://www.viruslist.com/ru/analysis?pubid=204007596.
  6. Ульянов В. Динамика безопасности: от внешних угроз – к внутренним Защита информации. INSIDE № 4, 2008, С.2-6.