По мере роста бизнеса увеличивается ценность коммерческих сведений, хранимых и обрабатываемых в информационных системах организации. Ее менеджменту, а также владельцам информационных ресурсов стоит почаще задумываться о защите данных, ведь во многих случаях финансовые потери являются следствием проблем в сфере информационной безопасности. Относительно молодой рынок России только начинает взращивать профессиональных управленцев, которые умеют грамотно защищать свой бизнес от внешних и внутренних угроз.
В 1995 году финансовый мир всколыхнула история с сингапурским отделением Baring Bank. Ник Лисон был назначен главным менеджером в Baring Securities Limited в 1992 году. Из-за недосмотра со стороны начальства и отсутствия контроля Лисон вскоре взял на себя три взаимоисключающие роли в компании: в дополнение к официальной должности он стал ведущим трейдером и возглавил бэк-офис. Последующая затем незаконная торговля Лисона на японской бирже Nikkey подробно описана им самим в книге «Трейдер-мошенник». В ней он назвал невежество главным козырем инсайдера: «Люди в лондонском офисе Barings считали себя такими всезнайками, что никто даже не попытался задать мне простой вопрос, чтобы не выглядеть дураком в глазах остальных». Мошенничество процветает там, где начальство некомпетентно, неинформировано, несведуще или попросту не проявляет достаточного интереса к вопросам безопасности.
В последнее время число рисков, связанных с инцидентами в области информационной безопасности и способных нанести серьезный ущерб компании, в том числе репутационный, заметно выросло. В кризис многие компании откатились к сомнительным методам конкурентной борьбы. В частности, они нередко используют экономический шпионаж.
К сожалению, большинство руководителей пока не отдают себе отчета в том, какими последствиями может обернуться недостаточное внимание к информационной безопасности, и не задумываются серьезно о мерах по защите информационных ресурсов. В таких компаниях, как правило, вспоминают об этом, только когда серьезный инцидент (вторжение, мошенничество или саботаж) уже произошел. Нередки ситуации, когда представление о рисках в компании весьма размыто, неформализовано и по сути носит вид голословных утверждений. Службы безопасности уделяют много времени борьбе с внешними угрозами, упуская из виду, что наиболее серьезные риски для бизнеса находятся внутри компании.
Слабость фундаментальных правил
Эдвард Уайлдинг, эксперт в области расследования компьютерных преступлений, автор книги «Компьютерные улики: руководство для проведения расследований», сравнивал инсайдера с бомбой замедленного действия. Очень важно, чтобы все сотрудники и менеджеры департаментов знали, когда, как и куда им стоит обратиться в случае подозрения в мошенничестве, неправомерном использовании компьютера или преступлении сотрудника. Если в данной схеме есть сбои, то руководство может не получить информации о серьезном правонарушении, и последствия могут оказаться трагичными не только для бизнеса, но и для сотрудников.
Во многих компаниях имеются службы безопасности и расследований, которые первыми должны быть поставлены в известность о подобных инцидентах. Они ответственны за выявление всех обстоятельств дела и реагирование на нештатные ситуации. Свою эффективность доказали также телефоны доверия и схемы анонимной работы со свидетелями.
В этой схеме поведения, взятой скорее из учебника по ИБ, есть множество изъянов. Во-первых, велик соблазн скомпрометировать коллег по работе, если сообщение будет анонимным. Во-вторых, во многих компаниях просто нет внутренних планов и регламентов, описывающих процедуру реагирования на инциденты, связанные с враждебными или преступными действиями сотрудников. По оценкам Дениса Калемберга, руководителя направления по работе с клиентами финансового сектора компании «Аладдин Р.Д.», сегодня подобные регламенты существуют максимум в 5% коммерческих компаний, причем чем крупнее компания, тем с большим вниманием относятся к данному вопросу.
По мнению Дмитрия Кострова, директора по проектам компании «МТС», причина отсутствия подобных регламентов на случай расследования инцидентов кроется в юридической неграмотности отдела безопасности: «Сложного тут ничего нет. У большинства компаний существует подразделение расследований, например в области экономической безопасности. Задача ИБ сводится к тому, чтобы в правильном виде предоставить отделу экономической безопасности необходимую информацию для проведения внутренних расследований».
На случай инцидента важно иметь четкую процедуру пошагово проработанных действий. Эта процедура в виде блок-схемы должна описывать все входы и выходы и не иметь двойственных толкований действий, чтобы можно было быстро среагировать на противоправное событие. Без привлечения внешних консультантов эту задачу решить крайне сложно. Но если привлекать, то им придется открыть особенности работы службы безопасности, а на это способны решиться далеко не все, поскольку далеко не все имеют достаточный опыт работы в вопросах безопасности с внешними специалистами. Для подготовки эффективных процедур нужно иметь не теоретический, а практический опыт расследования инцидентов. К сожалению, людей, имеющих подобный опыт, в России крайне мало.
В результате на практике, когда возникает необходимость разрешить чрезвычайную ситуацию в области ИБ, чаще всего собирается комитет, организуется активная дискуссия, которая без четких, заранее подготовленных правил и действий может легко перерасти в скандал. Старшие сотрудники и руководители департаментов пытаются предпринять что угодно (в том числе обвиняют друг друга), чтобы снять с себя ответственность за случившееся. Опасность такого подхода в том, что, пока идут горячие споры, драгоценное время уходит, а никаких действий для снижения ущерба, восстановления работы, обнаружения и преследования злоумышленников не предпринимается. Подобные способы могут привести к серьезным ошибкам, наиболее распространенная из которых — голословное обвинение сотрудника, основанное на слухах и предположениях. В такой ситуации подозреваемый будет все отрицать и впоследствии постарается уничтожить следы своих действий.
Кроме того, в подобной ситуации легко прослеживается конфликт интересов служб ИБ и ИТ: сотрудникам службы ИБ важно поймать злоумышленника за руку, взять его с поличным, а для ИТ-службы, в случае возникновения подобных инцидентов, важно как можно быстрее устранить их последствия, вернуть все системы к нормальному функционированию. В результате работа по инцидентам не ведется, так как нет службы, способной с этим справиться, поскольку сотрудники ИБ зачастую не имеют сил, полномочий и влияния, чтобы расследование довести до конца.
Путь судебных практик
По мнению Калемберга, суды России в целом готовы к рассмотрению дел, связанных с инцидентами в области инсайдерства, но из-за того что компании очень редко правильным образом организуют процесс сбора доказательств, сотрудники, уволенные по статье за разглашение конфиденциальной информации, нередко обжалуют свое увольнение через суд, причем успешно. «Известен случай, когда в результате передачи сотрудником своего пароля было совершено несанкционированное списание денежных средств со счета компании, — рассказывает Калемберг. — Данный сотрудник был уволен по статье за нарушение политик информационной безопасности, но доказательная база не была должным образом оформлена. В результате он подал на своего работодателя в суд, выиграл дело и затем уволился уже по собственному желанию».
Для успешного рассмотрения вопросов в судебно-правовом порядке требуется соблюдение ряда процедур по организации и техническому сопровождению данного процесса. Все операции должны быть подтверждены соответствующими актами, зафиксированы контрольные суммы собранных данных (логов, образов дисков ) и т. д. Если организация сама собирает доказательства участия какого-то сотрудника в противоправных действиях, то для суда они не будут иметь никакой силы, поскольку такими полномочиями обладают только правоохранительные органы. «Поэтому рекомендуется приглашать сотрудников внутренних дел, и они при участии службы безопасности или приглашенного консультанта придают доказательствам требуемую юридическую значимость», — советует Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco Systems в России.
Юридически значимые доказательства, считает Костров, можно подготовить, если правильно собирать данные, привлекая к этому представителей МВД. Особенно эта задача упрощается, если к процессу расследования инцидента ИБ привлекают специалистов из службы расследования экономических преступлений. Как правило, у них уже существует отлаженный механизм взаимодействия с правоохранительными органами. Правда, остается открытым вопрос, какого результата компания хочет добиться? «Из всех случаев, где я выступал экспертом, только один увенчался судебным расследованием. Как правило, по соглашению сторон виновник инцидента просто увольнялся из компании. Сложность оценки нанесенного урона и возбуждения уголовного преследования виновного приводила к тому, что инсайдера проще уволить, чем передать расследование в суд».
Эту точку зрения разделяет и Лукацкий. По его мнению, расследование инцидентов хотя бы теоретически должно приводить к поиску злоумышленников с целью возмещения ущерба. В России эта схема не работает. Во-первых, сложно поймать, а во-вторых, получить с виновника компенсацию практически невозможно. В лучшем случае он отделается символическим штрафом или условным наказанием. «Следовательно, ловить и расследовать не имеет смысла, — считает Лукацкий. — Проще как можно быстрее восстановить систему и не разбираться в последствиях инцидентов».
Российские суды не очень-то горят желанием рассматривать дела, связанные с инцидентами в области ИБ. Как правило, подобные дела считаются незначительными. Кроме того, очень сложно предоставить суду убедительную доказательную базу. Цифры, пользовательские записи, журналы изменений и пр. остаются непонятными суду. Экспертов, к которым они могли бы обратиться за комментариями, крайне мало. Как результат — уровень доверия к подобной доказательной базе чрезвычайно невысок. В итоге рассмотрения дел затягиваются, суды тормозят с принятием решений и либо оставляют дело без внимания в связи с недоказанностью, либо дают условные сроки.
Если подобные практики в России обречены, то зачем тратить силы и время? Разве что для того, чтобы подготовиться к увольнению скомпрометировавшего себя сотрудника и при этом не подставить бизнес под удар в результате претензий этого же сотрудника, которые он может предъявить в судебном порядке.