Сегодня даже неспециалистам крупных компаний известен термин «инсайдер». Изначально это слово относилось ко всем, у кого есть доступ к закрытой, конфиденциальной информации, связанной с определенной группой, общностью людей. Теперь же оно приобрело, скорее, негативную окраску: под инсайдером все чаще понимают некоего внутреннего врага организации, работающего на передачу важных данных во внешний мир с определенными целями.
Информация навынос
Инсайдеров, которые наносят ущерб компании, «сливая» критичную информацию во внешний мир, можно условно разделить на две группы: действующие без умысла (по неосторожности или разгильдяйству) и похищающие данные намеренно. К первой категории относятся в основном менеджеры младшего и среднего звена, незнакомые с правилами обращения с конфиденциальной информацией или просто пренебрегающие этими правилами. Топ-менеджеры в большинстве знают тонкости основных бизнес-процессов и осведомлены об ответственности за инсайдерство гораздо лучше, поэтому редко попадаются на халатном обращении с секретными данными. Зато руководящий состав и специалисты, чья деятельность непосредственно связана с конфиденциальной информацией (представители служб ИТ, ИБ, финансисты), становятся самым слабым звеном именно в части намеренных утечек.
Таким образом, навредить компании может абсолютно любой ее сотрудник, причем в любой момент. Как? Возможностей множество. Зачастую инциденты происходят среди работников с самыми «благими намерениями» — тех, кто выносит информацию за пределы офиса, чтобы дополнительно поработать во внерабочее время. По данным опросов Superjob.ru и Zecurion, почти четверть сотрудников (23%) трудится над корпоративными документами вне стен своих учреждений несколько раз в неделю. Основную опасность представляет физический вынос за пределы организации информации на электронных носителях (на флэшке, мобильном устройстве и т. д.).
Также серьезную опасность, по мнению Евгения Моржевилова, руководителя направления консалтинга Canon в России, представляют инциденты с бумажными носителями (около 25% всех инцидентов ИБ в корпоративном документообороте). «Один из способов сокращения таких инцидентов — уменьшение объема бумажного документооборота в целом. Этого можно добиться, к примеру, через внедрение системы карточного доступа к печатающим устройствам. По статистике, такая мера позволяет сократить объем печати на 20%», — поясняет Моржевилов.
Кроме того, случайные утечки происходят из-за искажения документов или маршрутов и графиков их прохождения. Стоит отметить, что некорректное обращение с корпоративной почтой (пересылка конфиденциальных данных компании на внешние адреса или сотрудникам, не имеющим права доступа к ней), публикация закрытых данных на различных интернет-ресурсах или на сайте организации могут наделать немало бед. Также конфиденциальные данные могут быть полностью или частично утеряны по неосторожности или искажены.
Вариантов случайных утечек может быть множество, но основная причина таких происшествий — одна. Андрей Данкевич, руководитель отдела аналитики и спецпроектов компании InfoWatch, уверен, что всему виной отсутствие формализованных бизнес-процессов по работе с документооборотом, учитывающих требования ИБ. Аналитический отчет InfoWatch за 2012 год свидетельствует, что именно организационные меры сегодня являются слабым местом ИБ в российских компаниях.
Злонамеренные инсайдеры четко знают, какая информация им нужна и как ее получить. Бывает и так, что доступ к данным компании злоумышленники получают снаружи. Как рассказал Илья Медведовский, директор компании Digital Security, такие случаи нередки, если документооборот имеет внешние интерфейсы или соединение с внешними системами вроде портала через интеграционные шины. По его словам, хорошо известна атака на системы на базе SharePoint, когда подрядчик, являющийся пользователем системы, готовит специальным образом созданное письмо с эксплойтом, отправляет его внутрь системы и получает административные права. Аналогичные атаки возможны и в системах SAP.
Данкевич не сомневается, что случайные и злонамеренные инциденты одинаково опасны. Причины таких происшествий менее важны, чем возможный ущерб от них. Ведь под ударом оказываются самые ценные ресурсы организации. По оценке InfoWatch, наиболее уязвимая в этом отношении информация — персональные данные (на них приходится 65% утечек), также очень часто утекает коммерческая тайна (26% от общего числа инцидентов).
«Основная мера по снижению рисков, возникающих из-за влияния человеческого фактора, — методическая работа с персоналом, — уверен Михаил Колодин, начальник отдела по работе с корпоративными клиентами компании «ИнтерТраст». — Она включает как обучение пользователей и работу с администраторами, так и управление инцидентами (всеми нерегламентированными событиями, приводящими к возможным нарушениям режима управления документацией, в их числе — попытки отправки данных через личную почту, копирование корпоративных данных на внешние носители и т. п.). Разумеется, немаловажную роль играют также политика управления доступом к корпоративной информации и разграничение прав доступа».
Поймай его, если сможешь
Спрогнозировать инциденты в корпоративном обороте сложно, превентивные меры здесь мало помогают (особенно, если речь идет о случайных происшествиях). Что касается злонамеренного инсайдерства, то, по мнению большинства экспертов, от него вообще невозможно защититься.
Виновных отследить сложно, для определения тяжести содеянного в организации должны быть четко регламентированы правила доступа к корпоративным ресурсам, классифицированы все данные по степени конфиденциальности, все действия должны протоколироваться с учетом сотен различных сценариев. Поскольку этого нет в большинстве организаций, то даже после серьезных происшествий расследовать оказывается нечего.
Если допустить, что виновник утечки данных выявлен и доказана его причастность, практически нереально применить к нему хоть сколько-нибудь справедливое наказание. И это несмотря на то, что за нарушение правил пользования корпоративной информацией зачастую предусмотрена административная, гражданско-правовая и даже уголовная ответственность.
Данкевич рассказал, что в зависимости от типа «утекших» данных к нарушителю можно применить федеральные законы 152-ФЗ, 149-ФЗ, 98-ФЗ, а также различные статьи Гражданского и Налогового кодексов. Однако, по его словам, «юридических прецедентов в этой сфере мало, прежде всего потому, что российские компании не хотят огласки произошедших утечек, чтобы избежать репутационных потерь».
Формально на защите интересов работодателя стоят и некоторые другие законодательные акты: ч. 3 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую тайну или банковскую тайну, причинившие крупный ущерб), ст. 272 УК РФ (неправомерный доступ к компьютерной информации), а также п/п. «в» п. 6 ст. 81 ТК РФ (увольнение за однократное грубое нарушение — в связи с разглашением охраняемой законом коммерческой тайны, ставшей известной работнику в ходе исполнения им трудовых обязанностей).
Алексей Волков, начальник отдела эксплуатации средств защиты информации управления по защите информации компании «Северсталь», предупреждает, что «привлечь к ответственности должностных лиц, виновных в нарушении правил корпоративного документооборота, можно только в одном случае — если эти правила подробно регламентированы, а участники процесса ознакомлены под расписку со всеми необходимыми регламентами и инструкциями (включая должностные)». По его словам, судебная практика показывает, что работодатель, уволивший нарушителя по соответствующей статье в ТК РФ, но не выполнивший требований законодательства, связанных с регламентацией процессов и ознакомлением пользователей, рискует оказаться в ситуации, когда суд обяжет его не только восстановить нарушителя на прежнем месте, но и выплатить тому компенсацию за нанесенный моральный ущерб.
Кстати, отметим, что, по данным опроса Zecurion, каждый третий сотрудник российских компаний (33%) не ставил свою подпись под соглашениями о неразглашении служебной информации. Еще 7% работающих в офисе соотечественников не помнят о том, обязаны ли они хранить коммерческую тайну. А 18% служащих, подписавших соглашение о неразглашении коммерческой тайны, вспомнили, что в официальных документах их компании санкции не предусмотрены.
Под постоянным вниманием
Как видим, надеяться на закон или на вдумчивый подход к обработке конфиденциальной информации со стороны сотрудников не стоит. Обеспечение безопасности критичных ресурсов компании должно быть предметом непрестанной заботы не столько службы безопасности и ИТ, сколько топ-менеджмента. Именно руководству необходимо воспринимать ИБ как постоянно развивающуюся систему, пронизывающую каждый бизнес-процесс, заботиться о ее нормальном функционировании и совершенствовании.
Максим Чирков, руководитель направления развития сервисов электронной подписи компании «Аладдин Р.Д.», обязательным условием для защиты информационных ресурсов компании считает актуализацию организационно-распорядительной документации в части использования защищенной СЭД. По его мнению, доступ сотрудников в систему должен организовываться посредством смарт-карт или USB-токенов; необходимо также использование электронной подписи с визированием всех действий пользователей ЭДО; разграничение доступа и сокрытие данных на основе криптографических методов; применение механизмов управления инцидентами; внедрение систем класса DLP. Не следует забывать и о постоянном обучении пользователей в соответствии с политиками ИБ.
Медведовский рекомендует для комплексного предотвращения инцидентов в корпоративном документообороте использовать системы управления событиями информационной безопасности (Security Information and Event Management, SIEM), которые предоставляют пользователям масштабную картину существующих угроз ИБ на разных уровнях. Кроме того, нужно регулярно производить обновление ПО и проверку уязвимостей в информационных системах, желательно с привлечением профессиональных аудиторов.
Однако даже при столь сложных проблемах и неоднозначных решениях, которые возникают в сфере обеспечения безопасности корпоративного документооборота, руководству не стоит терять оптимизм. По мнению Волкова, с которым трудно не согласиться, «если процесс выстроен хорошо, а пользователи обучены и удовлетворены качеством ИТ-сервиса, основная масса инцидентов всплывает на поверхность и устраняется в штатном режиме».