Нестабильная экономическая ситуация обостряет рыночную конкуренцию и вынуждает компании к сокращению расходов. Сокращаемые сотрудники, которые, как правило, недовольны политикой работодателя, могут нанести большой вред бизнесу. Уходя, они стремятся прихватить с собой конфиденциальную информацию в надежде выгодно продать или воспользоваться ею на новом месте работы. Конкуренция на рынке труда предполагает, что кандидат на должность, уже обладающий клиентской базой, имеет преимущество перед другими соискателями.
Компания Cyber-Ark провела исследование «Мировая рецессия и ее влияние на рабочую этику», в ходе которого треть из 600 офисных служащих Великобритании, Нидерландов и США подтвердили, что согласны на снижение зарплаты и работу 80 ч в неделю. Все они пользуются правами доступа к конфиденциальной информации, которую, не задумываясь, унесут с собой в случае увольнения. Они готовы специально заняться поиском ценных сведений в корпоративной сети и предложить взятку ИТ-специалисту, чтобы он им помог. Свыше половины респондентов уже скопировали себе корпоративную информацию (базы данных, планы развития, адресные справочники и т.д.), чтобы использовать ее как козырь при поиске новой работы.
Такое поведение — типичный пример деятельности инсайдеров, то есть лиц, имеющих, в силу служебного или семейного положения, доступ к конфиденциальной информации предприятия.
Инсайдер инсайдеру рознь
Борьба с внутренними угрозами информационной безопасности представляет собой многогранную проблему. Поскольку сами инсайдеры различаются, в отношении каждого из них нужно подобрать оптимальный набор защитных мер.
Самый опасный злоумышленник — инсайдер, имеющий «заказ» на конкретную информацию о предприятии. Возможны два варианта: сотрудник специально внедрился в компанию для получения доступа к определенным сведениям или занимается «подработкой» время от времени.
К инсайдерам относятся и сотрудники, стремящиеся нанести вред предприятию по личным мотивам. Чаще всего причиной этого является чувство недооцененности их роли в коллективе. Такие сотрудники не собираются покидать компанию, но стремятся нанести ей вред, например, путем уничтожения или фальсификации данные.
В категорию потенциально опасных попадают сотрудники, решившие сменить место работы или открыть собственный бизнес. Порой они не скрывают факта хищения конфиденциальных данных, используя его как гарант комфортного увольнения — с компенсацией и рекомендациями.
Однако самым распространенным типом инсайдера является невнимательный сотрудник, нарушающий правила хранения конфиденциальной информации «из лучших побуждений». Например, он выносит данные из офиса для работы дома или в командировке. Против таких нарушителей действенны простые технические средства перекрытия каналов утечек — контентная фильтрация исходящего трафика в сочетании с контролем над устройствами ввода-вывода.
Каналы утечки
Технически утечка данных может произойти по множеству каналов: через корпоративный почтовый сервер, через Internet-канал при использовании публичных почтовых систем или Web-служб для размещения файлов, посредством беспроводных подключений (WiFi, Bluetooth), принтера и мобильных носителей. «Орудиями преступления» бывают фотокамеры, смартфоны, DVD, системы IM (Skype), устройства iPod.
Решить проблему утечки данных раз и навсегда нереально. Даже в условиях разграничения прав доступа к документам сотрудник может показать на мониторе ПК коллеге ту информацию, которая не должна быть ему доступна. Информацию даже не обязательно копировать или распечатывать — достаточно сделать запись вручную с экрана монитора, зачитать ее по телефону, наговорить на диктофон, наконец, передать по памяти.
Аналитический центр InfoWatch проанализировал все утечки конфиденциальной информации, упоминавшиеся в СМИ в 2008 году. Подавляющее большинство инцидентов (97,5%) было связано с персональными данными (ПД). Доля преданных гласности сведений, связанных с коммерческой тайной, корпоративными ноу-хау или гостайной, составила менее 1% общего числа.
Специалисты InfoWatch отметили существенный рост доли намеренных утечек по сравнению с 2007 годом — с 29 до 45%. Они объясняют это тем, что современные системы предотвращения утечек конфиденциальной информации допускают все меньше случайных инцидентов. Однако стоимость персональных данных растет, кража личных идентификаторов (identity theft) поставлена на поток, и в этот криминальный бизнес вовлекается все больше исполнителей.
Максимум намеренных утечек ценной информации происходят через сеть (48%) и мобильные компьютеры (37%). Интересно, что результаты исследования полностью исключают использование электронной почты и архивных носителей при намеренной утечке информации. Бумажные носители тоже крайне редко упоминаются в сообщениях о краже данных. Аналитики InfoWatch сделали вывод, что защита электронной почты, принтера, резервных и переносных носителей нужна преимущественно для предотвращения случайных действий и ошибок персонала. По их мнению, самое слабое место защиты от инсайдеров — отсутствие шифрования данных на мобильных носителях и удаленного доступа к корпоративной сети.
По закону
Согласно ст. 183 Уголовного кодекса Российской Федерации, сотрудники, допустившие халатность или сознательный «слив» конфиденциальной информации, могут получить до 10 лет лишения свободы. Самая мягкая мера — увольнение с работы по ст. 81 Трудового кодекса. Самой компании, пострадавшей от утечки данных, могут грозить не только материальные и репутационные риски, но и преследование по закону.
В России принят ФЗ №152 «О персональных данных», в котором сформулированы требования к организациям, работающим с персональными данными; срок на подготовку — до 1 января 2010 года. До конца текущего года предприятия, работающие с ПД, должны провести ревизию всех имеющихся у них данных и выявить, какие именно относятся к разряду персональных. Их нужно классифицировать, определить места хранения, обработки и передвижения, предпринять организационные и технические меры защиты. Следует ознакомить сотрудников с правилами работы с такой информацией, а с субъектами ПД оформить соответствующие отношения, например получить от них письменные разрешения. Кроме того, владельцы персональных данных должны встать на учет в Россвязькомнадзоре.
При этом многие специалисты в области ИБ сходятся во мнении, что требования закона недостаточно конкретизированы. В первую очередь, не хватает единого стандарта защиты ПД, то есть практического руководства к действию, в котором четко определены критерии выполнения пунктов закона. Пока имеются только необязательные стандарты, подчас противоречащие друг другу. Поэтому отдельные организации ориентируются на собственные отраслевые стандарты — например, СТО БР ИББС 1.0 или Payment Card Industry Data Standard (PCI DSS) для банковской сферы.
В России также нет единого органа, который вместо расформированного Госстандарта отвечал бы за работу над стандартами в области ИБ. Регуляторами являются два ведомства — ФСБ (защита национальных интересов и применение криптографии) и ФСТЭК (разработка требований к защите данных). В создании некоторых руководящих документов по ИБ, предназначенных для телекоммуникационных компаний, участвует Ассоциация документальной электросвязи.
Отметим, что стандарты зачастую не успевают за современными техническими возможностями, порождающими новые угрозы, такими как виртуализация, VoIP и другие технологии. Развитие Internet и внутренних порталов на основе идеологии Web 2.0, увеличение численности пользователей, подключающихся по VPN, привели к появлению новых классов угроз и новых методов защиты от них.
С чего начать?
Организации необходимо установить режим коммерческой тайны (согласно ст. 10 ч. 1 Закона «О коммерческой тайне»), для чего ее руководитель должен издать приказ, определяющий права доступа сотрудников к конфиденциальной информации. Но сначала нужно определить, какие именно данные подлежат защите.
Главный специалист управления ИБ компании «Техносерв» Евгений Зубов подчеркивает, что самой актуальной проблемой является недостаточная категоризация конфиденциальной информации, которая приводит к «случайным» инцидентам. Пользователь может и не осознавать, что используемые им сведения секретны. Чаще всего корпоративная информация делится на следующие категории: публичная, ограниченного доступа, персональные данные сотрудников и собственно конфиденциальные сведения. Для каждой категории должны быть определены все процедуры — хранения, передачи, копирования, уничтожения.
Второй необходимой мерой Евгений Зубов считает централизованное хранение конфиденциальной информации. Иными словами, нужно провести инвентаризацию ресурсов, в первую очередь содержащих конфиденциальные сведения. Затем следует обратить внимание на программные системы, обрабатывающие эту информацию. Следующий шаг — инвентаризация физических ресурсов, на которых обрабатываются конфиденциальные сведения (серверов, коммуникационного оборудования и др.). В результате станет ясно, какая информация имеется в сети, где хранится, как обрабатывается, и можно будет определить, кто из персонала отвечает за ее сохранность.
Далее нужно организовать автоматизированный контроль над работой авторизованных пользователей с защищаемой информацией. На этом этапе потребуется создать множество документов, определяющих внутреннюю политику ИБ, — правила использования Internet, электронной почты, удаленного доступа, предоставления прав доступа к информационным ресурсам и т.д.
Без организации не обойтись
Эксперты все еще продолжают спорить о том, какие методы — технические или организационные — главенствуют при обеспечении внутренней безопасности. Большинство сходятся во мнении, что решение должно быть комплексным. Директор ИБ-департамента компании «Энвижн Груп» Дмитрий Огородников определяет его как комплекс мер, включающий в себя разработку и внедрение четкой политики защиты с разграничением прав доступа, идентификацией на всех уровнях доступа, постоянным мониторингом, аудитом и регистрацией нарушений ИБ, наконец, внедрением специализированных решений по борьбе с утечками. Также Огородников предлагает превентивные меры для отслеживания состояния и мотивации сотрудников — психологические тесты, проверку на детекторе лжи и т.д.
К организационным мерам относятся отключение на компьютерах пользователей коммуникационных портов, блокирование доступа к определенным сайтам, запрет применения открытых почтовых служб и установки бесплатных клиентов IM. Однако введение глобальных запретов не только ухудшает психологическое состояние сотрудников, но и может серьезно повлиять на производительность их работы, поскольку они не всегда могут получить доступ к нужной информации.
К мерам борьбы с намеренными утечками относится и стандартизация ПО: после установки на рабочих местах нужных приложений запуск других программ без участия администратора запрещен. Воспитание бдительности персонала, инструктаж новичков и временных сотрудников во многом предотвращают случайные утечки.
Дело техники
В основе технических решений, позволяющих противодействовать инсайдерам, — технологии фильтрации сетевого трафика и контроля над доступом к ресурсам. Кроме того, необходимы контроль и аудит использования информации для ретроспективного анализа инцидентов.
Среди средств защиты от инсайдеров чаще всего упоминают системы защиты от утечек — продукты класса DLP. Виктор Родионов, заместитель генерального директора по ИБ группы компаний РАМЭК, считает, что эффективность таких решений может оказаться на порядок меньше ожидавшейся, так как в них редко учитывается специфика бизнеса. «При внедрении DLP-решения должны учитываться особенности бизнес-процессов предприятия, его организационная структура и другие исходные данные. Важно не только обозначить цели, но и провести целый комплекс мероприятий по адаптации решения для конкретного предприятия», — говорит он.
Региональный представитель «Инстанта Дистрибьюшн» в Новосибирске Виталий Крехта рассказал, что на рынке представлены системы разграничения доступа, обнаружения, хранения и шифрования информации. Есть и комплексные решения, объединившие в себе все функции. При этом, считает Крехта, вся нагрузка ложится на специалистов по внедрению; приходится рассчитывать на их опыт и способность комплексно оценивать поставленные задачи. «Очень часто нужно искать компромисс между «надежнее», «выгоднее» и «проще в обслуживании», а значит, выбирать между комплексом решений одного производителя и максимально надежными, но порой плохо совместимыми продуктами разных разработчиков».
Владислав Ершов, ведущий системный аналитик отдела ИБ компании «Открытые Технологии», добавляет, что для обнаружения фактов мошенничества требуется не просто аудит, а анализ действий пользователей и выявление достаточно сложных сценариев мошенничества. Он считает оправданным использование решений класса Enterprise Fraud Management (EFM), в основе которых — единая платформа, аккумулирующая сведения о действиях пользователей и данные оповещения специальными системами противодействия инсайдерам, такими как DLP. Важно создать для сотрудников службы ИБ независимую систему, доступ к которой ИТ-администраторов будет исключен.