Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Классификация инсайдерских угроз: вероятные сценарии

Чтобы организовать эффективную систему защиты, следует посмотреть, какие угрозы представляют инсайдеры и какими средствами они располагают для их реализации. Удобнее всего это рассматривать в виде сценариев, каждый из которых учитывает конкретную цель неправомерных действий и технические средства ее достижения.

Неправомочное разглашение

В результате неправомочного разглашения или утечки важная для компании информация покидает корпоративный периметр и, в конце концов, попадает к лицам, у которых нет прав на доступ к этим данным и их использование. Это могут быть коммерческие и промышленные секреты фирмы, интеллектуальная собственность, персональные данные служащих, клиентов и партнеров, а также другие сведения, которые согласно проведенной классификации не являются публичными.

usergate

Отметим, что для реализации этой угрозы инсайдер располагает целым арсеналом технических средств. Прежде всего, он может выслать конфиденциальную информацию по сетевым каналам. Например, в корпоративной почте, веб-почте, через интернет (чат, форум и т.д.), посредством интернет-пейджеров (ICQ, MSN, Yahoo и AOL Messenger), P2P-сети и VoIP-программы, а также любые другие коммуникационные каналы. Кроме того, инсайдер запросто может скачать конфиденциальные файлы на USB-носитель, вывести нужные документы на принтер или записать информацию на любое внешнее устройство, которое можно подсоединить к рабочей станции. Для защиты от всех этих угроз применяют комплексные меры, предполагающие фильтрацию трафика (почта, интернет), контроль на уровне рабочей станции (принтер, внешние накопители и устройства), архивирование корпоративной корреспонденции (для эффективного расследования инцидентов внутренней ИТ-безопасности) и административные ограничения (например, блокирование P2P-сетей и любых других открытых каналов на уровне межсетевого экрана).

Как известно, противостояние в сфере ИТ-безопасности часто приводит к борьбе снаряда и брони. Нечто похожее наблюдается и в данном случае. Если инсайдеры знают, что в компании установлены средства фильтрации почтовых сообщений и веб-трафика, то они могут попытаться обмануть систему защиты. Например, при помощи различных преобразований над данными инсайдеры стараются помешать средству фильтрации. В ход идут шифрование, архивация с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменение кодировки, использование неизвестного программного обеспечения или иностранного языка для общения, с которым не знакомо большинство сотрудников компании. Однако все эти действия могут сработать только на относительно слабых средствах защиты. Лидирующие сегодня системы поддерживают большое количество форматов файлов (как раз тех, что используются в бизнесе) и умеют в режиме реального времени реагировать на любые подозрительные события (например, пересылка файла в неизвестном формате или в зашифрованном виде). Также нужно отметить, что средства защиты от утечек легко и полностью прозрачно интегрируются с системами шифрования. В этом случае заказчик может обеспечить полный контроль над трафиком, а также криптографическую защиту за пределами корпоративного периметра.

Украсть по неосторожности

Довольно часто инсайдеры подвергают корпоративные секреты риску непреднамеренно. Например, они могут случайно выложить секретные документы на веб-сайт, записать данные на ноутбук или карманный компьютер, который впоследствии будет украден или потерян, а также отослать конфиденциальные сведения по неверному почтовому адресу. Здесь могут использоваться те же самые средства защиты (фильтрация трафика и контроль операций на уровне рабочих станций) плюс шифрование данных на мобильных устройствах. Важно заметить, что, столкнувшись с невозможностью осуществить задуманную операцию (например, выложить документ в интернет или отослать по почте), такой инсайдер не станет упорствовать и, вероятно, обратится за помощью к коллегам, которые разъяснят неправомочность выполняемых действий. Именно этим, согласно экосистеме внутренних нарушителей, халатные и манипулируемые инсайдеры отличаются от обиженных и нелояльных.

Нарушение авторских прав на информацию

В рамках данной угрозы инсайдеры могут реализовать целый букет неправомерных действий. Например, скопировать части документов одного автора в документы другого автора (а также в почтовые сообщения, формы и т.д.), произвести индивидуальное шифрование документов, при котором компания лишается возможности работать с документом в случае утраты пароля или после увольнения сотрудника. Кроме того, инсайдеры могут использовать опубликованные в интернет материалы в своих документах без обработки, использовать мультимедиа-файлы (графику, аудио- и видеозаписи), программы и вообще любые другие информационные объекты, защищённые авторским правом. Наконец, инсайдер может попытаться подделать адресата отправителя с целью опорочить его доброе имя или скомпрометировать компанию. Конечно, все вышеперечисленные угрозы могут быть актуальны отнюдь не для всех организаций, но в каждом конкретном случае очень желательно, чтобы фирма могла предотвратить то или иное неправомочное действие своего служащего. Отметим, что для защиты от указанных угроз применяются средства контроля над всеми операциями, которые инсайдеры осуществляются на своих рабочих станциях.

Мошенничество

Современное мошенничество немыслимо без использования информационных технологий. На практике мошенничество часто сводится искажению финансовой документации, превышению полномочий при доступе к базе данных, модификации важной информации. В качестве защиты организациям следует использовать средства контроля над финансовой отчетностью, мониторинга всех действий пользователей и протоколирования любых операций с классифицированной информацией. Заметим, что внедрение систем защиты от утечек, когда обеспечивается полный контроль над обращением конфиденциальной информации в корпоративной среде, также позволяет создать целый ряд средств контроля, как над финансовой отчетностью, так и над другими важными документами. В результате использования такого решения организация может выявить искажение чувствительных сведений и, следовательно, идентифицировать виновного инсайдера — мошенника.

Развлечения на работе

Этот сценарий часто называют «злоупотребление сетевыми ресурсами», но на практике все сводится к одним и тем же угрозам. Во-первых, посещение сайтов неделовой (общей и развлекательной) направленности, не имеющих отношения к исполнению служебных обязанностей, в рабочее время. Во-вторых, загрузка, хранение и использование мультимедиа-файлов и развлекательных программ в рабочее время. В-третьих, использование ненормативной, грубой, некорректной лексики при ведении деловой переписки, загрузка, просмотр и распространение материалов для взрослых. В-четвертых, использование материалов, содержащих нацистскую символику, агитацию или другие противозаконные материалы. В-пятых, использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе персональных данных сотрудников, финансовых данных и т.д. Защита от всех этих угроз обеспечивается с помощью фильтрации почтовых сообщений и веб-трафика. Однако в отличие от фильтрации трафика при защите конфиденциальной информации от утечки, в данном случае производится фильтрация по совсем другим параметрам. Надо отметить, что средства защиты от нецелевого использования информационных ресурсов не позволяют предотвратить или выявить утечку. Точно так же системы предотвращения утечек не защищают от нецелевого использования ресурсов.

Саботаж ИТ-инфраструктуры

Как уже указывалось, в экосистеме внутренних нарушителей существует чрезвычайно опасный тип инсайдеров - «обиженные» или «саботажники». Главным отличием этих злоумышленников является стремление нанести вред по личным, чаще всего бескорыстным, мотивам. Это накладывает свой отпечаток на те угрозы, которые несут саботажники, и средства, которыми они могут воспользоваться. Дело в том, что для реализации своей цели обиженные инсайдеры готовы пойти буквально на все, часто не заботясь о самосохранении.

Отметим, что саботаж не случайно приведен в конце списка инсайдерских угроз, так как обиженные служащие могут реализовать любой из вышеперечисленных сценариев, а кроме них еще и диверсию. Например, саботажник может скопировать крайне важную для компании информацию на мобильный носитель, а потом уничтожить ее на всех серверах фирмы и даже в резервных копиях на материальных носителях. Естественно, после таких действий в руках саботажника оказываются рычаги давления на руководство.

Однако в некоторых случаях обиженный служащий может просто-напросто удалить все важные сведения на серверах и в резервных копиях, даже не оставив информацию себе. В этом случае саботажник хочет просто отомстить и превращается в диверсанта. Защита от всех этих действий должна включать два компонента. Во-первых, мониторинг рабочей атмосферы и корпоративных конфликтов. Во-вторых, технические ограничения действий каждого сотрудника.

Рейтинг опасности инсайдерских угроз

Абсолютно все аналитические отчеты указывают, что наиболее опасной инсайдерской угрозой является утечка конфиденциальной информации. Согласно исследованию «National Survey on Managing the Insider Threats», результаты которого были опубликованы Ponemon Institute в сентябре 2006 года, средний ежегодный ущерб в результате утечки информации из расчета на одну опрошенную компанию составляет 3,4 млн долл. Для сравнения аналогичный показатель потерь вследствие вирусных атак, согласно исследованию «2006 CSI/FBI Computer Crime and Security Survey», составляет менее 70 тыс долл. Кроме того, в памяти еще свежи утечки, в результате которых бизнес потерял десятки и сотни миллионов долларов. Например, компания ChoicePoint лишилась из-за кражи персональных данных почти 60 млн долл., а правительство США потратило на ликвидацию последствий утечки приватных сведений ветеранов более 500 млн. долларов.

Российские предприятия точно так же обеспокоены проблемой защиты своих информационных активов. Согласно исследованию компании InfoWatch, в ходе которого в конце 2005 года были опрошены более 400 российских предприятий, именно кража конфиденциальной информации была признана самой опасной угрозой ИТ-безопасности. В пользу этой точки зрения высказались 64% респондентов, в то время как на вредоносные коды и хакерские атаки указали лишь 49% и 48% соответственно.

Углубленный опрос респондентов показал, что российские компании опасаются утечек в основном по двум причинам. Во-первых, инциденты такого рода могут привести к потере конкурентоспособности фирмы. Например, если интеллектуальная собственность или база клиентов попадут к конкурентам. Как показывает практика, утечка всего 20% коммерческих секретов в 60% случаев приводит компанию к банкротству. Во-вторых, каждая утечка серьезно подрывает репутацию предприятия, так как в глазах его партнеров, инвесторов и клиентов фирма приобретает имидж организации, которая не в состоянии навести порядок в своих собственных стенах. В результате происходит отток инвестиций и миграция клиентов к конкурентам.

Кроме того, сегодня российский бизнес находится под давлением нескольких нормативных актов. Например, федеральный закон «О персональных данных» требует от всех организаций защитить от утечек приватные сведения служащих и клиентов, находящихся в интрасети. Предусмотрена также ответственность за нарушения закона: для виновных лиц — вплоть до уголовной, а для организации — гражданские риски о возмещении материального и морального ущерба. Этот закон был подписан Президентом РФ в конце июля 2006 года и вступает в силу с февраля 2007 года. Так что у российского бизнеса остается не так много времени для выполнения требований нового нормативного акта. Однако отметим, что отдельные отрасли экономики сталкиваются с дополнительным нормативным давлением со стороны регулирующих органов. Например, всем кредитно-финансовым организациям рекомендуется обеспечить совместимость со стандартом Банка России по ИТ-безопасности, а обязательным нормативным актом для банков является соглашение Basel II. Все эти регулирующие документы требуют обеспечить управление внутренним риском ИТ-безопасности и защиту от утечек.

Хотя наиболее опасным инсайдерским риском является утечка корпоративных секретов, другие угрозы также причиняют ущерб организации. Согласно исследованию «2006 CSI/FBI Computer Crime and Security Survey», средний ущерб из расчета на одного респондента в результате кражи мобильной технике (например, ноутбуков) составляет 30 тыс. долларов, вследствие телекоммуникационного мошенничества — 12,5 тыс. долларов, а в результате финансового мошенничества — вдвое больше.

Потери от самых разных инсайдерских угроз значительно меньше того ущерба, который причиняет утечка конфиденциальной информации. Единственным исключением является саботаж ИТ-инфраструктуры: финансовые потери от реализации этих инцидентов вполне сопоставимы с негативными последствиями утечки корпоративных секретов, но случается саботаж значительно реже. Согласно статистике организации CERT, изучившей несколько десятков случаев саботажа, почти половина респондентов (42%) потеряла до 20 тыс. долларов в результате одного инцидента. Лишь 11%  компаний лишились более 1 млн. долларов. Это меньше среднего ущерба от утечки, который, как указывалось ранее, составляет 3,4 млн. долларов.

Защита пока не совершенна

Организации сталкиваются с целым рядом инсайдерских рисков: утечкой конфиденциальной информации, мошенничеством, злоупотреблением сетевыми ресурсами и саботажем. Однако пока не существует ни одного комплексного решения, которое позволяло бы полностью защитить компанию от воздействия всех этих угроз. Тем не менее, на рынке достаточно решений, использование которых позволяет значительно сократить вероятность нанесения ущерба инсайдерами.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS