Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Экосистема внутренних нарушителей

Экосистема внутренних нарушителейВ ходе стремительного наращивания ИБ-арсенала организации часто упускают из вида главную опасность — внутреннего нарушителя. Т.е. собственного сотрудника, прошедшего все рубежи авторизации и получившего неограниченный доступ к корпоративной информации в пределах своей компетенции.

Если называть вещи своими именами, то в основе подхода к обеспечению ИТ-безопасности всегда лежал один простой подход — обнести информационную систему стенами, и чем выше и толще, тем лучше. Постепенно эта парадигма обрастала умными словами про системность, интегрируемость, обеспечение непрерывности, прозрачное встраивание в существующие бизнес-процессы, необходимость реализации комплексного подхода и пр. Не оспаривая важность этих аспектов, все же хочется отметить, что таким образом внимание ИБ-специалистов отвлекалось от качественного развития системы.

usergate

В течение многих лет компании отчаянно боролись с вирусными эпидемиями, обносили периметр межсетевыми экранами и системами предотвращения вторжений, внедряли VPN и мощные инструменты против неавторизованного доступа. Защита от враждебного внешнего окружения достигла небывалых высот — вторгнуться в информационную систему мог только профессионал самого высокого класса, да и то не каждый и не в каждую. Впопыхах, в этой «гонке вооружений» организации упустили из вида главную опасность — внутреннего нарушителя, собственного сотрудника, прошедшего все рубежи авторизации и получившего неограниченный доступ к корпоративной информации в пределах своей компетенции. Пока периметр оборудовался новым супер-современным файрволом, инсайдер беспрепятственно «сливал» налево финансовую информацию и интеллектуальную собственность компании, а также персональные данные коллег.

Так продолжалось годами. Пока, как обычно, не схватились за голову - посчитали и прослезились. Например, свежее исследование Deloitte&Touche Tohmatsu показало, что 100% опрошенных банков зафиксировали утечки информации за прошедший год, причем 72% респондентов потеряли в результате инцидентов более 1 млн. долларов. Данные PricewaterhouseCoopers за 2005 г. не менее обескураживающие: источником 33% всех ИБ-инцидентов были собственные сотрудники, 28% - бывшие сотрудники и контрактники.

Врага нужно знать в лицо

Первым шагом к принятию срочных мер по решению любой проблемы является выявление противника, что позволяет понять его мотивацию, цели и средства. Это дает необходимый первоначальный материал для создания эффективной системы противодействия, внедрению специализированных технических средств и реализации комплекса организационных мер.

Инсайдер, как мы будем в дальнейшем именовать внутреннего нарушителя, вне зависимости от его намерений, далеко не так однообразен, как может показаться. Даже простая классификация на лояльных и нелояльных далеко не отражает всей глубины этого явления и, таким образом, не может дать полной картины для понимания его действий. Есть и достаточно уважаемые люди в ИТ-бизнесе, которые однозначно считают всех сотрудников потенциальными инсайдерами и ко всем применяют одинаковые меры. Действительно, предупрежден — значит вооружен. Однако обобществление явления приводит к опасной близорукости, из-за чего можно недооценить противника. Цели и методы, например, лояльных инсайдеров, допускающих ошибки по незнанию, в корне отличаются от целей и методов нелояльных, совершающих преступление умышленно и мотивированно. Каждый тип инсайдера требует специфического учета, анализа и уже на этой основе можно построить действительно эффективную систему защиты. Такую систему, которая знает врага в лицо и понимает каждый его шаг.

Классификация инсайдеров

Существует несколько подходов к классификации внутренних нарушителей. Один из первых шагов в этом направлении сделала компания IDC, представившая свое видение проблемы два года назад. По версии IDC, экосистема инсайдеров имеет четыре уровня: «граждане», «нарушители», «отступники», «предатели».

Верхний уровень составляют «граждане» — лояльные служащие, которые очень редко (если вообще когда-нибудь) нарушают корпоративные политики и в основном не являются угрозой безопасности. «Нарушители» составляют большую часть «населения» корпорации. Эти сотрудники позволяют себе небольшие фамильярности, работают с персональной веб-почтой, играют в компьютерные игры и совершают онлайн-покупки. Представители данного слоя представляют угрозу ИТ-безопасности, но сопутствующие им инциденты являются случайными и неумышленными. На следующей ступени находятся «отступники» — работники, которые проводят большую часть дня, делая то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к интернету, самовольно устанавливают и используют P2P-клиенты и IM-приложения. Более того, такие сотрудники могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники» представляют серьезную угрозу ИТ-безопасности. Наконец, на самом низу находятся «предатели». Это служащие, умышленно и регулярно подвергающие конфиденциальную информацию компании опасности. Обычно за финансовое вознаграждение от заинтересованной стороны. Такие сотрудники представляют самую опасную угрозу. Одновременно, их сложнее всего поймать.

Серьезный недостаток этой классификации — отсутствие полной картины. Разделить сотрудников на группы и указать, чем они занимаются на рабочем месте - всего лишь пол дела. За рамками остались такие важные моменты, как цели, мотивации, последовательность действий, методы. А главное, нет четкой привязки классификации к проблеме защиты конфиденциальности и целостности информации. Ведь именно это больше всего волнует компании, а совсем не то, какими играми увлекаются сотрудники.

По классификации Infowatch выделяется 6 типов инсайдеров. «Халатный» и «манипулируемый» из группы лояльных, а также «обиженный», «нелояльный», «подрабатывающий» и «внедренный» из группы злонамеренных.

Экосистема внутренних нарушителей

экосистема внутренних нарушителей

Источник: InfoWatch, 2006

Халатный инсайдер

«Халатный» инсайдер является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, часто крайне невнимательного. Его нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти.

Эти сотрудники создают незлонамеренные ненаправленные угрозы, т.е. они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т.д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.

Манипулируемый инсайдер

Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, пин-кодов, номеров кредитных карт и адресов. Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам ИТ-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник в своей книге, показывают, например, что «добросовестная» секретарша, действуя по принципу «хотели как лучше, получилось как всегда», может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки почты в филиальную сеть (временные технические сложности, конечно) и просит переслать ему некоторую информацию на его личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем он представился, настолько убедительно звучали его слова. И в считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Кем на самом деле был звонивший - остается только догадываться. Ясно одно, что он был очень заинтересован в получении этих данных. И ясно, что не в самых благих целях.

Поскольку манипулируемые и халатные сотрудники действуют из своего понимания «блага», компании (оправдываясь тем, что иногда ради этого блага нужно нарушить «дурацкие» инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Но ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Обиженные инсайдеры

Следующая группа нарушителей — злонамеренные. В отличие от сотрудников, описанных выше, они осознают, что своими действиями наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на четыре типа — «обиженные», «нелояльные», «подрабатывающие» и «внедренные».

«Обиженные» — это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря).

Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей. Во-первых, сотрудник не собирается покидать компанию и, во-вторых, сотрудник стремится нанести вред, а не похитить информацию. То есть он хочет, чтобы руководство не узнало, что утечка произошла из-за него и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например, на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, для соответственно, оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.

Нелояльные инсайдеры

Следующий тип внутренних нарушителей — нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы или миноритарные акционеры, решившие открыть собственный бизнес. Именно о них в первую очередь думают руководители компании, когда речь заходит о внутренних угрозах — стало привычным, что увольняющийся сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового — копию финансовой базы. В последнее время также увеличилось количество инцидентов, связанных с хищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу. Угроза, исходящая от таких нарушителей, является ненаправленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать — это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется, как гарант для обеспечения комфортного увольнения — с компенсацией и рекомендациями.

Эти два типа нарушителей все же не так опасны, как последние. Обиженные и нелояльные сотрудники все же сами определяют объект хищения, уничтожения или искажения и место его сбыта. Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на нее покупателя. И в этих случаях информация не нанесет вред владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой.

Подрабатывающие инсайдеры

Однако если еще до похищения информации обиженный или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

«Подрабатывающие» и «внедренные» нарушители — это сотрудники, цель которым определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. Сюда включаются люди, решившие подхалтурить на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле — шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами.

Внедренные инсайдеры

Из шпионских триллеров времен холодной войны хорошо известен последний тип внутренних нарушителей — «внедренный». В современных условиях к таким методам все чаще прибегают не только для государственного шпионажа, но также для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень привлекательное предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR-службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться. Или этот специалист предлагается системному администратору в качестве замены (вроде того, что это входит в комплект услуг рекрутингового агентства). Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и сливает ее заказчику. После этого следы агентства и специалиста теряются — они просто испаряются. Компания остается без корпоративных секретов, а системный администратор без работы.

Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты. И «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.

Проблема для крупного бизнеса

Данная классификация не включает более мелких групп инсайдеров, а также тех внутренних нарушителей, которые не пользуются корпоративной информационной системой. В этом смысле следует упомянуть распространенную группу экономических преступников — сотрудников, передающих с целью получения выгоды внутреннюю корпоративную информацию, которая, например, может повлиять на стоимость акций. Дело в том, что техническими и организационными мерами пресечь утечку такой информации практически невозможно. Эта информация обычно очень невелика, часто всего несколько цифр или одно предложение, и может даже не существовать в электронном виде. Например, это прибыль компании за какой-то период, разведанные запасы нефти, информация о предстоящем поглощении компании и т.п. В отличие от прессы, проверяющих органов и т.п., клиентам инсайдеров не нужны подтверждения в электронном виде. С технической точки зрения пресечь вынос такой информации за пределы компании «в оперативной памяти человеческого мозга» невозможно. Для предотвращения таких утечек действует законодательно закрепленный запрет на использование инсайдерской информации при торговле ценными бумагами. Поэтому этот тип нарушителей не принимается в предложенной классификации во внимание.

В заключение необходимо отметить существующие тенденции. Чем крупнее компания, чем большими средствами она оперирует, тем агрессивнее и профессиональнее будут атаки с использованием внутренних нарушителей. Средний и малый бизнес вполне может устоять после даже очень серьезного инцидента — хищения клиентской базы, know-how или финансового отчета. Крупные организации, в особенности «отягощенные» листингом на фондовых биржах, могут рассыпаться, как колосс на глиняных ногах. Вспомните корпоративные скандалы с участием инсайдеров: банкротство британских корпораций Polly Peck и Bank of Credit and Commerce International, мошенничество с пенсионным фондом фирмы Maxwell Communications, банкротства американских гигантов Enron, HeathSouth, Adelphia, Tyco, WorldComm, Quest Communications, CardSystems Solutions и Global Crossing. Во всех этих случаях инвесторы потеряли десятки и сотни миллиардов долларов. Между тем, проблема была именно в недостаточном контроле над собственными сотрудниками, в особенности над топ-менеджметом - и непонимании экоситемы внутренних нарушителей. Чем дальше будут развиваться и интегрироваться в бизнес-процессы информационные технологии, тем большую опасность будут приобретать внутренние ИТ-угрозы.

Денис Зенкин

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS