|
Автор: Антон Платов
Источник: © компьютерная газета Список угроз корпоративной информбезопасности впечатляет. Тут и вирусы, и троянцы, и хакеры всех мастей, и конфликты различного ПО. Однако специалисты единодушны: наибольший ущерб любому бизнесу приносят IT-инсайдеры. Причем в 2007 году доля инсайдерских действий в общей структуре корпоративных IT-преступлений возрастет. Что же касается убытков от различных инцидентов в сфере информбезопасности, то тут инсайдеры вообще вне конкуренции.
Оружие инсайдера
Сразу стоит объясниться: мы говорим именно об «IT-инсайдерах» лишь потому, что рассматриваем инсайдинг как одну из важнейших угроз информационной безопасности. Вопросы лояльности сотрудников, кадровой политики руководства и т.п. нас совершенно не касаются. Совсем другой вопрос — те компьютерные технологии, которые, собственно, и позволяют инсайдеру действовать. Действовать эффективно и, к сожалению, во многих случаях практически не опасаясь за собственную безопасность. Арсенал современного инсайдера весьма широк. Особенно если учесть, что в любой современной компании плохо ли, хорошо ли, но действует электронная система документооборота. Отсюда и «инструментарий»: банальная электронная почта (особенно web-mail), та же почта, но с системами криптошифрования, ftp-инструменты, peer-to-peer-сети. А уж сколько всего может натворить простая флэш-карта, пришедшая на смену древним дискетам! Сложно даже придумать более удобный способ «слить», а затем вынести из офиса сколько угодно конфиденциальной информации. К слову, перечень этот далеко не полон. Отдельно следует сказать о беспроводных технологиях и устройствах. Сегодня любой нормальный сотовый телефон (про смартфоны я уже и не говорю) имеет и фото/видеокамеру, и встроенный диктофон. Другой канал утечки — всевозможные устройства, имеющие Wi-Fi- и WiMAX-адаптеры. Вообще характерная черта последнего времени — конвергенция цифровых устройств. Достаточно распространенная в крупных компаниях ситуация: идет конфиденциальное совещание, у присутствующих нет сотовых телефонов (согласно нормам внутренней безопасности), зато у каждого — ноутбук. Присутствующий инсайдер попросту активирует встроенный микрофон и сидит себе с невинным видом. А потом все, о чем говорилось на закрытом совещании, «сливается» во «внешний мир» через Wi-Fi-соединение (ноутбук выносить нельзя). К слову, именно так начался летом 2006-го нашумевший скандал в корпорации Hewlett-Packard, когда из-за своих инсайдерских действий лишился поста директор по развитию Джордж Киворт.
Конечно же, все вышеперечисленные средства хороши постольку-поскольку. Если на предприятии сисадмин не спит носом в клавиатуру, то по электронной почте ничего ценного отправить не получится — а на несанкционированное криптошифрование и вовсе наложен строжайший запрет (впрочем, обо всем этом ниже). Но сам арсенал технических средств инсайдера таков, что он фактически может использовать свой инструмент для каждого конкретного случая. Задачей специалиста по информбезопасности становится не предотвратить на 100% утечку информации, а минимизировать «окно возможностей» для потенциального инсайдера.
Портрет жертвы
Конечно же, наиболее уязвимы для IT-инсайдеров предприятия, у которых бизнес строится целиком на информации (неважно, какого типа): банки, страховые компании, фирмы по разработке программного обеспечения, рекламные агентства и т.д. Однако все попытки классифицировать предприятия по степени их уязвимости для инсайдерских атак пока что терпели крах. К примеру, горнодобывающая компания может разориться из-за действий инсайдера, полазившего по незащищенной локальной сети и «сдавшего» конкурентам условия договоров с главными клиентами. В немецкой консалтинговой компании Result Group так комментируют сегодняшнюю ситуацию с инсайдерами: «Экономическая преступность сама по себе как угроза утечек информации конкурентам или зарубежным спецслужбам является феноменом, с которым все больше компаний сталкиваются ежедневно. Есть сотрудники, собирающие данные из-за чувства неудовлетворенности собственной работой, а также те, кто готовится сменить работодателя и намерен передать собранное конкуренту. Из 3,9 тыс. опрошенных нами компаний 37% признали, что подобные инциденты у них имели место. 54% вообще всех экономических преступлений совершают именно собственные сотрудники, причем 36% предателей — это люди из руководящего состава. Согласно проведенному исследованию, типичный экономический преступник — это мужчина с образованием выше среднестатистического уровня в возрасте от 31 года до 50 лет, пользующийся полным доверием на фирме.» Однако некоторые обобщения по поводу инсайдерских интересов сделать все же можно. Сегодня один из самых ходовых товаров на черном рынке информации — персональные данные. А именно ими оперируют различные финансовые, страховые и, скажем, учреждения здравоохранения. Соответственно, это именно для них опаснейшей угрозой является так называемая «кража личности», которую аналитики Deloitte назвали «преступление XXI века». Согласно исследованию 2006 Global Security Survey, защита от кражи личности и мошенничества со счетами являются двумя основными приоритетами, на которых большинство (58%) финансовых компаний мира сфокусируют свои усилия в следующем году. Чтобы справиться с этой задачей, банки и страховые фирмы по всему миру будут внедрять специальные решения для защиты конфиденциальной информации — и на это будет уходить уже более 5% всех операционных затрат.
Сейчас это отлично понимают уже и в странах СНГ. Вот цитата из Стандарта по информационной безопасности Центробанка России: «Наибольшими возможностями для нанесения ущерба организации банковской системы РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации». Помогает понимание угрозы, правда, пока слабо: на российском черном рынке регулярно появляются базы данных того же Центробанка — по заемщикам, кредиторам, банковским проводкам и т.д. — причем достаточно свежие.
Снаряд и броня
Аналитики Deloitte отмечают, что современные злоумышленники прекрасно осведомлены о ценности персональных данных клиентов конкретной фирмы, поэтому идут на самые разные хитрости, чтобы заполучить эти сведения. Однако довольно часто компрометация важных данных оказывается следствием человеческого фактора. Опрос ведущих мировых финансовых компаний показал, что 49% респондентов зафиксировали внутренние инциденты (связанные с IT-безопасностью) за прошедшие 12 месяцев. В 31% случаев инсайдеры занесли вирусы изнутри корпоративной сети, а с инсайдерским мошенничеством столкнулись 28% респондентов. 18% организаций стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть. Организации, которые пострадали от внутренней утечки, признаются, что большая доля угроз является следствием безалаберности или халатности служащих (человеческий фактор — 42%, операционные ошибки — 37%), а не злого умысла инсайдеров. Правда, 28% стали жертвой тщательно продуманного и профессионального мошенничества, а 18% компаний лишились приватной информации клиентов именно из-за того, что инсайдеры целенаправленно допустили утечку. Чтобы не допустить такие инциденты в будущем, 80% опрошенных финансовых компаний осуществляют мониторинг действий служащих, а 75% вводят различные ограничительные меры на использование тех или иных технологий либо устройств. Однако зачастую технические решения, ограничивающие использование коммуникационных возможностей, вызывают отторжение и недовольство пользователей, то есть самих сотрудников. IT-отделу предприятия приходится балансировать между требованиями по защите клиентских данных, задачами обеспечения текущих бизнес-процессов и пожеланиями сотрудников. Свести все требования в нечто единое — задача IT-политики данного конкретного предприятия. Аналитики Deloitte указывают, что каждой компании, и в первую очередь из финансового сектора, необходима проработанная политика информбезопасности. Тем более, что, как уже было сказано в начале статьи, современные компьютерные средства предоставляют IT-инсайдеру великое множество лазеек для утечки информации, и перекрывать их можно только в рамках единой политики. Однако пока мало предприятий имеет такую четко проработанную политику.
Эпилог
Понятно, что описание проблемы IT-инсайдинга получилось достаточно пространным, а четких рекомендаций так и не прозвучало. Однако масштабы угрозы таковы, что развернутый портрет проблемы попросту необходим. Ну, а про конкретные методы борьбы поговорим уже в следующих статьях.
Обсудить
в форуме...>>>> | |
