`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Внутренние угрозы в период кризиса

Статья опубликована в №10 (676) от 24 марта

+46
голосов

На сегодняшний день сумма ущерба от собственных сотрудников (инсайдеров) уже давно превышает убытки от внешних атак. Поэтому защита от внутренних угроз стала насущной необходимостью, а в настоящее время ее актуальность усиливается кризисом и массовыми увольнениями. Не стоит думать, что все вынужденно покидающие компанию сохранят лояльность по отношению к бывшим работодателям.

Сегодня владельцам и руководителям компаний нужно особенно трезво оценивать ситуацию. К примеру, если вы собираетесь сокращать персонал, то сохранят ли уволенные уважение и лояльность к вам? А если кто-то из них вдруг почувствует себя обиженным и решит прихватить с собой часть деловой информации, то сможете ли вы (ваша служба безопасности) что-либо этому противопоставить? А если действительно дойдет до подобного, готовы ли обратиться в суд?

Без сомнения, многие предприятия сейчас будут вынуждены сокращать персонал. Одни – цивилизованно, с соблюдением законодательства, другие – просто ставя сотрудников перед фактом. Безусловно, люди страдают в обоих случаях, но во втором также наносится урон и самой организации – причем не только, скажем, имиджу, но и (потенциально) безопасности. Ведь такие действия дают увольняемым весомые основания для того, чтобы преступить закон. По информации Ponemon Institute, почти 60% покидающих компанию сотрудников уносят с собой какие-то деловые секреты – это по их же утверждениям, т.е. они, похоже, не видят в этом ничего противоправного. Причем ревизии уносимой ими информации (бумажной и электронной) проводились лишь в 15% случаев, а 50% из них все равно не были завершены.

Таким образом, совершенно понятно, что необходимо загодя заботиться о том, чтобы увольняемые не могли «прихватить» с собой конфиденциальную информацию. Если вы не готовы к этому, то можете уже считать себя проигравшим. У вас не было политики безопасности? Данные не были классифицированы по степени конфиденциальности? Вообще не существовало службы ИТ-безопасности, всем занимались сисадмины? Увы... Но самое худшее, если ваши сотрудники при приеме на работу не подписывали соглашение о неразглашении деловой информации. Тогда формально специалист, «уведший», скажем, базу клиентов, ничего не нарушал, и ему даже нельзя предъявить претензии в суде.

Как это ни парадоксально, но трудные в экономическом смысле времена – повод не только задуматься обо всех подобных вопросах, но и выделить (если это не было сделано ранее) если не подразделение, то хотя бы определенного сотрудника, который бы занимался именно ИТ-безопасностью. Он должен подчиняться напрямую первому лицу компании. Как вариант, за аудит и обеспечение ИТ-безопасности может взяться сторонняя компания, что, впрочем, вряд ли избавит от необходимости в собственном специалисте.

Разумеется, если все это не сделано ранее, вас ожидают некие дополнительные затраты. Но следует помнить, что общий уровень экономической безопасности предприятия напрямую зависит от безопасности информационной. Ведь любая акция, направленная против непосредственных интересов хозяйствующего субъекта, начинается со сбора информации. Без этого невозможны не то что крупные экономические преступления вроде рейдерства, но даже мелкие противоправные действия.

Кроме того, внутренние угрозы усугубляются тем, что все чаще приобретают характер «инициативной вербовки», когда сотрудник по собственной инициативе собирает те или иные сведения для продажи их конкурентам. К счастью, все большее число руководителей компаний начинают осознавать реальный масштаб инсайдерских угроз.

Специалисты аналитического центра Perimetrix в исследовании «Инсайдерские угрозы в России 2009», проведенном с 1 декабря 2008 г. по 23 января 2009 г., отмечают, что:

  • наибольшие опасения вызывает угроза утечки информации (73%), в том числе по халатности сотрудников (70%) – лишь 5% компаний заявили об отсутствии подобных инцидентов за последний год;
  • специалисты по безопасности осознали собственную незащищенность перед утечками – сразу 42% респондентов затруднились назвать их точное количество;
  • при этом, если криптографические системы используют 41% компаний, то системы защиты от утечек – 29%;
  • в подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности: 45% сотрудников, допускающих в этом отношении халатность, отделываются выговорами, а 51% злонамеренных инсайдеров увольняются из компаний по собственному желанию.

Вместе с тем наблюдается сокращение затрат на информационную безопасность ввиду тяжелого финансового положения компаний, хотя очевидно, что это грозит дальнейшим снижением ее уровня. Однако, поскольку в период вынужденной экономии вряд ли можно рассчитывать на увеличение расходов на эти нужды, необходимо максимально эффективно использовать доступные средства.

Внедрение системы защиты от внутренних угроз может преследовать различные цели (см. таблицу), и для ее создания существует целый класс инструментов – DLP (Data Loss Prevention). Но прежде всего требуется провести ряд организационных мер, направленных на классификацию обрабатываемой информации, разграничение уровней доступа и т. д. Только при этом условии можно рассчитывать на успех.

Средства защиты

Сегодня к мерам по защите информации от внутренних угроз компании относят технические решения по контролю за доступом к ресурсам (Интернет, электронная почта, внешние накопители), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако эти методы позволяют противодействовать либо низкоквалифицированным злоумышленникам, либо неосторожным пользователям.

К примеру, фильтрация легко обходится удалением «опасных» слов или примитивным кодированием, вроде замены символов одной кодировки (западноевропейской) другой (кириллической). Например, слова «секретно» и «ceкpeтно» читаются одинаково, в то время, как во втором случае выделенные буквы набраны латиницей. А кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? Большинство сигнатурных анализаторов просто пропустят такое слово как нераспознанное.

Вместе с тем стоит понимать, что принцип «запретить все» в данном случае неприменим, так как сотрудникам необходимо продолжать работать. То есть, с одной стороны, компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой – во внедрении более совершенной системы защиты.

Организационные меры

Ограждая конфиденциальную информацию, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, важно понять, что именно мы собираемся защищать.

Для этого в компании необходимо принять некое «Положение о конфиденциальной информации», которое позволит однозначно категорировать информацию по степени секретности. Также нужно провести деление пользователей на группы, допущенные для работы с той или иной категорией информации. Нередко подобное положение имеется для бумажных документов, тогда оно просто адаптируется для электронных – т. е. в нем дается определение жизненного цикла документа (кем и при каких условиях создается, модифицируется и уничтожается), а также регламентируется работа с копиями (электронными), фрагментами, реквизитами и т. д.

Контентное категорирование

В процессе разработки указанного «Положения...» необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Причем ограничения могут касаться не всех пользователей, а лишь отдельных групп, к примеру, письма с упоминанием первых лиц компании должна рассылать лишь служба по связям с общественностью, а с банковскими реквизитами – лишь бухгалтерия и т. д. Наверняка в каждой компании будут свои нюансы.

Также необходимо предусмотреть регламенты использования конфиденциальных документов, описание системы их хранения и организации доступа к ним, а также «журнал», фиксирующий операции с ними: изъятие из хранилища, пересылку и т. д. Последнюю задачу можно в значительной степени автоматизировать, сделать полностью анонимной или наоборот, открыто запрашивать у пользователя цель его действий.

В «Положении...» должно быть особо отмечено, что никакой администратор не может изменять информацию в журнале, чтобы предотвратить возможные противоправные действия.

 

Классификация информации по уровню конфиденциальности

Категории информации могут быть самыми разными, но в типичном случае нужно учесть как минимум следующие.

Строго конфиденциальная – прежде всего являющаяся таковой в силу требований действующего законодательства (банковская тайна, персональные данные), но также отнесенная сюда специальными решениями руководства компании (коммерческая тайна), поскольку разглашение ее может привести к тяжким финансово-экономическим последствиям вплоть до банкротства (а также нанесения ущерба интересам клиентов, партнеров или сотрудников).

К конфиденциальной следует отнести информацию, не попавшую в предыдущую категорию, но распространение которой следует ограничить на основании решений руководства компании в соответствии с предоставленными ему как собственнику (уполномоченному лицу) действующим законодательством правами, поскольку разглашение ее может привести к значительным убыткам и потере конкурентоспособности как самой фирмы, так и ее клиентов, партнеров и т. д.

Наконец, открытой признается только та информация, обеспечения конфиденциальности (ограничения распространения) которой не требуется.

Естественно, такое деление должно отражать специфику деятельности компании, но чрезмерное увеличение числа категорий влечет за собой и усложнение системы защиты. Следует также учитывать, что в любой организации ежедневно создается множество документов, и без механизма их автоматической или полуавтоматической классификации усилия пропадут впустую.

Метки документов

Особое внимание необходимо обратить на организацию процесса идентификации документов. Каждый из них должен быть снабжен меткой, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категории пользователей, имеющих право проводить с ним потенциально опасные операции – публикацию в Интернете, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Так, если все защищаемые документы хранятся исключительно в формате Microsoft Office, то можно применять слово «конфиденциально» в соответствующих полях свойств. Отдельные производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ – именование файлов по маске. Например, первые десять символов – тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т. д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и 8-значная дата в формате YYYYMMDD.

Следует обратить внимание на то, что процесс внедрения такой процедуры именования файлов – не какая-то разовая акция, а постоянная работа по обучению персонала. При этом, помимо организационных методов (закрепление приказом, соблюдение даже топ-менеджерами, инструктаж новых сотрудников), стоит привлекать на помощь и технические средства. К примеру, один из наиболее простых и вместе с тем действенных способов – разрешить выкладывание (на файловый сервер, в хранилище) и передачу исключительно корректно оформленных файлов.

Таким образом, со временем все документы окажутся именованными согласно установленной маске и будут легко различаться и при необходимости перехватываться контролирующими системами, причем не только контентными фильтрами (склонными, как мы уже говорили, к ошибкам), но и мониторами, действующими на основании политик. Это удобно и для визуального контроля, ведь даже в очереди на печать название файла будет говорить о характере содержащейся в нем информации. А при открытии документа совсем не помешает напомнить категорию его конфиденциальности пользователю.

Цели и методы создания системы защиты от внутренних угроз
Цель Метод
Соответствие требованиям нормативов и стандартов Внедрение инструментов, предоставляющих необходимую информацию и проверяемых при аудите
Сохранность информации Гласное внедрение технических средств в сочетании с кадровой работой
Выявление канала утечки Гласное внедрение технических средств в сочетании с оперативными мероприятиями
Подтверждение непричастности Протоколирование движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы

Хранение информации

После классификации конфиденциальных документов можно приступить к организации их хранения. Во многих компаниях административными и техническими методами запрещено хранить на рабочих станциях конфиденциальные данные. Как правило, они находятся в хранилищах специальных клиент-серверных или веб-приложений (корпоративных интранет-порталах, системах документооборота, ERP и т. д.), которые позволяют разделить права пользователей и пресечь попытки сохранения документов в несанкционированном месте. Однако следует иметь в виду, что хотя защита в таких случаях является многоуровневой, тем не менее даже она не может полностью исключить утечку информации через рабочие станции.

Защита по типам информации

Кроме явных категорий конфиденциальности, при обработке информации следует учитывать и ее основные типы.

Сводная информация

К ней относятся структурированные данные в формате БД или электронных таблиц, к примеру, информация о продукции, ценах, финансовая и т. д., которая может представлять интерес для конкурентов. Нужно учитывать, что при хищении злоумышленнику важно сохранить ее полноту, достоверность и структуру. В противном случае ее цена резко снижается. Отдельный случай – «заказ» на хищение определенного фрагмента, однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.

Интеллектуальная собственность

Это может быть любая информация в электронном виде, обеспечивающая компании конкурентные преимущества, например, шаблоны документов, должностные инструкции, описание бизнес-процессов, сведения об изобретениях и т. д. Может храниться в любом месте и в любом виде. При этом ценными являются не только целые документы, но и их фрагменты, черновики и т. д.

Неструктурированная информация

Хищение документов, содержащих неструктурированную информацию, также может привести к моральным и материальным потерям. А защититься от этого довольно сложно.

Один из путей утечки – клиентские приложения, использующие санкционированный доступ. Большинство применяемых в качестве рабочих станций компьютеров построены на платформе Wintel. Хранение информации в незашифрованных временных файлах, встроенная в ОС возможность копирования информации в буфер (операции Copy/Paste и PrintScreen), наличие многочисленных каналов ввода-вывода (CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают их весьма опасным средством реализации внутренних ИТ-угроз. Однако большая их часть практически исключается при использовании тонких клиентов.

Локальные копии

Еще одним потенциальным источником утечки информации является ее копирование на мобильные устройства. Сегодня часть сотрудников много времени проводит вне офиса, и для работы им необходимы копии служебных документов, в том числе нередко и конфиденциальных. При этом следует помнить, что закрытие всех портов ввода-вывода на ноутбуках достаточно сложно технически, а кроме того, затруднит работу мобильных сотрудников, ведь они должны использовать как сменные носители, так и коммуникационные порты.

Основные направления защиты

Поскольку нарушителем может оказаться практически любой сотрудник компании, имеющий доступ к информации, то методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечек.

Защита документов

Для защиты электронных документов применяются те же методы, что и для бумажных. В этой области активно используются шифрование и специальные форматы файлов, запрещающие конвертацию, редактирование и копирование содержимого в буфер Windows.

Защита каналов утечки

Самым эффективным средством является контроль выноса физических носителей. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако процесс миниатюризации носителей и встраивание флэш-памяти в бытовые устройства, вроде часов и ручек, делают такие меры все менее эффективными. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

Мониторинг (аудит) действий пользователей

Для обеспечения защиты от внутренних утечек информации крайне важно не только то, кто получил доступ к файлам, но и то, что с ними делали, ведь документы можно использовать по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке, к примеру:

  • перемещение документа как единого целого;
  • копирование информации из документа;
  • характерные изменения, целью которых может быть обман следящих систем.

К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Интернете, печать. Ко второй – копирование через буфер обмена или посредством временных файлов и т. п. К третьей – переименование файла, сохранение в другом формате, архивирование, кодирование и шифрование.

Операция с конфиденциальной информацией, недопустимая для данного пользователя, должна блокироваться, либо сведения о ней должны немедленно поступать к офицеру безопасности. Явный или скрытый характер работы системы может определяться различными условиями и спецификой процессов внутри компании.

К сожалению, перечисленные меры – далеко не все, что вам придется сделать. Также необходимо классифицировать потенциального нарушителя, создать его «портрет», продумать нетехнические методы защиты. Рассмотрение этих вопросов требует достаточно большого объема информации и в рамках одной статьи невозможно. В любом случае нужно понимать, что эффективная система безопасности является результатом не внедрения, а перманентного процесса ее совершенствования.

Тем не менее первоочередные меры практически стандартны для любой ситуации, и подытоживая вышесказанное, мы бы выделили следующее:

  • необходимо создать выделенную структуру ИТ-безопасности (и/или найти внешнюю организацию);
  • классифицировать данные и создать реестр конфиденциальной информации;
  • определить различные уровни доступа и ограничить его для большинства сотрудников;
  • запретить использование внешних носителей, а в случае невозможности – организовать теневое копирование информации и контроль за действиями сотрудников;
  • запретить удаление любой информации с общих сетевых ресурсов;
  • фильтровать исходящую почту по ключевым словам;
  • запретить использование онлайновых сервисов (почтовых, мгновенного обмена сообщениями, социальных);
  • для наиболее ответственных рабочих мест предусмотреть средства регистрации действий персонала;
  • разработать инструкции по использованию ПК и ПО, под роспись ознакомить сотрудников с ними, а также с правилами обращения с конфиденциальной информацией.

Подобный комплекс мер ни в коем случае не является панацеей, однако он позволит минимизировать возможные потери от внутренних угроз в наше непростое время.

Блог автораhttp://vladbez.spaces.live.com

+46
голосов

Напечатать Отправить другу

Читайте также

Почти инструкция получилась.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT