Комитет тпп РФ по промышленному развитию информационно-аналитические материалы обзор рынка безопасности

Вид материалаАналитические материалы
"Чужой среди своих" - защита информации от инсайдеров.
"Иммунная система" компании
Учитесь отвечать на важные вопросы
Возводите барьеры на пути утечек
Враг будет раскрыт
Давайте жить дружно
Подобный материал:
1   ...   6   7   8   9   10   11   12   13   ...   18

"Чужой среди своих" - защита информации от инсайдеров.

Александр Чачава, президент LETA IT-company, «Мобильные системы»

Профессионалы в области информационной безопасности бьют тревогу: по данным последних исследований, основную опасность для бизнеса компаний представляют вовсе не хакеры, вредоносные вирусы или трояны, а враг изнутри, или инсайдер. А ведь еще недавно казалось, стоит лишь надежно защитить периметр организации от всевозможных атак извне, и о проблеме утечки конфиденциальной информации можно будет забыть.

"Иммунная система" компании


Перед каждым из нас хотя бы раз в год вставал вопрос: стоит ли делать прививку против гриппа? С одной стороны, болеть не хочется. Но с другой - срабатывает неискоренимая привычка полагаться на заветное "авось". И вот это "авось" часто подводит, вырывая человека из привычной жизни.

В мире бизнеса любую компанию, будь она небольшой или же, наоборот, довольно крупной, можно сопоставить с живым организмом, а ее систему информационной безопасности (ИБ) - с иммунной системой, которую необходимо укреплять, чтобы противостоять болезням. Но для этого важно точно определить, какой комплекс иммуностимулирующих мер требуется подобрать в данный момент. Иначе компанию начнет лихорадить, а ее внутренние информационные ресурсы - ключевой показатель здоровья - окажутся незащищенными.

За последний год произошло несколько крупных утечек информации как из коммерческих, так и из государственных структур. Киберпреступники поняли, что корпоративные базы данных можно похищать и продавать практически безнаказанно, при этом получая больший доход, нежели от продажи простых пиратских дисков. Самой громкой и масштабной стала декабрьская утечка баз данных кредитных организаций, снявшая коммерческую тайну с сумм кредитов, просрочек, неплатежей, мотивов отказов. Эта утечка показала, что и коммерческие организации не умеют (или не хотят? ) защищать данные своих клиентов. Но если утечки баз данных из государственных органов стали привычными, то утечки из коммерческих структур вызывают удивление, потому что, как показывает практика, именно коммерческие структуры наиболее быстро и эффективно реагируют на подобные угрозы своему бизнесу и репутации.

Осознание внутренних угроз приведет, и даже уже привело, к взрывному росту на услуги защиты от инсайдеров. Но если с техническими аспектами защиты критически важных источников информации российские IТ-департаменты уже хорошо знакомы (например, межсетевые экраны есть почти везде), то организационные меры остаются самым непроработанным звеном в системе комплексной защиты. Хотя именно они способны изменить положение к лучшему, если, конечно, разработаны в соответствии с бизнес-процессами компании и учитывают ее задачи и специфику.

В какой-то мере ситуацию усугубляет двойственность процесса развития передовых информационных технологий: растет не только перечень различных средств защиты информации, но и способов ее хищения. Так, электронная почта, всевозможные мобильные устройства, сервисы экспресс-общения, флэш-накопители и многое другое - хорошее подспорье для желающих вынести за пределы компании конфиденциальную информацию.

Описывать действия инсайдеров, думаю, не стоит. С результатами их краж мы сталкиваемся чуть ли не повсеместно. Наносимый ими урон (будь то адресная база клиентов торговых компаний, персональные данные частных лиц и информация о заемщиках в кредитных организациях) порою невосполним, ведь речь идет о самом ценном для любой финансовой структуры - долгосрочном доверии клиентов. Если вернуться к медицинским аналогиям, пациент обратится лишь к тому врачу, чья репутация и собственное здоровье бесспорны.

Учитесь отвечать на важные вопросы


Итак, существуют, по крайней мере, три основных вопроса, ответы на которые помогут разработать комплекс мер в области защиты информации от внутренних угроз. Именно четкость этих ответов позволит разобраться в сценариях утечки информации.

Первый вопрос: какая информация является конфиденциальной или закрытой и нуждается в защите от несанкционированного разглашения? Это может быть, например, интеллектуальная собственность, корпоративная конфиденциальная информация, частная информация клиентов и сотрудников и т.д. В качестве обязательного документа в любой компании существует Положение о конфиденциальной информации, описывающее порядок работы с информацией, находящейся на бумажных документах. Часто возникает проблема адаптации этого положения к электронным документам. Проще говоря, основная сложность заключается в том, чтобы четко определить циклы жизни документа: где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается. Отдельно хочется отметить такой нюанс, как правила обращения сотрудников с электронной почтой. С этой целью некоторые компании изначально проводят специальное разграничение прав доступа и пересылки информации конкретными подразделениями. Например, отделу продаж не может быть доступна финансовая информация, а отделу закупок - прайс-листы отдела продаж и т.п. Самым фундаментальным в этом отношении является реестр конфиденциальной информации.

Второй вопрос: как может произойти утечка информации? Это зависит от того, где она хранится, в каких производственных процессах используется и какие точки выхода следует защитить (электронную почту, Р2Р-сети или мобильные устройства).

Часто утечка информации происходит через санкционированный доступ - клиентские приложения. Архитектура таких рабочих мест делает информацию практически беззащитной. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер, наличие многих каналов ввода-вывода делают рабочую станцию весьма опасным устройством для реализации внутренних угроз. Заметим, что такие угрозы исчезают при доступе к информационной системе через тонкие клиенты или системы мейн-фрейм-терминала.

Другой потенциальный источник утечки информации - копии информации на мобильных устройствах. Есть виды бизнеса, практически немыслимые без мобильных рабочих мест. Но закрытие всех портов ввода-вывода на ноутбуках, во-первых, достаточно сложно технически, а во-вторых, затрудняет работу мобильного пользователя.

И третий вопрос: каким группам пользователей разрешен доступ к конфиденциальной информации, какие пользователи являются наиболее вероятными кандидатами, способными создать бреши для утечки информации и поэтому нуждаются в более пристальном наблюдении?

Подобная классификация потенциальных нарушителей позволит службе безопасности спрогнозировать их поведение. Кроме того, рассматривая средства защиты, всегда надо предусматривать, против каких нарушителей эти действия эффективны, а против каких - нет. Это позволит контролировать любой канал утечки информации. В противном случае данные "утекут" через неучтенную брешь, и все усилия по их безопасности окажутся напрасными. Такая кропотливая работа обеспечивает интеграцию мер безопасности в нормативную базу предприятия и минимизирует риск, связанный с человеческим фактором. Последний, как показывает практика компании LETA, должен учитываться НR-менеджером еще на уровне подбора персонала. Возможных кандидатов необходимо предварительно тестировать, связываться с бывшими работодателями и уточнять отдельные моменты их профессиональной деятельности.

После классификации угроз встает вопрос: как им противодействовать? Ответ один: работать и внедрять современные IТ-продукты.

Возводите барьеры на пути утечек


Подход к обеспечению конфиденциальности данных клиента должен строиться на разумном сочетании организационных и технических решений, представляющих собой многоуровневую защиту исходящего контента, мониторинг и контроль каналов утечки информации, мониторинг действий пользователей.

Многоуровневая защита, как правило, сочетает в себе решения для рабочих станций и шлюзов и отличается той самой гибкостью, которая, с одной стороны, не нарушает личных прав пользователя, а с другой - способна предотвратить серьезные нарушения корпоративных правил.

Это предполагает фильтрацию сообщений в исходящем потоке электронной почты; фильтрацию НТТР-потока данных, которые могут представлять угрозу утечки конфиденциальной информации; выявление нежелательной активности пользователей в сети; создание специального хранилища почтовой корреспонденции и осуществление ретроспективного анализа инцидентов утечки конфиденциальной информации; централизованное управление и оповещение в режиме реального времени.

"Перекрытие" каналов утечки представляет собой контроль доступа к электронной почте, Интернету, сменным носителям, портам ввода-вывода, принтерам и мобильным устройствам. Конечно, факт отказа сотруднику в доступе к каналу сводит на нет утечку информации. Но стоит учесть, что, не имея доступа, например, к корпоративной электронной почте или принтеру, сотрудник не сможет выполнять свои служебные обязанности.

Мониторинг действий пользователей начинается с видеокамер и заканчивается специальным ПО под контролем офицеров безопасности. Но чаще всего применяется программное обеспечение, которое контролирует определенные действия пользователя в пассивном режиме и ведет журнал доступа. Довольно редко бывает необходимо отслеживать нажатие каждой клавиши и каждое перемещение мыши. Обычно выделяются опасные операции: файловые - копирование и переименование, документные - сохранение, печать, копирование и вставка, системные - копирование экрана и т. п. Эти операции контролируются особо тщательно. Причем если эти операции проводились с документом, не содержащим конфиденциальную информацию, то программное обеспечение лишь фиксирует их в базе событий. Если же эти действия совершались с конфиденциальным документом, посылается сообщение о запрещенной операции. Учитывая, что такой мониторинг ведется не за всеми сотрудниками поголовно, а только за конкретным человеком, находящимся в оперативной разработке, т.е. в чем-то уже подозреваемым, он часто оправдывает и время, и средства, в него вложенные.

При создании системы защиты от внутренних угроз не стоит забывать об организационных и психологических мерах защиты, которые включают в себя постоянную работу с кадрами, их обучение и инструктаж, повышение лояльности коллектива компании к политике и процедурам безопасности, что в совокупности уменьшает риск проявления халатности - основную причину утечки информации.

Все эти методы, применяемые в комбинации друг с другом, обеспечивают наиболее эффективную защиту.

Враг будет раскрыт


После присвоения нашей компании в марте 2005 г. статуса InfoWatch Security Integrator компания LETA в соответствии с условиями соглашения выполнила требования по сертификации своих сотрудников. В конце февраля специалисты по продажам, технические консультанты и инженеры по внедрению решений InfoWatch прошли обучение в учебном центре InfoWatch. В настоящий момент на счету нашей компании уже несколько масштабных проектов по внедрению системы защиты конфиденциальной информации на крупных российских предприятиях.

Как добросовестный поставщик наиболее сложных решений IТ-безопасности, наша компания "обкатывает" поставляемые продукты на своей собственной IТ-инфраструкту-ре. И лишь полностью изучив технологии на практике и добившись их эффективной работы в своей организации, предлагает соответствующие решения заказчикам.

Нужно сказать, принцип "сначала проверить продукты по защите от внутренних угроз в действии и убедиться в их эффективности" принес ощутимый практический результат - в нашей компании был выявлен и обезврежен инсайдер. Один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Если бы инсайдеру удалось привести свой план в действие, то удар по репутации компании обернулся бы серьезными финансовыми потерями, связанными с недополучением прибыли и утечкой сведений о заказчиках. Злоупотребление удалось выявить потому, что в системе ИБ были задействованы хранилища почтовой корреспонденции и модуль контроля почтового трафика. Именно это позволило быстро заметить подозрительную активность инсайдера, а затем собрать необходимые доказательства его вины.

Первым сигналом стало предупреждение о подозрительной активности сотрудника, полученное офицером IТ-безо-пасности компании LETA. Отметим, что система фильтрации почтового и НWеb-трафика не зафиксировала утечки конфиденциальной информации, так как инсайдер и не пытался выслать ее за пределы IТ-инфраструктуры компании. Между тем он вел подозрительные переговоры по внешней электронной почте, что и было своевременно зафиксировано системой защиты.

Однако, чтобы доказать вину инсайдера, пришлось тщательно изучить почтовые сообщения, которыми злоумышленник обменивался с потенциальными заказчиками. Для этого пришлось сделать несколько аналитических выборок из архива почтовой корреспонденции. Уже после беглого просмотра первых отсортированных сообщений стало ясно, что в компании завелся нечистый на руку менеджер по продажам. Углубленное изучение архива укрепило эти подозрения, и служба ИБ сразу информировала об инциденте руководителей компании. Дальнейшее расследование дало неопровержимые доказательства нарушения корпоративной этики и трудового договора, в котором, разумеется, содержались положения о конфиденциальности. Инсайдер возместил ущерб, а затем был уволен.

Таким образом, нашей компании удалось защитить свой самый ценный информационный актив - клиентскую базу, предотвратив угрозу деловой репутации. При этом руководство решило не замалчивать инцидент, а проинформировать общественность и другие компании, чтобы инсайдер не смог найти себе новую жертву. Важно отметить, что в данном эпизоде технические средства мониторинга были удачно дополнены необходимыми организационными мерами. Мы внедрили политику IТ-безопасности и Положение о конфиденциальности. Каждый сотрудник, подписав трудовой договор, обязался хранить коммерческую тайну работодателя и документально передавать все данные, созданные на рабочем месте, в собственность компании. Такой подход не только упрощает сбор доказательной базы против инсайдеров, но чрезвычайно полезен и удобен всем сотрудникам, которые порой не очень точно представляют, где проходит грань между допустимым использованием служебной информации и нарушением интересов работодателя.

Давайте жить дружно


Проблема умышленных действий служащих, наносящих вред государственным и коммерческим организациям, далеко не нова. Клиентская база - один из активов любой коммерческой компании - служит благодатной почвой для злоупотреблений и нечестной конкуренции. Ценность этого ресурса буквально провоцирует сотрудников на сомнительные действия. Из-за недостатка контроля в свободной продаже находятся базы данных федеральных министерств и ведомств, по которым можно составить полный цифровой портрет любого гражданина РФ. Нередки случаи утечки данных из коммерческих компаний.

Наш опыт показал, что современные достижения технологий по обеспечению информационной безопасности позволяют эффективно оградить бизнес от инсайдеров. И все же никакая IТ-система не защитит компанию, если ее персонал не лоялен. Поэтому защиту от внутренних угроз необходимо начинать со становления и развития корпоративной культуры, цель которой - создание внутренней атмосферы компании, исключающей даже возникновение мысли о нанесении ей малейшего вреда.