Инсайдер – угроза экономической безопасности

В настоящее время значительная часть предпринимателей различного уровня понимают, что информация является товаром и орудием борьбы. Сегодня забота обеспечения экономической безопасности (ЭБ) бизнеса – насущная проблема любого предпринимателя.

Современный мир бизнеса, как известно, очень сильно связан с информационными технологиями (ИТ), а следовательно, индустрия информационной безопасности (ИБ), обороты которой составляют не один миллиард долларов, имеет ключевое значение в успешном развитии и процветании отдельных участников того или иного рынка, а следовательно экономики страны в целом.

Наиболее опасной внутренней угрозой для компании являются инсайдеры. «Инсайдер» – пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств, для того, чтобы использовать конфиденциальную информацию в своих интересах.

Утечку информации через инсайдеров трудно предугадать и предотвратить, а значит, для борьбы с ними службе безопасности необходимо задействовать весь арсенал доступных комплексных мер и средств. Умышленная или нет, деятельность инсайдеров в большинстве случаев приводит к убыткам и потере прибыли. Наибольшую опасность феномен инсайдерства представляет для крупного бизнеса, чем больше сфера влияний той или иной корпорации, тем важнее для её работы и успеха информационные активы [1].

Вопросы защиты и сохранности информации, конечно, давно и внимательно изучаются теми, кто создает коммерческие программы. Проблема, однако, в том, что сами руководители компаний зачастую не слишком задумываются над тем, кто и каким объемом информации должен владеть. Нередки случаи, когда даже тот набор средств, который заложен в коммерческую программу, не используется по назначению. Мало внимания уделяется таким аспектам, как доступ к информации сотрудников различных уровней.

Инсайдеры представляют угрозу, прежде всего, для интеллектуальной собственности организации – одного из ее основных активов. Установление и защита прав на интеллектуальную собственность в настоящее время является важнейшим аспектом любого бизнеса, в особенности малого, являющегося, как известно, оплотом любой здоровой экономики.

Исследования «2006 Global Security Survey» показало, что основными приоритетами современных финансовых компаний являются совместимость с международными нормативными актами (67%), защита от кражи личности и мошенничества со счетами (58%), непрерывность бизнеса (49%), улучшение инфраструктуры (41%) и управление идентификацией (41%). Таким образом, вектор развития ИБ в финансовых компаниях указывает по направлению совместимости со стандартами и внутренней ИБ.

В 2007 году 72% финансовых компаний, которые пострадали от утечки информации, оценили свои прямые и косвенные убытки в районе 1 млн долл., а у 2% респондентов ущерб превысил 5 млн долл. При этом 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Можно резюмировать, что банки и страховые компании сегодня, как никогда ранее, чувствительны к утечке важной информации.

Исследования компанией Deloitte показало, что 80% крупнейших кредитно-финансовых организаций мира используют мониторинг действий инсайдеров. Это наиболее эффективная мера, которую бизнес может принять, чтобы предотвратить утечку конфиденциальной информации, заблаговременно выявить мошенничество, защититься от саботажа или злоупотребления корпоративными ресурсами. К сожалению, в Украине этот процент намного меньше. Отечественные компании, в том числе банки и страховые компании, практически не пользуются средствами мониторинга [2].

Из результатов исследований, проведенных аналитическим центром компании Perimetrix, были выделены основные проблемы ИБ приводящие к угрозе ЭБ в целом. Устаревшие системы, внедрявшиеся в начале века, уже не достаточно эффек­тивно противостоят нарушителям, потому что изменился сам характер угроз. К примеру, раньше инсайдеры чаще всего использовали сетевые службы (электронную почту, Интернет и пр.), а сейчас просто копируют нужные документы на USB-носители и уносят их в кармане. Помимо этого, участились и случаи халатных утечек. Лояльные работники выносят с работы те же USB-накопители или ноутбуки, а затем теряют технику и всю конфиденциальную информацию вместе с ней. Кроме того, подразделениям ИБ не хватает квалифици­рованных кадров, особенно для борьбы с внутренними нарушителями. Также имеются определенные труд­ности с внедрением новых продуктов безопасности в существующие информационные системы.

Компания Perimetrix с 10 января по 10 февраля 2008 года провела опрос сотрудников 472 российских организаций. Респонденты отвечали на вопросы по электронной почте, в телефонных беседах, при личном интервью в своем офисе, а также запол­няли online-анкеты на сайте SecurityLab. Выборка респондентов имеет уклон в сторону крупных и средних компаний. Предприятия малого бизнеса (менее 500 работни­ков) малочисленны и составляют всего 4% респон­дентов. Чем крупнее организация, тем больший урон наносят утечки. Ведь крупные участники рынка в большей степени страдают от ухудшения репутации, когда становится известно об инциденте. Поэтому и в исследовании преобладают компании среднего (от 500 до 2,5 тыс. работников, 54% участников) и круп­ного (свыше 2,5 тыс. работников, 42%) бизнеса [3].

Уровень компьютеризации участвовавших в опро­се организаций очень высок.  Компании до 500 рабочих станций составляют те же 4%, что и участники малого бизнеса. Доля фирм от 500 до 1 тыс. компьютеров значительно больше и равняется 40%. Почти столько же (37%) приходит­ся на организации и учреждения от 1 тыс. до 5 тыс. рабочих станций.

Что касается сферы деятельности компаний, лидерами являются сектор финансовых услуг (26%), ИТ и телекоммуникации (21%), а так­же ТЭК (19%). Немногим меньше (14%) приходится на различные государственные учреждения, ми­нистерства и ведомства. Фирмы-производители, предприятия торговли и страховые компании име­ют долю от 7% до 4%, всего 2% – образовательные учреждения, 1% фирм не относится ни к одной из перечисленных сфер.

Среди респондентов исследования работники ИТ и ИБ составляют примерно равные группы с пре­обладанием руководящего состава. 53% сотрудников ИТ включают 48% начальников отделов и 5% служащих. В свою очередь 47% работни­ков подразделений ИБ составляют 36% руководи­телей отделов и 11% специалистов. Таким образом, результаты исследования строятся с учетом мнений людей, которые определяют развитие систем ИБ в организациях.

Один из основных вопросов, заданных респонден­там, касается угроз ИБ, а следовательно и ЭБ. Участники исследования могли выбрать четыре различных фактора риска. Наибольшие опасения специалистов вы­зывают утечки данных (76%) и халатность пользова­телей (67%).

Следующий набор вопросов, которые касаются внутренних угроз ИБ, представлено на рис. 1 [3]. На каждый вопрос респонденты могли указать по 2 ответа. Наиболее опасную внутреннюю угрозу представляет опять же утечка дан­ных (корпоративных секретов, интеллектуальной собственности и пр.). Этот фактор выбрала почти половина специалистов (46%). Близкие по смыслу угрозы, искажение документации и утрата инфор­мации, набрали соответственно 37% и 31%. Чуть менее опасны, по мнению ИБ и ИТ-специалистов, сбои в работе информационных систем (ИС) – 26% и саботаж – 22%. 20% в пункте кража оборудования говорит о том, что собственные сотрудники воруют технические устройства значительно меньше, чем информацию. Вынести электронный файл легче и прибыльнее, чем, к примеру, сетевое оборудова­ние.

Что же чаще всего утекает из организаций? Можно предположить, что интеллектуальная собствен­ность и корпоративные секреты. Оказывается, не совсем так (рис. 2). Еще чаще (57%) крадут персональные данные. Это тоже не удивительно. В последние годы известно немало случаев, когда крупные утечки персональных данных клиентов случались в отечественных банках. В скандальных новостях оказались замешаны даже гиганты кре­дитной сферы, а также известные игроки на рынке телекоммуникационных услуг. Вслед за персональ­ными данными действительно идут детали конкрет­ных сделок (47%), финансовые отчеты (38%) и ин­теллектуальная собственность (25%). Бизнес-планы набрали 19%, а прочие информационные ресур­сы – 14%.

Отвечая на вопрос о наиболее опасных угрозах ИБ, респонденты данного исследования поставили на первое место утечки и халатность служащих. При этом атаки хакеров и вирусная активность заметно отстали. Кроме того, 98% компаний применяют контроль доступа, 74% – системы обнаружения/предотвращения вторжений (IDS/IPS) и 53% – VPN-соединения. Данные меры также снижают шансы хакеров и вредоносного кода на успех. Получается, от внешних угроз защищают сразу несколько раз­личных технологий, но в то же время организации оказываются беззащитными перед столь актуаль­ными внутренними угрозами. Ведь только 36% ком­паний шифруют данные при хранении, а системами защиты от утечек оснащены и того меньше, 24% фирм.

Необходимо отметить, что участники исследования не были ограничены в количестве ответов на во­просы о мерах защиты, то есть были перечислены все имеющиеся в компаниях средства. Почему же уровень использования средств защи­ты от утечек столь низок? Специалисты называют множество причин. Самый популярный ответ – неэффективность предлагаемых технологий (49%). Далее идут «традиционные» бюджетные огра­ничения (26%) и трудности с внедрением (11%) [3].

Если проанализировать ответы специалистов, принявших участие в исследовании, станет ясно, что ситуация в сфере ИБ неудовлетворительная. Особенно в части утечек данных. Тем не менее, респонденты решительно настроены укреплять ЭБ, но каждый по-своему. Ответы на последний вопрос нагляд­но демонстрируют, в каком направлении органи­зации собираются развивать отрасль ИБ в ближай­шее время. Сотрудники отделов ИТ и ИБ могли бы перечислить многие мероприятия. Поэтому, что­бы выявить наиболее важные направления, коли­чество вариантов ответа было ограничено всего одним.

Нет ничего удивительного, что большая часть спе­циалистов (34%) рассчитывает укрепить защиту от утечек. Это просто необходимо, ведь инсайдеры представляют наиболее опасную угрозу. На втором месте с 22% идет шифрование данных – тоже весь­ма эффективное мероприятие от потери информа­ции. Чуть меньше (19%) набрали комплексные ин­струменты ИБ – IDS/IPS. В 15% компаний планируют улучшить системы резервного копирования. А 10% респондентов назвали другие компоненты.

Результаты исследования показали, что, несмотря на позитивное отношение специалистов к техническим средствам защиты от утечек в «теории», на практике эти решения внедрены лишь в нескольких наиболее крупных фирмах. А те, что используют, применяют, в основном, устаревшие малоэффективные комплексы, которые основываются на методах контентной фильтрации. Недооцененными остаются такие технологии как шифрование хранимых данных и классификация.

Согласно подсчетам аналитического центра Perimetrix, финан-совый ущерб от потери персональ­ных данных всего 1 человека обходится примерно в 200 долл., а крупные компании теряют базы данных клиентов по несколько миллионов записей. Тогда счет убытками идет уже на миллиарды. Неуди­вительно, что специалисты и руководители отделов ИТ и ИБ называют утечки самой большой угро­зой ЭБ.

Следует отметить положительную тенденцию. Организации знают о существующих брешах в системах безопасности и намерены решительно с ними бороться [4].

Таким образом, проблемы внутренней ИБ – защиты от утечек и инсайдеров – по-прежнему возглавляют список приоритетных задач, которые  компаниям придется решать в течение ближайшего года [5].

Целью статьи является акцентирование внимания руководителей различного ранга на деятельность инсайдеров в организации, с созданием рекомендаций противодействия инсайдерской угрозе ЭБ на техническом и организационном уровнях.

Информация утекает с использованием   различных средств, спо-собных эту самую информацию тем или иным способом запоминать.

Рекомендуются следующие варианты противодействия на техническом уровне:

физическое отключение всех интерфейсов (это USB-порты, дисковые устройства CD-ROM и floppy);

программное блокирование интерфейсов;

использование специализированного терминального ПО, которое будет работать с данными исключительно на сервере (на примере банковских систем); подавление сигналов.

Одним из возможных вариантов может быть
контроль буфера обмена, что предотвратит сохранение информации методом «копировать – вставить» в какой-нибудь из документов, на которые у злоумышленника есть     легальные права записи, копиро-вания-распечатки.

Так же на уровне  инфокоммуникаций необходимо выполнить следующие рекомендации:

запретить использовать средства IM как таковые;

блокировать все сайты, кроме необходимых для работы;

включить мониторинг HTTP трафика.

Технические решения не всегда эффективны в борьбе с
инсайдерством, поэтому необходимо также применять организационные меры.

Рекомендуются следующие организационные меры:

создание политики безопасности компании;

многоуровневый доступ к информации;

постоянное, по возможности, повышение квалификации сотруд-ников безопасности;

регулярные брифинги для персонала;

аккуратность при приеме на работу новых кадров;

контроль вносимой и выносимой техники.

В политике безопасности, с которой каждый сотрудник в обязательном порядке должен ознакомиться, ясно и доходчиво должно быть изложено что можно, а что нельзя, и что практически вся информация не подлежит разглашению.  Можно проинформировать сотрудников о последствиях утечки информации. С этой же целью можно использовать и регулярные брифинги, на которых до сотрудников будут донесены все изменения политик безопасности, если таковые были внесены. Но главной целью подобных мероприятий должно являться повышение сознательности и ответственности персонала.

Многоуровневый доступ к информации подразумевает, что вся информация, необходимая фирме в её работе, должна быть разбита на категории, которым в свою очередь должен быть присвоен определенный приоритет. На основе этого приоритета и должен осуществляться доступ, то есть к примеру бухгалтер не узнает то, к чему имеет доступ отдел программистов. И так далее по аналогии.

Очевидно, что профилактика подобных инсайдерству инцидентов намного лучше, чем восстановление работоспособности и репутации. Поэтому совершенно необходимо очень внимательно присматриваться к новоприбывшим сотрудникам. Для этого можно содержать специально обученных людей, а можно обратиться к аутсорсинг-методам.

Это означает, что все кандидаты для принятия на работу будут как бы процеживаться через фильтр специальных техник так называемого кадрового контроля, который включает в себя, помимо всех психологических тестов, проверку на детекторе лжи, и это еще больше повысит общую безопасность всей системы в целом.

Следовательно сделаем вывод, что внутренние факторы заметно опережают внешние в рейтинге угроз ИБ. Наибольшие опасения спе­циалистов вызывают утечки данных и халатность сотрудников. Организации оснащены антивирусными программными обеспечениями и межсетевыми экранами, но лишь некоторые имеют защиту от утечек, поэтому данные утекают с угрожающей регу­лярностью.

Чаще всего инсайдеры крадут из компаний персональные данные, детали конкретных сделок  и финансовые отчеты. Широко распространенные мобильные накопители, а также электронная почта являются самыми популярными каналами утечек. Исходя из проведенного анализа исследований угроз ЭБ, можно сказать, что перспективным направлением решения задач является модернизация существующих методик ИБ для борьбы с такой угрозой как инсайдер.

Литература:
1. Кавун С. В. Информационная безопасность в бизнесе. – Харьков: Изд. ХНЕУ, 2007. – 408 с.
2. Исследования угроз ИБ Deloitte // www. deloitte.com
3.  Отчет аналитического центра Perimetrix «Инсайдерские угрозы в  России 2008» // http://perimetrix.ru/
4. Защита от инсайдеров. Обзорный курс InfoWatch //http://www.pcmag.ru/elearning/course/index.php?COURSE_ID=7
5. Введение. Технические средства защиты //http://www.pcmag.ru/