Главная Security, Новое Внутренние угрозы в период кризиса
  • Внутренние угрозы в период кризиса

    Firewall.cpl_I296a_0409 На сегодняшний день в мире сумма ущерба, причиняемого от атак внутренних злоумышленников (инсайдеров), уже давно превышает сумму от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. Особенно сегодня, когда проблема инсайдеров накладывается на проблему кризиса и необходимость массовых увольнений сотрудников. Не стоит думать, что все увольняемые, как равно и остающиеся сотрудники будут лояльны по отношению к увольняющим их работодателям! Именно этой проблеме и будет посвящена данная статья.
    Вначале я хотел бы, чтобы уважаемые читатели сами себе ответили на несколько непростых вопросов. Да-да, именно себе! Итак, вот они:

    • 1. Вы собираетесь увольнять персонал?
      2. Если да, то, как вы думаете, будут ли эти сотрудники лояльны к вам?
      3. Подумайте, не захотят ли ваши (почти бывшие) сотрудники унести информацию, к которой они имеют доступ, с собой?
      4. Сможете ли вы что-либо этому противопоставить?
      5. Готова ли ваша служба безопасности к такой постановке вопроса?
      6. Если вы даже обнаружите, что ваш сотрудник похищает информацию, –  готовы ли вы доказать это в суде?
      7. Готовы ли вы к рискам, связанным с применением нелицензионного программного обеспечения?
      8. Полагаю, список вы сможете продолжить сами…

    Без сомнения, многие предприятия сейчас будут вынуждены сокращать персонал. Некоторые – цивилизованно, с соблюдением законодательства, некоторые просто извещают сотрудников, что с сегодняшнего дня не нуждаются в их работе. Оба подхода тяжело бьют по людям. Но второй подход бьет еще и по организации: таким образом руководство компании  показывает, что оно готово во имя сегодняшней призрачной выгоды не считаться с законом. А следовательно – завтра обойтись так же с партнерами и заказчиками! Это удар по престижу организации, и информация такого рода разносится быстро. Кроме того, тем самым руководство дает увольняемым незаконные, но весомые основания поступить и с предприятием в обход закона. Эту ветвь рассуждений далее можно не детализировать. Перейдем к вынужденному вполне законному процессу сокращения персонала.
    Если вы приняли решение об увольнениях, придется побеспокоиться, чтобы уходящие не могли «прихватить» с собой конфиденциальную информацию.  Если вы не были готовы к этому – вы существенно проиграли! У вас не было политики безопасности? Не была классифицирована информация по степени конфиденциальности? Более того, у вас не было вообще службы ИТ-безопасности, всем занимались сисадмины? Увы… Но самое печальное, если ваши сотрудники при приеме на работу не подписывали соглашение о неразглашении информации! Тогда – формально — сотрудник, «уводящий» с предприятия, скажем, базу клиентов – ничего не нарушал, и вы не сможете предъявить ему претензии в суде.
    Но сложная экономическая полоса — это еще и повод (если это не было сделано ранее) выделить если не подразделение, то хотя бы определенного специалиста, который бы занимался ИТ-безопасностью. И этот человек (отдел) должен подчиняться напрямую первому лицу в компании. Как вариант — за аудит и обеспечение ИТ-безопасности может взяться сторонняя компания с большим опытом в этой области… что, впрочем, редко избавляет от необходимости сформировать собственную группу или пригласить доверенного специалиста.
    Да, если это не сделано ранее, вас ожидают некие дополнительные затраты. Но следует помнить, что общий уровень экономической безопасности предприятия напрямую зависит от безопасности информационной! Ведь любая акция, направленная против экономических интересов хозяйственного субъекта, начинается с этапа сбора информации. Сегодня нельзя представить себе не то что крупные экономические преступления вроде вывода активов предприятия, а даже мелкие противоправные действия без соответствующего информационного обеспечения.
    Помимо того, что наиболее важной информационной угрозой становится та, что направлена изнутри предприятия,- она все чаще приобретает характер «инициативной вербовки», когда сотрудник сам, по собственной инициативе, собирает те или иные сведения для продажи их конкурентам или иностранным спецслужбам. К счастью, все большее число руководителей компаний начинают осознавать реальный масштаб инсайдерских угроз.
    Согласно исследованию «Инсайдерские угрозы в России 2009» проведенного с 01 декабря 2008 г. по 23 января 2009 года специалистами аналитического центра Perimetrix:

    • • Наибольшие опасения вызывают угрозы утечки информации (73%), а также халатность служащих (70%)
      • Главной причиной актуальности внутренних проблем являются продолжающиеся утечки информации – только 5% компании заявили об отсутствии подобных инцидентов за последний год.
      • Специалисты по безопасности осознали собственную незащищенность перед утечками – сразу 42% респондентов затруднились назвать точное количество утечек.
      • Криптографические системы используют 41% компаний, а системы защиты от утечек – 29%.
      • В подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности. 45% халатных нарушителей наказываются неформальными выговорами, а 51% злонамеренных инсайдеров увольняются из компаний по собственному желанию.

    Вместе с тем – наблюдается снижение уровня затрат на информационную безопасность ввиду тяжелого финансового положения самих компаний. Это грозит дальнейшим снижением уровня безопасности. Однако сложно ожидать роста этой категории расходов в период вынужденной экономии средств. Следовательно, доступные средства приходится использовать крайне продуманно.
    Для возможного анализа проблемы внутренних угроз, прежде всего, необходимо ответить на ряд базовых вопросов:

    • • Почему вы хотите защищаться от внутренних угроз?
      • Как выглядит портрет возможного нарушителя?
      • Какие ресурсы вы готовы потратить на защиту от внутренних угроз?

    Ответ на вопрос «зачем внедрять систему защиты от внутренних угроз?» отнюдь не так очевиден, как это может казаться на первый взгляд. Рассмотрим возможные варианты ответов на этот вопрос.

    Таблица 1.
    Цели и методы внедрения системы защиты против внутренних угроз

    Цель Внедрение
    Соответствие требованиям нормативов и стандартов Внедрение мер, которые обеспечат соответствие и проверяются при  аудите
    Сохранность информации Гласное внедрение в сочетании с кадровой работой
    Выявление канала утечки Открытое внедрение в сочетании с оперативными мероприятиями
    Подтверждение непричастности Архивация движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы

    Однако прежде чем вы сможете внедрить системы защиты от внутренних угроз, а их разновидностей на рынке сегодня не просто много, а очень много, это целый класс так называемых DLP (Data Loss Prevention) систем, нужно провести классификацию обрабатываемой информации, определить владельцев обрабатываемой информации и т.д.

    Средства защиты

    Сегодня к мерам по защите информации от внутренних угроз компании относят технические решения по контролю доступа к ресурсам (Интернет, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо низко квалифицированным, либо неосторожным пользователям.
    Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко отметить что слова «секретно» и «ceкpeтно» читаются одинаково, в то время, как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.
    Вместе с тем стоит понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.
    То есть стоит понимать, что с одной стороны компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой – во внедрении более совершенной системы защиты от внутренних угроз.

    Положение о конфиденциальной информации в электронном виде

    После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, чрезвычайно важно понять, что именно мы собираемся защищать.
    Таким образом, в компании необходимо принять документ («Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также  регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.

    Контентное категорирование

    В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор, который запрещено отправлять по электронной почте.
    При этом стоит учесть, что существует набор информации, которую одно подразделение может отправлять, а другое – нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов – лишь бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.
    В Положении необходимо предусмотреть регламенты использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.
    Кроме того, необходимо предусмотреть ведение «журнала» работы с подобными документами, в котором отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.
    В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.

    Классификация информации по уровню конфиденциальности

    Конфиденциальную информацию можно разнести по следующим категориям (пример):

    • • «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» – к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
      • «КОНФИДЕНЦИАЛЬНАЯ» – к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
      • «ОТКРЫТАЯ» – к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

    Иногда в компании вводят больше уровней конфиденциальности. Однако стоит понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.
    Однако следует учесть, что, так как в организации каждый день создается множество документов, то без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.
    Также следует категорировать информацию по критериям целостности и доступности.

    Метки документов

    Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции – публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате MS Office, то в качестве метки может использоваться запись “конфиденциально” в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток – именование файлов по специальной маске. Например, первые 10 символов – тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и 8-значная дата в формате YYYYMMDD.
    Следует обратить внимание на то, что процесс внедрения процедуры именования файлов – не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования всем топ-менеджментом и инструктаж новых сотрудников), надо привлечь на помощь и технические средства. Самый простой технический способ внедрения этой процедуры – разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в Интранет только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет, будут называться правильным образом.
    После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных с ним действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантию. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

    Хранение информации

    После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попытки сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.

    Способы хранения конфиденциальной информации

    Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:

    • • сводная информация;
      • конфиденциальные документы;
      • интеллектуальная собственность.

    Сводная информация
    Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. Как пример, можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. В случае хищения информации подобного типа злоумышленнику важно сохранить ее полноту, достоверность и структуру информации. В противном случае ее цена резко снижается. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.

    Интеллектуальная собственность
    К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например, шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.

    Неструктурированная информация
    Хищение документов, содержащих неструктурированную информацию, также может привести к моральным и материальным потерям. Защита от утечек подобной информации крайне затруднена.
    Одним из вероятных путей утечки информации, используя санкционированный доступ, являются клиентские приложения. Большинство используемых в качестве рабочих станций – компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних IT-угроз. Таких угроз практически нет при использовании тонких клиентов.

    Локальные копии
    Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе и конфиденциальных. При этом стоит помнить, что закрытие всех портов ввода-вывода на ноутбуках достаточно сложно технически, а во-вторых – затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.

    Основные направления защиты

    Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, то методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

    Защита документов
    Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, использование специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.

    Защита каналов утечки
    На сегодняшний день самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако процесс миниатюризации носителей информации и встраивание флэш-памяти в часы и плееры делают такой контроль все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

    Мониторинг (аудит) действий пользователей
    Для процесса защиты от внутренних утечек информации крайне важно не только то, кто получил доступ к файлу, но и то, что он делал с документом, ведь разные пользователи будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это такие как:

    • • перемещение документа, как единого целого;
      • копирование информации из документа;
      • изменение документа с целью обмана следящих систем.

    К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Интернет, печать.
    Ко второй – копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.
    К третьей группе – переименование файла или его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.
    Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать к офицеру безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только офицеру информационной безопасности.
    Однако если вы думаете что это все, что вам нужно сделать – вы ошибаетесь. На самом деле вы должны еще классифицировать потенциального нарушителя, создать его портрет, продумать нетехнические методы защиты. Рассмотрение этих вопросов требует достаточно большого объема информации и не может быть втиснуто в одну статью. Что вам сказать – вам предстоит работать и работать! И учтите, времени у вас нет! Это все должно быть сделано еще на позавчера!
    Кроме этого можно рекомендовать следующее:

    • • Создать выделенную структуру ИТ-безопасности (и/или найти организацию, которая поможет в анализе рисков информационной безопасности, написании соответствующих документов и внедрении соответствующих аппаратно-программных средств);
      • Классифицировать данные и создать каталог конфиденциальной информации;
      • Разобраться, кто к этой информации имеет доступ;
      • Закрыть доступ тем сотрудникам, кому эта информация не нужна по служебной необходимости;
      • Закрыть возможность записи на внешние носители, а в случае недоступности такой меры – организовать теневое копирование информации и контроль действий за соответствующих сотрудников;
      • Запретить удаление любой информации с дисков общего доступа;
      • Включить фильтр на почтовом сервере по определённым словам (на исходящую электронную почту);
      • Запретить использование внешних бесплатных почтовых серверов, ненужных в работе социальных сервисов и средств мгновенного обмена сообщениями;
      • Для наиболее ответственных рабочих мест предусмотреть средства регистрации действий персонала;
      • Создать инструкции по использованию ПК, ПО, уже внедренных и новых систем и средств автоматизации управления;
      • Под роспись ознакомить пользователей с правилами работы по работе с конфиденциальной информацией;
      • Объединить усилия топ-менеджмента, ответственных за экономическую, физическую и информационную безопасность.

    Это, конечно, не панацея,- но принимаемые меры позволят если не исключить, то хотя бы минимизировать возможные потери от внутренних угроз в наше непростое время.

    Безмалый В.Ф.
    MVP Consumer Security
    vladb@windowslive.com
    http://vladbez.spaces.live.com

    • Рубрика: Security,Новое
    • Автор: Владимир Безмалый
    • Дата: Tuesday 31 Mar 2009