Защита от инсайдеров

Стремительное развитие информационных технологий и современных средств коммуникации значительно осложнило контроль над потоками данных. Представить нормальную работу компании без электронной почты, интернет-пейджеров, мобильных устройств и других средств оперативной передачи информации просто невозможно. Бухгалтерские документы, финансовые отчеты, базы данных, договоры с клиентами, планы по развитию и другие конфиденциальные сведения хранятся и обрабатываются в электронном виде, а значит, могут быть частично или полностью скопированы и переданы злоумышленникам.

Идентификация рисков

По данным аналитического центра InfoWatch, в 2007 году в мире было зафиксировано более 500 инсайдерских инцидентов, общий ущерб от которых составил около $58 млрд, что на 30% превышает аналогичный показатель 2006 года. Понятно, что невыявленных случаев утечки информации может быть в разы больше. Если говорить о ситуации в России, то о масштабе проблемы свидетельствует, например, количество нелегального программного обеспечения с всевозможными базами данных по доступным ценам.

Идентификацию информационных рисков можно начать с выяснения вопроса о том, какого рода данные и по каким каналам чаще всего утекают из российских компаний. В ходе исследования «Инсайдерские угрозы 2008», проведенного аналитическим центром Perimetrix, были опрошены представители более 470 отечественных предприятий. По мнению респондентов, чаще всего из компаний похищают персональные данные, включая сведения о клиентах (57%), а также детали конкретных сделок (47%) и финансовые отчеты (38%), далее следуют интеллектуальная собственность (25%) и бизнес-планы (19%) (рис. 1)

Наиболее подверженная утечке информация

Источник: Исследование Perimetrix «Инсайдерские угрозы 2008»

Самым распространенным каналом утечки конфиденциальных данных в том же исследовании были признаны мобильные накопители большой емкости (например, на основе флеш-памяти или магнитных пластин) (рис. 2). Другое исследование инцидентов внутренней информационной безопасности, проведенное аналитическим центром InfoWatch, также показало, что в 2007 году наибольшее количество утечек информации произошло через мобильные устройства (ноутбуки, КПК, USB-флешки, CD- и DVD-диски и др.).

Вторым по популярности способом передачи секретных сведений оказалась корпоративная электронная почта, доступ к которой сегодня имеет практически каждый офисный сотрудник. Дело в том, что далеко не все фирмы фильтруют почтовый трафик на предмет конфиденциальных данных, к тому же методы контентной фильтрации могут иметь низкую эффективность. Примерно в два раза реже, чем рабочую электронную почту, инсайдеры используют вeб-почту (mail.ru, yandex.ru и т.п.) и интернет-пейджеры. Это может объясняться ограничениями на доступ в интернет, которые действуют во многих организациях.

Самые распространенные каналы утечки информации

Источник: исследование Perimetrix «Инсайдерские угрозы 2008»

Однако корыстные инсайдеры – лишь одна из категорий недобросовестных работников, представляющих угрозу внутренней информационной безопасности компании. Как показывают исследования, значительно больше утечек происходит по вине неосмотрительных сотрудников, которые пренебрегают элементарными средствами защиты информации (CCleaner) или нарушают должностные инструкции по работе с конфиденциальными данными. В качестве примера можно привести случаи потери USB-накопителей или ноутбуков с незашифрованными данными либо ситуации, когда сотрудники без собственного корыстного умысла оказываются поставщиками ценной информации для злоумышленников, вводящих их в заблуждение.

Таким образом, результаты исследований позволяют выделить несколько проблемных областей, с которыми связаны основные угрозы внутренней информационной безопасности для большинства российских компаний:

отсутствие контроля над копированием конфиденциальных документов на сменные носители или внешние устройства, подключаемые через различные порты и беспроводные сети;
отсутствие протоколирования операций с конфиденциальными документами, хранящимися в электронном виде;
отсутствие контроля над распечаткой конфиденциальных документов;
отсутствие контроля над конфиденциальными документами, выносимыми за пределы компании на ноутбуках сотрудников.

Понятно, что минимизировать риски в перечисленных областях с помощью систем защиты информации, которые сегодня используются в большинстве российских компаний, практически невозможно. Антивирусы, межсетевые экраны, контроль доступа и системы обнаружения/предотвращения вторжений (IDS/IPS), составляющие основу информационной безопасности многих отечественных предприятий, ориентированы, в основном, на защиту от внешних угроз и малоприменимы для борьбы с инсайдерами.

Для предотвращения утечек конфиденциальной информации, связанных с действиями самих сотрудников, необходимы комплексные меры, направленные на построение системы управления внутренней информационной безопасностью и внедрение режима коммерческой тайны.

Обеспечение внутренней информационной безопасности

Внедрение системы внутренней информационной безопасности на предприятии – процесс длительный и весьма затратный, поэтому его рекомендуется разделить на несколько последовательно реализуемых этапов. В первую очередь необходимо провести классификацию всей внутренней информации с разделением на категории по уровню конфиденциальности. Данные, с которыми работают сотрудники, можно разделить на общедоступные (без ограничений в доступе), чувствительные (ограниченный доступ), персональные и конфиденциальные (специальный допуск для использования).

На следующем этапе необходимо определить, где хранится и как обрабатывается информация различных категорий доступа, а также кто отвечает за ее сохранность. Для каждой категории информации потребуется прописать процедуры обращения с ней: как копировать, хранить, передавать и уничтожать. С этой целью проводится инвентаризация ресурсов, используемых в работе с информацией. Некоторые специалисты предлагают выделять в ходе подобного аудита информационные, программные и физические ресурсы. К информационным ресурсам, содержащим конфиденциальные сведения, могут относиться файлы, базы данных, документация руководства и т.п. Программные ресурсы, обрабатывающие конфиденциальную информацию, включают прикладные программы, СУБД (MS SQL, Oracle), средства управления документами, а также почтовые системы и proxy-серверы, через которые проходит и кэшируется информация. К физическим ресурсам, в которых обрабатывается конфиденциальная информация, относятся серверы, рабочие станции, съемные носители, ноутбуки, коммуникационное оборудование и т.п. Пример инвентаризации информационных ресурсов представлен в табл. 1.

Таблица 1. Пример инвентаризации информационных ресурсов

Вид информации	Содержание	Расположение	Гриф
Производственная	Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки	Файловые серверы, СУБД	Конфиденциальная
Инфраструктурная	Карты IT- инфраструктуры, IT- системы, логины	Локально	Чувствительная
Финансовая	Бухгалтерская информация, финансовые планы, отчеты, балансы	База 1С либо другая среда работы финансового департамента	Конфиденциальная
Кадровая	Личные карточки персонала	Локально, файловый сервер	Чувствительная
Рабочая	Файлы и документы для внутреннего обмена	Расширенные папки либо выделенный файловый сервер	Персональная
Внутрикорпоративная	Отчеты собраний, приказы, распоряжения, статьи	Файловый сервер	Общедоступная
Развлекательная	Фотографии, видеоролики, фильмы, аудиокниги	Расширенные папки либо выделенный файловый сервер	Общедоступная

Источник: InfoWatch, 2007

Следующий важный этап связан с выбором технического решения для организации автоматизированного контроля над работой с конфиденциальной информацией. В специализированной литературе современные системы обеспечения внутренней информационной безопасности часто делятся на канальные и периметральные. Канальные решения представляют собой отдельные средства защиты для каждого возможного канала утечки информации. Например, системы разграничения доступа к устройствам ввода/вывода, средства защиты корпоративной электронной почты, системы разграничения доступа к ресурсу.

Периметральные решения применяются при комплексном подходе к управлению рисками внутренней информационной безопасности. Подобные системы более глубоко интегрируются в информационную структуру предприятия и перекрывают все основные каналы утечки, такие как корпоративная электронная почта, веб-трафик, внешние носители и печать документов. Периметральные решения подразумевают централизованное управление и единую базу инцидентов информационной безопасности для ретроспективного анализа.

Оба типа решений имеют как преимущества, так и недостатки, которые целесообразно соотнести с потребностями и особенностями информационных рисков каждой конкретной компании, внедряющей систему управления внутренней информационной безопасностью.

Однако даже самая технически совершенная система может оказаться неэффективной без грамотно разработанной документации – политики безопасности с сопутствующими приказами и положениями о коммерческой тайне на предприятии. В документе «Политика внутренней информационной безопасности» рекомендуется перечислить информационные активы компании, требующие защиты, а также основные принципы анализа и управления информационными рисками. Помимо этого имеет смысл описать структуру управления информационной безопасностью и применяемые для этого процедуры.

В компании должен существовать документально зафиксированный перечень сведений, составляющих коммерческую тайну, с сопутствующим учетом носителей коммерческой тайны. Крайне важно описать ответственность сотрудников компании за соблюдение конфиденциальности. Обязанность обеспечения безопасности должна быть возложена на всех сотрудников, а также на сторонних пользователей, имеющих доступ к информационным активам компании (в соответствии с соглашением о неразглашении). Кроме того, эксперты рекомендуют в отдельных документах прописать политику предоставления сотрудникам прав доступа к информационным ресурсам, политику использования электронной почты, интернета, удаленного доступа и т.д. Следует отметить, что разработанную документацию необходимо периодически обновлять, так как анализ информационных рисков и инвентаризация ресурсов должны проводиться на регулярной основе.

Перечисленные меры, безусловно, не являются исчерпывающим руководством для построения системы управления внутренней информационной безопасностью, однако позволяют представить масштаб необходимых преобразований. Некоторые российские предприятия уже внедряют подобные политики, в том числе по стандарту ISO 27001, который рассматривает систему управления информационной безопасностью как часть общей системы корпоративного управления, основанной на анализе бизнес-рисков. Однако в большинстве средних и крупных компаний пока реализованы лишь половинчатые меры – например, существует положение о коммерческой тайне, но утечки информации происходят из-за устаревших или неэффективных технических средств мониторинга и защиты данных.

По оценкам аналитиков, в прошлом году свыше четверти российских фирм зарегистрировали шесть и более внутренних инцидентов информационной безопасности, и лишь малая доля организаций избежала утечек информации. Между тем, по некоторым подсчетам, ущерб от потери персональных данных одного человека обходится примерно в $200. Похоже, многим руководителям пора признать, что информация становится все более ценным активом, недостаточная защита которого может обернуться разрушительными финансовыми и имиджевыми потерями для бизнеса.