Защита от инсайдеров - проблема нетехническая
Дата: 16.02.2008Источник: CIO-world.ru
Автор: Михаил Емелянников
Лукавство, конечно. Точнее, почти лукавство. Проблема не только и не столько техническая, хотя технические аспекты в ней, безусловно, присутствуют, и без реализации технических мер защиты при ее решении никак не обойтись.О чем речь?
В последнее время тема противодействия инсайдерству, т. е. внутренним угрозам организации, исходящим от ее собственных работников, — наверное, одна из наиболее часто и активно обсуждаемых в российской прессе и на различного рода мероприятиях для специалистов — конференциях, выставках, семинарах и т. п. По популярности она затмила проблему защиты от внешних угроз, и хакеры уже не кажутся такими уж страшными по сравнению с персоналом собственного предприятия, действительно способным сделать практически все что угодно в информационной сети, не взламывая системы защиты, а лишь используя свои права и возможности.
Периодически взрывающие прессу сообщения об очередной масштабной краже баз данных с последующим выбросом ее на «митинский радиорынок», безусловно, являются следствиями не взломов сети хакерами и скачивания через Интернет гигабайтов данных, а результатом несанкционированных действий администраторов сетей или этих самых баз, скачавших и продавших информацию ради собственной выгоды. И это лишь одно из возможных проявлений инсайдерской деятельности. Есть еще «убитые» файлы и записи, не подлежащие восстановлению вследствие ошибки, халатности или незнания, отправленные по электронной почте коммерческие секреты из-за случайного клика не на том файле приложения, который был нужен. Есть «упавшие» сети вследствие проникших в них вредоносных программ, которые были подхвачены на сомнительных сайтах глобальной сети или находились на загруженном пиратском диске с очередной популярной игрушкой.
Но дело в том, что эта проблема существует уже давно, точнее, существовала всегда, и компьютеры к ней не имеют ровно никакого отношения — технология меняется, а проблема защиты от шпиона и дурака остается. Почему же именно сейчас столько разговоров на эту тему?
На мой взгляд, причин несколько.
Одна их часть имеет отношение к состоянию российского рынка информационной безопасности. Средствами периметровой защиты — межсетевыми экранами, системами обнаружения и предупреждения вторжений, антивирусными и антиспамовыми продуктами и т. п., рынок насыщен, большинство организаций и предприятий, готовых тратить на них деньги, обладают такими системами. Средства защиты от инсайдеров — с целью контроля устройств ввода-вывода, анализа контента, управления идентификацией, доступом и цифровыми правами — для нашего рынка относительно новы и распространены значительно меньше. К тому же появились и отечественные разработки в некоторых из этих направлений. Рынок надо «греть», вот и публикаций стало значительно больше.
Но есть и другая группа причин. Вступление в силу новых федеральных законов, в первую очередь о коммерческой тайне и персональных данных, с одной стороны, расширило возможности правовой охраны конфиденциальных сведений и защиты прав их обладателя, с другой — потребовало принятия более эффективных мер по контролю над доступом к чувствительной информации и ее использованием. И, похоже, государственное регулирование в этом направлении будет только усиливаться и также способствовать усилению внимания к теме контроля над правомерностью действий персонала.
Кто, зачем и почему?
Под инсайдерами в статье будут подразумеваться штатные работники организации (предприятия), умышленно, случайно или ошибочно превышающие свои полномочия при работе с информацией, следствием чего является нарушение ее целостности, доступности и/или конфиденциальности, то есть работники, которые делают то, о чем писалось выше — крадут и «сливают» конфиденциальные сведения, несанкционированно модифицируют и уничтожают информацию, блокируют доступ к ней, запускают в сеть троянов и червей, выполняют иные аналогичные действия, подчас имеющие катастрофические последствия.
Сразу возникают вполне закономерные вопросы — зачем и почему они это делают?
Основных причин всего четыре:
> корысть;
> ненависть (месть, злость);
> страх;
> некомпетентность.
Главная причина — безусловно, корысть. Здесь уместно процитировать авторов книги «Безопасный аутсорсинг» Майкла Пауэра и Роланда Тропа, которые писали: «По мере роста ценности данных, накопленных предприятиями, у посторонних лиц возрастает интерес к их получению, присвоению и ненадлежащему использованию». Со справедливостью данного утверждения нельзя спорить, стоит лишь добавить, что источником информации для «посторонних лиц» чаще всего являются не каналы связи и не устройства несанкционированного съема информации, а работники предприятия-жертвы, у которого организуется хищение ценных данных. Под корыстью здесь понимается не только прямое получение денег за переданные сведения, но и любые другие выгоды, которые пытается извлечь из несанкционированного использования информации допущенный к ней сотрудник — повышение собственной значимости и авторитета, своей рыночной стоимости как специалиста, получение более высокой должности или высокооплачиваемой работы. Каналами утечки скрываемых сведений могут быть публикации в прессе решивших застолбить за собой первенство специалистов, выступление на конференциях и семинарах, депонирование рукописей, кандидатские и докторские диссертации, основанные на исследованиях, проводимых в организации — обладателе коммерческих секретов и т. п. Известная фраза советских времен «Болтун — находка для шпиона» как нельзя справедлива и для секретов производства или планов развития бизнеса.
Ненависть или просто попытка доставить неприятности работодателю, руководителю, коллеге является также серьезным мотивом для злонамеренных действий с информацией. Увольняемый администратор уничтожил все файлы на сервере. Разругавшийся с партнером совладелец унес с собой всю информацию, к которой имел доступ. Обиженный отказом в повышении зарплаты бухгалтер слил не слишком украшающие организацию сведения в налоговую инспекцию. Сокращаемые работники подали коллективную жалобу в правоохранительные органы, в которой описали все, что знают и что не знают, но о чем догадываются. Знакомые ситуации? Все они результат действия инсайдеров.
Страх может быть эффективным средством добывания информации даже в тех случаях, когда другие способы не дают желаемого результата. Несколько лет назад на Дальнем Востоке активно обсуждали арест одного из работников оператора сотовой связи, который под угрозой расправы с близкими передавал в ОПГ сведения о телефонных переговорах местных бизнесменов с китайскими партнерами. В зависимости от абонента и длительности этих разговоров рэкетиры определяли размер взимаемой с предпринимателей «дани».
И, наконец, некомпетентность и халатность. Вторая после корысти (а может, и первая?) причина инцидентов с инсайдерами. Политика безопасности есть, но о ней не знают. Правила установили, а как их выполнять — не научили. Новый софт поставили, а о подготовке персонала забыли. Соблюдение мер по обеспечению безопасности никто не контролировал, и их перестали выполнять. По выявленным инцидентам никто никаких действий не предпринимал. Как результат — ошибочные действия конечных пользователей с самыми непредсказуемыми последствиями. Наверное, каждому знакома ситуация, когда безвозвратно удаленными оказываются весьма важные для деятельности файлы или записи в базе данных, а допустившая их потерю сотрудница ситуацию поясняет очень просто: «На экране появился какой-то вопрос. Какой — я не поняла, не по-русски было. Я нажала клавишу „Ввод“, и все куда-то пропало. И что мне теперь делать?» Вот это и есть последствия некомпетентности.
Все перечисленные здесь ситуации никакого отношения к техническим проблемам не имеют. А из этого следует очень простой вывод: бороться с нетехнической проблемой только техническими средствами — бессмысленно.
Как и почему?
Чтобы понять, как противодействовать инсайдерской угрозе после того, как мы установили, кто этот самый инсайдер и почему он нарушает систему безопасности, надо понять, как он это делает. Можно выделить следующие действия персонала, приводящие к нежелательным последствиям:
> получение доступа к информации, не требующейся для непосредственного выполнения обязанностей;
> преодоление существующей системы защиты;
> неправомерное обращение с доверенной информацией;
> неумение и/или нежелание делать правильно;
> ошибочные действия.
Получение доступа к ненужной информации является следствием отсутствия в организации эффективной системы разграничения доступа и управления правами пользователей, когда значительная часть персонала получает возможность использовать корпоративные информационные системы и хранилища данных независимо от производственной необходимости. Очевидно, что создание такой предпосылки для неправомерных действий инсайдеров является результатом недостаточности усилий по защите информации со стороны ее обладателя. Все остальные ответы на вопрос «как?», может быть, за исключением ошибок, — уже результат сознательных действий недобросовестных работников.
Тогда нужно задать следующий вопрос — а почему эти действия нарушителей системы безопасности оказываются результативными и вообще возможными?
Первая, очевидная и самая, наверное, распространенная причина — в организации нет формально утвержденной политики (правил) безопасности или о существовании такой политики персонал не знает. Общая тенденция такова, что чем меньше организация (или...
| Добавить комментарий |
| Всего 0 комментариев |
