Центр исследования компьютерной преступности

home контакты

Бизнес фактически беззащитен перед утечкой конфиденциальной информации

Дата: 24.04.2006
Источник: www.Crime-research.ru
Автор: Наталья Ямбулатова


hack/hack100.jpgУ инсайдеров есть много способов «слить» конфиденциальную информацию заинтересованным лицам. Это электронная почта, сеть, интернет-пейджеры, внешние накопители, мобильные устройства и т.д. Защищая свою интеллектуальную собственность и коммерческие секреты, компании стараются взять под контроль каждый канал передачи информации. Однако, концентрируясь на современных коммуникационных возможностях, фирмы часто забывают о печатающих устройствах и возможности утечки через обычный бумажный носитель.

Недавнее исследование компании Lexmark International показало, что бизнес фактически беззащитен перед утечкой корпоративных секретов через принтеры и обычную бумагу. Известный разработчик печатающих устройств опросил более 1 тыс. офисных служащих и выяснил, что почти половина (49%) отправляемых на принтер документов являются конфиденциальными. Более того, служащие забирают из лотка устройства далеко не все документы, так что доступ к ним имеет практически весь персонал, включая попадающих в офис посторонних лиц (гостей, курьеров, уборщиц и т.д.).

Интересно, что почти каждый десятый сотрудник (8%) просматривал документы своих коллег в выходном лотке принтера. Поживиться чужими секретами можно и на рабочих столах служащих. Так, ровно одна четверть (25%) всех работников держит конфиденциальные документы открытыми на своих офисных столах, а около одной десятой офисных служащих (7%) сообщили, что обычно хранят важные или конфиденциальные документы на своих рабочих столах среди других бумаг, вместо того, чтобы вовремя отправить их в шредер.

Проблема усугубляется еще и тем, что одна треть (33%) офисных служащих считает бумажные документы более эффективным средством, чем коммуникации по телефону или электронная почта. При этом белые воротнички не проявляют заботу ни о корпоративных секретах работодателя, ни о своих собственных приватных данных. Например, 41% сотрудников неблагоразумно оставляют свои распечатанные биографии в лотке принтера и на своих рабочих столах, а 40% бросают документы со своими личными сведениями вообще где попало.

По оценкам аналитического центра InfoWatch, практически ни одна российская компания не обеспечивает эффективный контроль над распечатываемыми документами. Исключение составляют лишь предприятия кредитно-финансовой сферы, так как они особенно уязвимы к атакам со стороны инсайдеров. Однако даже в этом случае служба ИТ-безопасности банков предпочитает ограничиться административными мерами, вообще запретив определенной части персонала выводить документы на печать. Тем не менее, это не просто сужает полезные коммуникационные возможности служащих, но и является довольно слабой защитой от утечки. Например, исследуя систему переработки бумажной информации в одном из отечественных банков, эксперты InfoWatch обнаружили, что инсайдеры по-прежнему могут красть конфиденциальные отчеты. Для этого достаточно отправить чувствительный документ на принтер службы рассылки банка, указав в качестве одного из получателей самого инсайдера. Несмотря на то, что система переработки сама по себе работала достаточно эффективно, высокая степень автоматизации приводила практически к моментальной рассылке конфиденциальных документов всем указанным адресатам, без какой бы то ни было проверки. Между тем, эта типовая схема распространения бумажной информации используется в большинстве крупных банков, некоторые из которых уже пострадали от утечки конфиденциальных отчетов именно через систему переработки.

Однако неэффективный контроль над печатающими устройствами может привести к утечке совершенно случайно – для этого необязательно иметь злой умысел. Очень часто белые воротнички выкидывают чувствительные документы просто в корзину для бумаг, хотя их следовало бы направить в шредер. В результате такой безалаберности и халатности приватные данные клиентов компании и конфиденциальные отчеты оказываются в мусорном баке под открытым небом. В этой связи уместно вспомнить рецепты еще Кевина Митника, советовавшего тщательно исследовать контейнеры для сбора мусора рядом с атакуемой организацией. Хакер неоднократно находил в них использованные дискеты и жесткие диски, а также конфиденциальные документы.

На результативность такого метода сбора информации указывает недавний инцидент, когда в мусорный бак попал конфиденциальный отчет одного банка. Не следует думать, что служащие оказались настолько глупы, чтобы забыть пропустить этот высокочувствительный документ через шредер сразу после того, как он оказался не нужен. На самом деле сотрудник хотел распечатать совсем другой отчет, но по невнимательности отправил на печать именно этот. Пока многостраничный документ печатался, служащий понял свою ошибку и отменил печать. Затем он распечатал тот файл, что ему был нужен, а о наполовину готовом конфиденциальном отчете вообще забыл. В результате какой-то другой работник, не долго думая, выкинул испорченную бумагу в корзину, а оттуда она перекочевала в мусорный бак на улице. Очевидно, рекомендации Кевина Митника по-прежнему актуальны.

Хотя в приведенных примерах конфиденциальная информация утекала из организации далеко не тривиальными способами, эксперты компании InfoWatch уверены, что действительность намного прозаичнее. На практике утечка намного чаще происходит без каких-либо изысков: инсайдер спокойно распечатывает необходимый документ и забирает его с собой вечером, уходя из офиса. Более того, иногда руководство или уполномоченные лица узнают об утечке, фиксируя изменения рыночной конъюнктуры или чрезмерную осведомленность конкурентов, а потом вычисляют потенциальных инсайдеров и канал утечки. Однако такие случаи никогда не выносятся на публику, а утечки превращаются в самые латентные преступления. Лишь в редких случаях информация об инциденте попадает в прессу, например, когда в деле замешана третья сторона (скажем, торгующая украденными документами).

«Инсайдеры – это действительно проблема. К сожалению, многие компании предпочитают просто закрывать на нее глаза. Некоторые руководители действительно верят в утопию о полном доверии между начальством и подчиненными, удовлетворенном и преданном персонале. Однако мы живем в реальном мире, который не всегда настолько идеален. Конечно, нужно доверять своим подчиненным. Да, нужно заботиться о них. Но нельзя слепо полагаться на людей только потому, что нет возможности их хоть как-то проверить. Чем больше компания, тем опаснее инсайдеры. У крупного бизнеса только два пути: либо снять розовые очки, либо приготовиться к серьезным экономическим проблемам», - считает Даниил Капцан, директор по маркетингу "Лаборатории Касперского".

По материалам Cnews.ru

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей