Угрозы информационной безопасности: обзор и оценка
Комплексная защита информации на предприятии

Классификация угроз информационной безопасности: внешние и внутренние

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия и осуществляется организация защиты информации , начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации . Мы остановимся на генерализированном разделении угроз информационной безопасности интеллектуальной собственности организации на две категории – внешние и внутренние угрозы. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.

В случае внешних атак, преступник ищет уязвимости в информационной структуре, которые могут дать ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. В этом случае злоумышленник пользуется широким арсеналом инструментов и вредоносного программного обеспечения (вирусы, трояны, компьютерные черви) для отключения систем защиты, шпионажа, копирования, фальсификации или уничтожения данных, нанесения вреда физическим объектам собственности и т.д. Внутренние угрозы подразумевают наличие одного или нескольких сотрудников предприятия, которые по злому умыслу или по неосторожности могут стать причиной утечки конфиденциальных данных или ценной информации. Рассмотрим эти категории рисков информационной безопасности подробнее.

Внешние угрозы информационной безопасности

Доклад Всемирного экономического форума «Глобальные риски 2012» (“Global Risks 2012”) рассматривает кибератаки как одну из основных угроз мировой экономике. По вероятности наступления, кибератаки входят в пятёрку наиболее вероятных глобальных угроз на 2012 год. Такое заключение Всемирного экономического форума свидетельствует о высокой актуальности и значительной опасности электронной преступности. В документе приводится также график роста официально признанных инцидентов киберпреступности с указанием значительного увеличения потерь от таких преступлений на примере США:

Следует отметить, что доклад Pricewaterhouse Coopers за 2011 год, в соответствии с данными которого был построен этот график, оперирует только официально признанными фактами электронных преступлений, равно как и официально объявленными цифрами убытков – реальная картина выглядит ещё более удручающей. Причём не только в США, эта тенденция является общемировой.

Итак, кибератаки сегодня – давно не голливудский миф, это реальная и серьёзная опасность информационной инфраструктуре, интеллектуальной и физической собственности государственных и коммерческих объектов. Наиболее распространённой и разнообразной по методам исполнения формой киберпреступности является использование вредоносного ПО. Такие угрозы представляют прямую опасность конфиденциальности и целостности информационных ресурсов организации. В атаках с использованием вредоносных кодов и приложений используются уязвимости информационных систем для осуществления несанкционированного доступа к базам данных, файловой системе локальной корпоративной сети, информации на рабочих компьютерах сотрудников. Спектр угроз информационной безопасности, вызванных использованием вредоносного программного обеспечения чрезвычайно широк. Вот некоторые примеры таких угроз защиты информации :

• Внедрение вирусов и других разрушающих программных воздействий;
• Анализ и модификация/уничтожение установленного программного обеспечения;
• Внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений;
• Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности;
• Раскрытие, перехват и хищение секретных кодов и паролей;
• Чтение остаточной информации в памяти компьютеров и на внешних носителях;
• Блокирование работы пользователей системы программными средствами

Внутренние угрозы информационной безопасности

Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз – утечки и кражи информации, утечки коммерческой тайны и персональных данных клиентов организации, ущерб информационной системе связаны, как правило, с действиями сотрудников этой организации. В классификации внутренних угроз в первую очередь можно выделить две большие группы – совершаемые из корыстных или других злонамеренных соображений, и совершаемые без злого умысла, по неосторожности или технической некомпетентности.

Итак, преступления сотрудников, способных причинить вред сохранности интеллектуальной и коммерческой собственности организации (их принято называть «инсайдерами») можно разделить на категории злонамеренного инсайда и непредумышленного инсайда. Злоумышленным инсайдером могут стать:

• Сотрудники, затаившие злобу на компанию-работодателя («обиженные»). Такие инсайдеры действуют исходя из мотивов личной мести, причин для которой может быть масса – от увольнения/понижения в должности до отказа компании предоставить статусные атрибуты, например, ноутбук или расширенный соцпакет.
• Нечистые на руку сотрудники, стремящиеся подзаработать за счёт компании-работодателя. Такими инсайдерами становятся сотрудники, использующие секретные информационные ресурсы компании для собственной выгоды. Базы данных клиентов, интеллектуальная собственность компании, состав коммерческой тайны – такая информация может использоваться инсайдером в личных интересах, либо продаваться конкурентам.
• Внедрённые и завербованные инсайдеры. Самый опасный и самый трудно-идентифицируемый тип внутренних злоумышленников. Как правило, являются звеном преступной цепочки или членом организованной преступной группы. Такие сотрудники имеют достаточно высокий уровень доступа к конфиденциальной информации, ущерб от их действий может стать фатальным для компании.

Злонамеренные инсайдеры представляют определённую опасность для информационной системы и конфиденциальных данных, однако вероятность злоумышленных инцидентов ничтожно мала по сравнению с утечками информации, совершаемыми по неосторожности или вследствие технической безграмотности сотрудников. Да, увы, это так – львиная доля всех инцидентов информационной безопасности на объекте любой сложности является следствием непредумышленных действий сотрудников. Возможностей для таких утечек информации множество: от ошибок ввода данных при работе с локальными сетями или интернетом до утери носителя информации (ноутбук, USB-накопитель, оптический диск); от пересылки данных по незащищённым каналам связи до непредумышленной загрузки вирусов с развлекательных веб-сайтов.

Информационная безопасность и защита информации на предприятии: комплексный подход

Традиционные средства защиты (антивирусы, фаерволы и т.д.) на сегодняшний день не способны эффективно противостоять современным киберпреступникам. Для защиты информационной системы организации требуется комплексный подход, сочетающий несколько рубежей защиты с применением разных технологий безопасности.

Для защиты от внешних интернет угроз информационной безопасности отлично зарекомендовали себя системы предотвращения вторжений на уровне хоста (HIPS) . Правильно настроенная система даёт беспрецедентный уровень защищённости, близкий к 100%. Грамотно выработанная политика безопасности, применение совместно с HIPS других программных средств защиты информации (например, антивирусного пакета) предоставляют очень высокий уровень безопасности. Организация получает защиту практически от всех типов вредоносного ПО, значительно затрудняет работу хакера, решившего попробовать пробить информационную защиту предприятия, сохраняет интеллектуальную собственность и важные данные организации.

Защита от внутренних угроз также требует комплексного подхода. Он выражается в выработке должных политик информационной безопасности, введением чёткой организационной структуры ответственных за информационную безопасность сотрудников, контроле документооборота, контроле и мониторинге пользователей , введении продвинутых механизмов аутентификации для доступа к информации разной степени важности. Степень такой защиты зависит от объективных потребностей организации в защите информации. Далеко не всем объектам требуется дорогостоящая DLP-система, дающая неплохие результаты по защите данных предприятия от утечек, но требующая сложнейшей процедуры внедрения и пересмотра текущих механизмов документооборота. Оптимальным выбором для большинства компаний станет введение функционала защиты от утечек данных, контроле документооборота и мониторинг действий пользователей локальной сети организации. Такое решение является недорогим, простым в развёртывании и эксплуатации, но весьма эффективным инструментом информационной безопасности.

«Защита от внутренних угроз на предприятиях связи»

Введение

1.Самые громкие инсайдерские инциденты в области телекоммуникаций

2.Внутренние нарушители

3.Законы в области защиты от внутренних угроз

3.1.Правовое и нормативное регулирование

3.2.Сертификация по международным стандартам

4.Статистические исследования

5.Методы предотвращения внутренних утечек

Заключение

Список использованной литературы

ВВЕДЕНИЕ

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

Рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;

Анализ внутренних нарушителей;

Изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;

Изучение статистических исследований;

Рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

1. Самые громкие инсайдерские инциденты в

области телекоммуникаций

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.

В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность.

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI – второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom«рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома AcmeTelePower украли результаты инновационных разработок и передали их фирме-конкуренту LamdaPrivateLimited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом – по электронной почте. После этого компания AcmeTelePower собирается вообще перенести свой бизнес из Индии в Австралию.

2. внутренние нарушители

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные - исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute ; исследования западных аналитиков: CSI/FBIComputerCrimeandSecuritySurvey. Таблица 1 иллюстрирует одно из таких исследований.

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Вирусы	$ 15 691 460
Неавторизованный доступ	$ 10 617 000
Кража ноутбуков	$ 6 642 560
Утечка информации	$ 6 034 000
Отказ в обслуживании	$ 2 992 010
Финансовое мошенничество	$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами	$ 1 849 810
Телеком-мошенничество	$ 1 262 410
Зомби-сети в организации	$ 923 700
Взлом системы извне	$ 758 000
Фишинг (от лица организации)	$ 647 510
Злоупотребление беспроводной сетью	$ 469 010
Злоупотребление интернет-пейджерами инсайдерами	$ 291 510
Злоупотребление публичными веб-приложениями	$ 269 500
Саботаж данных и сетей	$ 260 00

Можно добавить только, что в комментариях по объему ущерба аналитики FBIи Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя :

· совокупность компьютеров, связанных между собой в сеть;

· каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;

· обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями

· интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия

· жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети

· независимость логической структуры сети от типов каналов передачи информации.

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

· сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;

· попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);

· другие нарушения правил и процедур внутренней безопасности сети.

Существует несколько путей утечки конфиденциальной информации:

o почтовый сервер (электронная почта);

o веб-сервер (открытые почтовые системы);

o принтер (печать документов);

o FDD, CD, USB drive (копирование на носители).

Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж - лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.

Корпоративный саботаж - это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.

Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина.Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.

Табл. 2 События, предшествующие саботажу

Источник СЕ RT

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.

Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.

Табл. 3 Портрет типичного саботажника

Источник СЕ RT

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.

«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования... Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», - Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», - Бен.

Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам.Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% - коллеги, 21% - друзья, 14% - члены семьи, а еще 14% -сообщники.

В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% - конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% - offline, 22% - обоих сразу.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети.

3. Законы в области защиты от внутренних угроз

Правовое и нормативное регулирование

Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда пристальное внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Во-вторых, телеком не так давно обзавелся собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи» . Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ . Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, оператору рекомендуется «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». От компаний требуют вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России – 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Нельзя обойти вниманием пункт, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту – в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Со временем такая норма должна появиться и в России.

Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это необязательный Кодекс корпоративного поведения ФСФР (Федеральная служба по финансовым рынкам), в Британии – Объединенный кодекс корпоративного управления (полуобязательный), а в США – закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.

ФЗ «О связи» (ст. 46, п. 1) возлагает на оператора такие функции ИБ, как защита сооружений связи, средств связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности функционирования внутренней инфраструктуры оператора связи.

Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.

Сертификация по международным стандартам

Самая известная в мире сертификация – по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ. Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации. Согласно этому стандарту, заключительный этап подтверждения эффективности системы ИБ – проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.

Решение о внедрении СУИБ в организации должно приниматься на самом высоком уровне управления, в идеале – генеральным директором. Без поддержки руководства такие проекты нередко обречены на провал, в лучшем случае – на неэффективное функционирование в условиях неприятия процессов работниками фирмы.

1) В требованиях к политикам определена необходимость зафиксированной (утвержденной) внутренними процедурами предприятия связи политики безопасности, основанной на лучших практиках оценки и управления рисками, отвечающей нуждам деловой деятельности и соответствующей национальному законодательству. Политики безопасности должны быть опубликованы и доведены до сведения персонала оператора связи и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).

2) В требованиях к функциональности описаны требования только к имеющимся сертифицированным техническим средствам, описываются процедуры журналирования событий.

3) В требованиях к взаимодействию описан порядок идентификации собственных клиентов и других операторов. В подразделе указывается на необходимость наличия круглосуточной службы реагирования на инциденты безопасности (или использования такой службы на правах аутсорсинга).

Существует также требование обеспечения конфиденциальности передаваемой и/или хранимой информации для систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи. При этом оно должно соблюдаться и в том случае, если эта информация стала известна оператору связи в силу исполнения договоров об оказании услуг связи.

4. Статисти ческие исследования

Одной из самых масштабных и интересных работ в области защиты от внутренних угроз оказалось исследование 275 телекоммуникационных компаний, проведенное аналитическим центром InfoWatch. Согласно его результатам, инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. Проанализируем структуру этих рисков и влияние на них различных факторов: используемых средств защиты информации, нормативного регулирования и др.

Список самых опасных внутренних угроз информационной безопасности (Табл. 4) возглавили нарушение конфиденциальности информации (85%) и искажение информации (64%). Обе эти угрозы можно обобщить понятием «утечка информации».

На третьей–четвертой позициях – мошенничество (49%) и саботаж (41%). Интересно, что в проводившемся общеотраслевом исследовании угроза саботажа почти на 15% опережает риск мошенничества. Видимо, в силу специфики предоставления услуг связи мошенничество признано одной из наиболее опасных угроз.

Табл. 4 Самые опасные угрозы ИБ

Административная работа с персоналом

По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа - профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих.Еще один чрезвычайно эффективный метод - регулярные тренинги или семинары, на которых до персонала доводится информация об угрозах IT-безопасности и саботаже как таковом. При таком подходе руководство делает ставку на тех сотрудников, которые взаимодействуют с саботажником в офисе, видят его нервозное поведение, получают угрозы в свой адрес и т. п. О подобных инцидентах следует тут же извещать уполномоченных лиц.

Следующий метод предполагает использование принципа минимальных привилегий и четкого разделения функций. Административных полномочий у обычных офисных служащих быть не должно. Также понятно, что сотрудник, отвечающий за резервные копии, не должен иметь возможности удалить данные в оригинальном источнике. Вдобавок в обязанности этого работника следует вменить информирование начальства в случае, если на резервные копии покусится какой-то другой служащий. Вообще, проблема защиты резервных копий может быть решена созданием их дубликатов. В связи с тем, что в компании, как правило, не так много по-настоящему критических данных, создание нескольких резервных копий представляется целесообразным.

Чрезвычайно важен момент эффективного управления паролями и учетными записями.

Лучшей профилактической мерой можно назвать мониторинг, причем не только пассивный (журналы событий), но и активный (защита ценной информации). В этом случае нанести реальный ущерб компании сможет только топ-менеджер, поскольку у остальных работников, имеющих доступ к цифровым активам фирмы, просто не будет прав на удаление ценной информации. На рынке уже есть специализированные решения для защиты данных от внутренних угроз, в том числе и от корпоративного саботажа.

InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch, разработчиком систем защиты от инсайдеров. Оно позволяет обеспечить всесторонний контроль над всеми путями утечки конфиденциальных сведений: почтовым каналом и веб-трафиком, коммуникационными ресурсами рабочих станций и т. д. На сегодняшний день IES уже используется правительственными (Минэкономразвития, Таможенная служба), телекоммуникационными (ВымпелКом), финансовыми (Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК, Транснефть).

Архитектуру IES можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на персональных компьютерах и ноутбуках и отслеживают операции на уровне операционной системы. Сетевые мониторы IWM и IMM также могут быть реализованы в виде аппаратного устройства – InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и веб-трафика. Преимущества такого подхода лучше всего проявляются при защите сложной вычислительной сети, охватывающей территориально распределенные филиалы.

К мониторам уровня рабочей станции относятся Info-Watch Net Monitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat и тщательно протоколирует все действия с конфиденциальными документами.

Вся эта функциональность логично дополнена возможностями модуля IDM, который контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д.

Вдобавок, компоненты INM и IDM в состоянии работать на ноутбуках, при этом администратор безопасности имеет возможность задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав IES, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты. Таким образом, комплексное решение IES адресует все аспекты защиты конфиденциальной информации от инсайдеров.

Lumigent Entegra и LogExplorer

Продукты компании Lumigent Entegra и Log Explorer служат для пассивной защиты информации, хранящейся в базах данных. Они позволяют осуществлять аудит баз данных и восстанавливать информацию в них.

Продукт Entegra следит за действиями пользователей при работе с базами данных и осуществляет аудит самих баз. Он позволяет определить, кто, когда и как просматривал или изменял записи в базе данных, а также изменял, структуру или права пользователей для доступа к ней. Стоит заметить, что продукт не в состоянии предотвратить какое-либо вредоносное воздействие, он лишь может отправить информацию об этой операции для записи в журнал. Log Explorer ведет избыточный журнал всех произведенных с базой данных транзакций, что позволяет в случае каких-либо проблем произвести анализ и аудит совершенных операций и восстановить потерянные или измененные записи без использования резервной копии. Однако речь о восстановлении на самом деле не идет, Log Explorer позволяет осуществлять откат транзакций. Таким образом, этот модуль не в состоянии предотвратить утечку, но может снизить риски искажения записей.

PC Acme

Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.

Proofpoint Messaging Security

Аппаратное решение компании Proofpoint позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации в электронных письмах. Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Если в передаваемом сообщении находится конфиденциальная информация, то продукт способен заблокировать утечку. Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных – электронной почты. Такой продукт может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек - всего лишь приятное дополнение.

Как ловят инсайдеров

Пример победы над инсайдерами продемонстрировала в середине февраля 2006 г. российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности, фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor.

ЗАКЛЮЧЕНИЕ

Таким образом, в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России. Уже можно отметить положительные тенденции. Число организаций, защитивших себя от утечек, непрерывно растет и еще будет увеличиваться.

Организации начинают хорошо осознавать опасность роста угроз, связанных с собственным персоналом, хотя мало предпринимают необходимых мер для защиты. В списки своих приоритетных задач не все включили обучение и повышение квалификации сотрудников в сфере ИБ, регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. Лишь немногие рассматривают сегодня ИБ как одну из приоритетных задач руководства.

По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. Компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.

Недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.

Многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, телекоммуникационные компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.

Ряд крупных компаний подпадают под требования различных нормативных актов, которые обязывают защищать приватные сведения. В целом ожидается, что спрос на решения по защите от инсайдеров и утечек будет стабильно расти как минимум в течение ближайших пяти лет.

Список ИСПОЛЬЗОВАННОЙ литературы

1. InfoWatch. Новости. Как непросто определить утечку – Корбина телеком. 2007 г.

2. Сбиба В.Ю, Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб: Питер, 2008.

3. “КНС ИНФОТЕКС” http://home.tula.net/insider/001b.htm.

4. Зенкин, Д. Инсайдеры в 75 раз опаснее хакеров. С-News. Аналитика. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Доля, А. CitCity. Инсайдеры наступают. http://citcity.ru/14874/

6. InfoWatch: Внутренние угрозы: перед лицом общей опасности. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Доля, А. Саботаж в корпоративной среде. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Базовый уровень информационной безопасности операторов связи. [В Интернете] http://www.ccin.ru/treb_baz_u.doc.

9. Доля А. Безопасность телекомов. http://citcity.ru/15562

10. Доля А.В. Внутренние угрозы ИБ в телекоммуникациях. 2007 г. http://www.iks-navigator.ru/vision/456848.html.

11. Костров, Д.В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008 г.

http://www.iks-navigator.ru/vision/2390062.html.

12. Вестник связи: Защита от инсайдеров в телекоммуникационных компаниях.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Чужой среди своих: протокол заседания круглого стола. Вестник связи. - №7. 2006 r. http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

В последнее время увеличилось количество инцидентов, связанных с похищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу. По направленности угроза, исходящая от таких нарушителей, является ненаправленной - нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать - это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От других типов нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как залог для обеспечения комфортного увольнения - с компенсацией и рекомендациями.

Но наибольшую опасность представляют не эти два типа нарушителей. Саботажники и нелояльные сотрудники все же сами определяют информацию для похищения и место ее «сбыта». Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на них покупателя. Во всех этих случаях утечка информации не нанесет вреда владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать технический способ обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой для этого.

Однако если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем - мотивированным извне. Теперь его дальнейшая судьба - работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

Нарушители, мотивированные извне

Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить их соответствующими устройствами или программами для обхода защиты.

Другие типы нарушителей

В эту классификацию не случайно не включена такая распространенная группа экономических преступников, как инсайдеры - сотрудники, передающие с целью получения выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций. Дело в том, что техническими и организационными мерами пресечь утечку информации, влияющей на стоимость ценных бумаг, практически невозможно. Эта информация обычно очень невелика, часто всего несколько цифр или одно предложение, и может даже не существовать в электронном виде. Например, это прибыль компании за какой-то период, разведанные запасы нефти, информация о предстоящем поглощении компании и т. п. В отличие от прессы, проверяющих органов и т. п., клиентам инсайдеров не нужны подтверждения в электронном виде. С технической точки зрения, пресечь вынос такой информации (например, названия вновь учреждаемой компании и даты запуска) за пределы компании «в оперативной памяти человеческого мозга» невозможно, для предотвращения таких утечек действует законодательно закрепленный запрет на использование инсайдерской информации при торговле ценными бумагами. Поэтому данный тип нарушителей не принимается в предложенной классификации во внимание.

Основные направления защиты

Поскольку потенциальными похитителями информации являются все сотрудники, имеющие к ней доступ, методы защиты планируются таким образом, чтобы соблюсти баланс доступности информации для легального использования и защищенности ее от утечки. Традиционный выбор между доступностью и безопасностью каждой компанией делается в зависимости от уровня паранойи в корпорации.

Это самая разработанная область защиты электронной информации от внутренних угроз. За образец бизнес-процесса защиты электронного документа взяты методы работы с бумажными документами, описывающие, как создается документ, как изменяется, как хранится и как уничтожается. Часть функций контроля жизненного цикла электронного документа автоматизирована, часть осталась неизменной с прошлых веков.

Этот вид защиты электронных документов также имеет аналог в прошлом. Во всяком случае, пока не научились копировать информацию непосредственно в мозг человека, контроль выноса с территории компании физических носителей остается одним из самых эффективных. Во многих компаниях уже нельзя входить на территорию с сотовыми телефонами и фотоаппаратами. Миниатюризация носителей информации и встраивание флеш-памяти в часы, плееры делают такой контроль все менее эффективным. Поэтому наиболее эффективная защита документов данным способом - контроль копируемой информации «до» того, как она будет скопирована.

Эта часть действий, направленных на обеспечение защиты от внутренних угроз, в руководящих документах Гостехкомиссии (ныне ФСТЭК) называется аудитом действий пользователя. Что делает с документом пользователь, получив к нему доступ, также интересует специалистов по безопасности. Иногда наблюдатель - офицер безопасности, иногда - видеокамеры, в последнее время - специальные компьютерные программы.

Программные решения. Примеры, достоинства и недостатки

Защита информации выделяет несколько решений - психологическое, организационное, техническое. В защите электронных документов добавляется программное решение. Три основных направления защиты: защита документов, защита каналов утечки и мониторинг действий пользователей, применяемые в комбинации друг с другом и с другими методами, обеспечивают наиболее эффективную защиту.

Если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации,он становится самым опасным нарушителем.

Защита электронных документов наиболее эффективна в специализированных приложениях: системах защищенного документооборота, защищенных клиент-серверных и веб-приложений. Основной принцип таких систем - защита документа с момента его создания и до момента его уничтожения. В тех организациях, в которых весь документооборот ведется в системах защищенного документооборота, конфиденциальные документы наиболее защищены от внутренних угроз. Все действия авторизованных пользователей с конфиденциальными документами, включая их сохранение в неавторизованном месте, печать и другие, представляющие угрозу утечки информации, отслеживаются и документируются. Такие системы хранят все черновики и версии документов, любые изменения и попытки несанкционированных действий фиксируются.

Однако внедрения таких систем с целью защиты от внутренних угроз имеют и существенные недостатки. Рассмотрим их более пристально.

1. Существенные расходы на внедрение. Такие системы достаточно дороги и требуют одновременного внедрения во всей компании, как минимум, а оптимально - у всех контрагентов. Этот путь достаточно дорог - стоимость ПО для одной рабочей станции иногда превышает сотни долларов, не считая серверных лицензий.

2. Непривычная для работы среда. Владение системами документооборота не является обязательным при приеме на работу, в отличие от знания офисных и почтовых приложений. Поэтому всех пользователей приходится обучать работе с новой системой. В последнее время появились системы, интегрирующиеся в стандартные офисные пакеты, но они еще не так распространены.

3. Собственный формат файла. Для реализации стратегии защиты документа все системы защищенного документооборота используют закрытый формат файлов, которые могут быть открыты только в конкретной системе документооборота. Слабость этой системы защиты заключается в том, что, поскольку не все контрагенты имеют эти системы документооборота, для передачи им файлов необходимо конвертировать защищенный формат в общепринятый. После конвертации файлы остаются незащищенными от нецелевого использования.

4. Незащищенность на рабочих станциях. Как бы ни было защищено документное хранилище, открытый на рабочей станции документ или запрос к базе данных уязвим дважды: во-первых, его содержание находится в буфере экрана, то есть возможно копирование его или его части в буфер Windows командами Copy или PrintScreen, во-вторых, образ экранного буфера находится во временном файле, который лежит на диске рабочей станции и может быть скопирован с помощью файлового менеджера. Сохранение этой информации в незащищенном формате позволяет пользователю поступать с ней по своему усмотрению.

Мониторинг (аудит) действий пользователей

В организациях, в которых возможен доступ сотрудников к государственной тайне, давно используются специализированные рабочие места для работы с ней. Кроме мониторинга движений мыши и клавиатуры, на этих станциях осуществляется шифрование информации на лету, а также использование специальных экранных фильтров во избежание фотографирования информации с экрана или подглядывания за экраном через плечо работающего. Кроме того, такие рабочие станции лишены возможности подключения сменных носителей, а печать осуществляется с разрешения офицера-секретчика.

Для доступа к информации, составляющей гостайну, это решение, безусловно, оправданно, так как риск утечки имеет гораздо более высокий приоритет, чем удобство использования. Однако подобные регламенты работы с конфиденциальной информацией в динамичных рыночных структурах, осложняющие доступ и манипуляции с информацией, могут помешать рыночному успеху компании. Большое количество сотрудников и операций с документами будет порождать такое количество информации, которое не сможет обработать ни один человек. Поэтому тотальный контроль даст лишь иллюзию контроля - воспользоваться его результатами будет сложно.

Можно провести аналогию с речевой связью - технически возможно прослушивать и записывать все разговоры, ведущиеся по телефонам, но в реальности воспользоваться этой информацией в оперативном порядке невозможно - тогда на каждого говорящего придется один слушающий. Другое дело - наблюдение за конкретным сотрудником, находящимся в оперативной разработке, то есть подозреваемым в чем-то. Также важно иметь возможность ретроспективного анализа накопленной информации при проведении расследований.

Поэтому чаще всего применяется программное обеспечение, контролирующее определенные действия пользователя в пассивном режиме, - ведущее журнал доступа. Довольно редко бывает необходимо отслеживать нажатие каждой клавиши и каждое перемещение мыши, обычно выделяются опасные операции (файловые - копирование и переименовывание, документные - сохранение, печать, копирование и вставка, системные - копирование экрана и т. п.). Эти операции контролируются особо тщательно. Причем если эти операции проводились с документом, не содержащим конфиденциальную информацию, то программное обеспечение лишь фиксирует их в базе событий, если же эти действия совершались с конфиденциальным документом - посылается сообщение о запрещенной операции.

Часто, за неимением информации о специальных решениях, в целях мониторинга применяют средства, предназначенные для других целей. Так, для мониторинга движения файлов используются программные агенты, предназначенные для аудита состояния программного обеспечения. Это дает иллюзию защиты, так как эти агенты контролируют лишь перемещения файлов с помощью файловых менеджеров. Если же перемещать файлы при помощи операций над ними, например при конвертации формата или используя программы для записи на оптические диски типа Nero, эта операция пройдет незамеченной для агента.

Защита каналов утечки

Под защитой каналов обычно понимают два взаимодополняющих процесса - управление доступом к каналу и контроль информации, передаваемой через канал. Собственно каналов выхода информации из компании немного - электронная почта, Интернет, сменные носители (дискеты, записываемые оптические диски, USB-устройства и т. д.), порты ввода-вывода (COM, Wi-Fi, Bluetooth и др.), печать и мобильные устройства - портативные и карманные компьютеры.

Для контроля доступа к каждому из них есть свои программы, как входящие в средства управления соответствующего приложения, так и продающиеся отдельно. Обычно процесс открытия доступа в компаниях регламентирован и осуществляется на основе заявок, визируемых непосредственным руководителем. Конечно, факт отказа сотруднику в доступе к каналу гарантирует отсутствие утечек по этому каналу от этого сотрудника. Но не стоит забывать, что сохранение конфиденциальной информации не есть основная задача бизнеса. Не имея доступа к корпоративной электронной почте или принтеру, сотрудник не сможет выполнять свои служебные обязанности, а имея такой доступ - станет потенциальным похитителем информации.

Последнее время часто говорят о средствах управления доступом к сменным устройствам как о решении проблемы похищения информации. То есть утверждается, что если мы ограничим доступ, например, к портам USB, мы будем защищены от утечек информации. Некоторые программы позволяют разрешить использование только определенного USB-носителя и запретить использование всех остальных. Действительно, пример, приведенный в самом начале статьи, не реализовался бы в случае, если бы порт USB не заблокированного пользователем компьютера был открыт только для использования определенного диска или только для чтения. Однако напомню, что чужие USB-накопители - это инструмент реализации не внутренних угроз, а внешних. Злонамеренный нарушитель всегда имитирует производственную необходимость или просто купит КПК и потребует открыть порт для синхронизации его с компьютером. Сменные карты расширения памяти КПК достигают емкости 2 Гбайта, поэтому при желании с помощью КПК можно вынести любое количество информации.

Вот почему, кроме факта открытия доступа к каналу, необходимо проверять информацию, проходящую через него, на предмет содержания запрещенной к выносу за пределы компании. Для этого используются различные технологии - контентная фильтрация, метки на конфиденциальных файлах и др. Кроме того, есть программные средства, сохраняющие копии скопированных, посланных и напечатанных файлов для создания доказательной базы при расследовании инцидентов.

Организационные и психологические меры защиты от внутренних угроз

Психологические меры
Не вдаваясь подробно в психологические аспекты защиты, выделим два способа внедрения систем - открытый и закрытый. Как внедрять такую систему - решает сам заказчик, причем на самом высоком уровне. Безусловно, полностью реорганизовать документооборот незаметно для пользователей невозможно, тем более, что часть процесса внедрения - ознакомление пользователей с процедурами доступа. Однако если основная цель внедрения системы - выявление уже действующего канала утечки, определение всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков информации вне ее, имеет смысл повременить с объявлением процедур и ставить, в первую очередь, мониторы активности пользователей и контентную фильтрацию почты. В случае оперативной разработки в отношении сотрудников компании по договоренности с производителем имеет смысл замаскировать программные агенты на рабочих станциях под программы, которые не вызовут подозрений, - антивирус или мониторы аудита программного обеспечения.

Если же внедрять систему защиты от внутренних угроз открыто, то за счет психологического фактора можно даже сэкономить. Известно, что при внедрении систем видеонаблюдения для защиты периметра на некоторых направлениях можно ставить неподключенные камеры, так как сам факт наличия видеокамеры наблюдения уже останавливает большую часть нарушителей. Для этого камеры должны стоять на виду. По аналогии, организация новой системы хранения, ознакомление сотрудников с новыми регламентами, появление и предание гласности инцидентов с попыткой вынести запрещенную информацию за пределы компании наверняка предотвратят хищения информации саботажниками и нелояльными сотрудниками.

Организационные меры

После абсолютно легального резервного копирования никакое программное обеспечение не в силах остановить физический вынос злоумышленником носителя, его копирование и занос обратно.

Права локальных пользователей
Было бы неправильным считать, что любое, даже самое совершенное программное обеспечение может решить все проблемы с утечками. Если такое программное обеспечение установлено, время от времени оно будет проверяться сотрудниками на возможность преодоления защиты. Кроме постоянного тестирования системы безопасности, необходимо ограничить возможности потенциальных взломщиков. В первую очередь это достигается за счет лишения пользователей прав локального администратора на их рабочих местах. Эта, казалось бы, простая мера до сих пор не применена в большинстве компаний. Иногда оправданием этого служит наличие в компании унаследованного программного обеспечения, неспособного работать с операционными системами, поддерживающими удаленное управление. Выходом из этого может быть локализация рабочих мест с правами локального администратора для работы с унаследованным приложением в отдельном сегменте сети, физическое или программное лишение рабочих мест устройств вывода и концентрация их в одном месте под контролем сотрудника, персонально ответственного за отсутствие утечек информации. Однако нужно понимать, что это решение является временным, и стратегически необходимо стремиться как можно скорее портировать унаследованные приложения в более современные операционные системы.

Стандартизация ПО

Мало в каких компаниях автору встречался такой документ, как список программного обеспечения, допущенного к установке на рабочих станциях, а там, где он есть, на его составление ответственные лица подвигло не беспокойство за утечки конфиденциальной информации, а, скорее, понимание того, что сотрудники могут использовать предоставленный им для работы компьютер для развлечений. Иначе невозможно объяснить наличие в этом списке файлового менеджера FAR. Возможно, встроенный в операционную систему Windows Explorer действительно неудобен, но зато он не позволяет копировать временные файлы Windows. Что выгоднее компании - заставить сотрудников пользоваться штатными средствами операционной системы или оставить мощный инструмент похищения данных? Ответ напрашивается сам собой, но большинство компаний, видимо, не ставит даже этот вопрос.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип «все, что не разрешено - запрещено» в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей - они не смогут использовать программное обеспечение, которое может использоваться для обмана, например, механизмов контентной фильтрации - шифрования и стеганографии.

Специфические решения

Небольшими организационными мерами можно решить очень большие проблемы. Когда-нибудь решение следующей задачи будут изучать в университетах. Одно федеральное ведомство серьезно страдало от регулярных утечек своей базы данных, которая имела устойчивый спрос на пиратских рынках. Контролировать все точки доступа к базе было технически очень сложно, и отдел информационной безопасности придумал следующий ход. Рассудив, что хищением информации занимается не больше десятка человек, причем вряд ли управляемых из одного центра, они попросили администраторов базы ограничить объем ежедневных запросов 20 Мбайт. Все, что больше, - по дополнительной заявке с обоснованием служебной необходимости. Вряд ли нарушители захотят проявить себя регулярными просьбами об увеличении лимита. Поскольку вся база занимала несколько гигабайт, выкачать ее за месяц одному человеку не представлялось возможным. Поскольку база меняется ежедневно, сшитые куски, скопированные в разные дни, нарушали актуальность базы. Через некоторое время базу перестали покупать, а потом, ввиду отсутствия спроса, - и похищать. Как видно, предотвратить утечки в данном случае удалось без дополнительных материальных затрат.

Работа с кадрами

И, конечно, необходимо постоянно работать с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег - ведь лояльные сотрудники пострадают вместе с компанией, а значит, они на одной стороне баррикад.

Высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified - приблизительно его можно перевести как «слишком квалифицированный» или «переквалифицированный». Причем излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся навыки? Задайте себе вопрос, правильно ли, если сотрудник бухгалтерии обладает навыками системного администратора, а оператор на атомной станции заочно учится на эксперта по компьютерной безопасности? Выявление «специалистов-любителей» возможно во время традиционной аттестации. Стоит добавить в опросник вопрос «Как снять зависший процесс в Windows?» и провести разъяснительную работу с теми, кто начнет ответ со слов: «Нажать одновременно клавиши Ctrl, Alt и Del». Ведь правильный ответ на этот вопрос для большинства пользователей - «Вызвать системного администратора».

Хранение физических носителей

Еще один канал утечки информации - физический вынос носителей с резервными копиями. Понятно, что после абсолютно легального резервного копирования никакое программное обеспечение не в силах остановить физический вынос злоумышленником носителя, его копирование и занос обратно. Поэтому сейчас используется несколько способов защиты этого канала утечки. Первый - анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не знают, какая информация записана на каком носителе, они управляют только анонимными номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь, не должны иметь доступ к хранилищу носителей. Второй способ - шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и дорогостоящей вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей - замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Направление развития процедур и технических средств защиты информации от внутренних угроз

Модели поведения нарушителей
Развернув систему мониторинга действий с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, можно развиваться еще в двух направлениях. Первое - интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, и объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции производственной необходимости для увеличения прав нелояльными сотрудниками и саботажниками. Любые заявки на получение доступа к ресурсам, не предусмотренного служебными обязанностями, должны немедленно включать механизм аудита действий с этой информацией. Еще безопаснее решить вдруг возникшие задачи без открытия доступа к ресурсам.

Приведем пример из жизни. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования процессов покупки товаров, производимых компанией. Поскольку финансовая система - один из самых охраняемых ресурсов и разрешение на доступ к ней дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение - доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, ему директором был задан вопрос «в лоб»: «Зачем тебе названия клиентов - слить базу хочешь?» - после чего все пошли работать. Была ли это попытка организовать утечку информации, мы никогда не узнаем, но что бы это ни было, корпоративная финансовая система была защищена.

Предотвращение утечек на этапе подготовки

Любые заявки на получение доступа к ресурсам, не предусмотренного служебными обязанностями, должны немедленно включать механизм аудита действий с этой информацией.

Другое направление развития системы мониторинга внутренних инцидентов с конфиденциальной информацией - построение системы предотвращения утечек. Алгоритм работы такой системы тот же, что и в решениях по предотвращению вторжений. Сначала строится модель нарушителя, по ней формируется «сигнатура нарушения», то есть последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следующий шаг пользователя, если и он совпадает с сигнатурой - подается сигнал тревоги. Например, был открыт конфиденциальный документ, часть его была выделена и скопирована в буфер, затем был создан новый документ и в него было скопировано содержимое буфера. Система предполагает: если дальше новый документ будет сохранен без метки «конфиденциально» - это попытка похищения. Еще не вставлен USB-накопитель, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение - остановить сотрудника или проследить, куда уйдет информация.
К слову, модели (в других источниках - «профили») поведения нарушителя можно использовать, не только собирая информацию с программных агентов. Если анализировать характер запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить конкретный срез информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т. д.

Аутсорсинг хранения информации

Сейчас развивается рынок услуг по аутсорсингу информационных систем, которые обеспечивают хранение информации в защищенном режиме, загрузку ее в арендуемые приложения и выдачу ее удаленно по запросам. Датацентр - ядро компании, оказывающей такие услуги, изначально проектируется таким образом, чтобы свести к минимуму вероятность утечек. Принципы анонимизации и шифрования данных - обязательное условие организации хранения и обработки, а удаленный доступ можно организовать по терминальному протоколу, не оставляя на компьютере, с которого организуется запрос, никакой информации. Причем упомянутые программные и организационные решения для таких центров - средства производства и конкурентные преимущества, поэтому их цена является для них меньшим препятствием, чем для компаний, приобретающих эти решения для себя. Возможно, с развитием рынка этих услуг внутренняя безопасность информации трансформируется в обеспечение безопасности датацентров.

Как уже говорилось в начале статьи, глубина проработки темы борьбы с внутренними угрозами зависит от уровня паранойи в компании. Предела совершенству нет - Большой Брат, придуманный Оруэллом, стремится знать все обо всех. Важно понимать, что владелец информации имеет право на ее защиту, и знать, что для этого доступны все средства - технические, психологические и организационные. И важно противопоставить комплексную систему защиты информации тем сотрудникам, которые, прикрываясь разговорами о нарушении конституционного права на невмешательство в личную жизнь, пытаются использовать данные им во исполнение служебных обязанностей ресурсы в собственных неблаговидных целях. Перефразируя классика новейшей истории, в заключение резюмируем: «Только тот бизнес чего-либо стоит, который умеет защищаться».

Публикации по теме

24 февраля 2011 Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
21 февраля 2011 2010 год был богат на громкие события по утечке информации и заставил задуматься мировое сообщество об усилении безопасности данных и защиты информации.
18 февраля 2011 | PGP Corporation Использование систем электронного документооборота с применением ЭЦП существенно ускоряет проведение многочисленных коммерческих операций, сокращает объемы бумажной бухгалтерской документации, экономит время сотрудников и расходы предприятия, связанные с заключением договоров, оформлением платежных документов, предоставлением отчетности в контролирующие органы, получением справок от различных госучреждений и прочим.

СУЛАВКО А. Е., аспирант

Сибирская государственная автомобильно-дорожная академия,

ТЕХНОЛОГИИ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ *

Аннотация. Выявлены недостатки существующих средств защиты от внутренних угроз информационной безопасности . Описаны используемые в современных системах защиты подходы к распознаванию конфиденциальной информации в информационном потоке и их эффективность, а также основные требования таким системам. Обозначены возможные направления будущих исследований с целью повышения эффективности средств борьбы с внутренними угрозами.

Ключевые слова: информационная безопасность, внутренние угрозы, контентный анализ, контекстная фильтрация, защита от утечки конфиденциальной информации.

Введение. На сегодняшний день наибольшую угрозу информационной безопасности (далее ИБ) представляют внутренние злоумышленники. С каждым годом данная угроза все возрастает. Времена, когда руководители предприятий боялись атак хакеров и вирусов теперь в прошлом. Конечно, данный класс угроз по сей день несет в себе большую опасность, но более всего компании обеспокоены именно из-за потери, утечки корпоративной информации и персональных данных. Об этом говорят результаты практически любых исследований в области информационной безопасности, проводимых в рамках различных проектов (рисунки 1, 2).

Рисунок 1. Наиболее опасные угрозы ИБ по мнению респондентов

* Работа выполнена в рамках реализации программы «Научные и научно-педагогические кадры инновационной России на годы», контракт № П215 от 22.07.09г.

По результатам исследования «ИНСАЙДЕРСКИЕ УГРОЗЫ В РОССИИ ’09» (рисунок 1), проведенного аналитическим центром российской компании Perimetrix видно, что угрозы, исходящие изнутри компании, в сумме дают больший рейтинг опасности, чем угрозы, исходящие извне.

Рисунок 2. Соотношение опасности внутренних и внешних инцидентов ИБ

Такая ситуация наблюдается не только в России. По данным технических отчетов INFORMATION SECURITY BREACHES SURVEY 2006 и 2008, внутренние инциденты также превалируют над внешними. За последние годы существенно увеличилось опасение внутренних инцидентов представителями малого и среднего бизнеса (рисунок 2). Утечки терпят не только представители бизнеса, но и государственные учреждения по всему миру. Об этом свидетельствуют результаты глобального исследования InfoWatch (рисунок 3).

Рисунок 3. Распределение инцидентов по типу организации

Из представленных материалов видно, что сегодня вопрос о борьбе с внутренними угрозами стоит более остро, чем вопрос о борьбе с внешними. Следует отметить, что наиболее опасной угрозой на сегодня является утечка конфиденциальных данных (рисунок 1).

Средства и методы борьбы с внутренними угрозами. Чтобы эффективно бороться с внутренними угрозами, необходимо выявить недостатки существующих средств защиты в этой области. Можно выделить несколько типов систем обеспечения внутренней безопасности.

Системы мониторинга и аудита являются хорошим средством при расследовании инцидентов. Современные системы аудита позволяют регистрировать практически любые действия пользователей. Недостатком этих систем является отсутствие возможности предотвращения утечки, т. к. для этого нужна система реагирования на события и принятия решений, распознающая какая последовательность действий несет угрозу, а какая нет. Ведь если ответной реакции на нарушение не последует сразу, последствий инцидента не избежать.

Системы сильной аутентификации служат для защиты от несанкционированного доступа к данным. В их основе лежит двух- или трехфакторный процесс аутентификации, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. Такие средства могут защитить информацию от “непосвященного” сотрудника, но не от инсайдера , который и так имеет доступ к охраняемой информации.

Средства шифрования носителей. Данный класс программ защитит от утечки информации при потере носителя или ноутбука. Но, если инсайдер передаст носитель вместе с ключом, на котором зашифрована информация другой стороне, то такой метод защиты будет бесполезен.

Системы выявления и предотвращения утечек (Data Leakage Prevention , DLP). Данные системы также называют системами защиты конфиденциальных данных от внутренних угроз (далее, системы защиты от утечек). Эти системы контролируют каналы утечки данных в реальном времени. Существуют комплексные (покрывающие много каналов утечки) и точечные (покрывающие определенный канал утечки) решения. Данные системы используют проактивные технологии, благодаря чему, не только регистрируют факт нарушения ИБ, но и предотвращают саму утечку информации. Конечно, качество такого контроля напрямую зависит от способностей системы отличать конфиденциальную информацию от не конфиденциальной, т. е. от используемых алгоритмов контентной или контекстной фильтрации. Большинство современных систем защиты от утечек имеют функции шифрования носителей и файлов (такие системы также называют Information Protection and Control (IPC)). Они могут использовать защищенные хранилища данных, в частности криптоконтейнеры, которые при доступе к файлу учитывают не только ключ шифрования, но и различные факторы, такие как уровень доступа пользователя и т. д.

На сегодняшний день системы защиты от внутренних угроз - это единственное решение, позволяющее предотвратить утечки в реальном времени, контролируя действия пользователей и процессов производимые с файлами и способное распознавать конфиденциальную информацию в информационном потоке. Чтобы определить уязвимое место в защите, предоставляемой такой системой, необходимо более детально рассмотреть их основные функции и возможности, а также методы, используемые этими системами для осуществления контентной/контекстной фильтрации.

Все существующие методы распознавания конфиденциальной информации в совокупности основаны на синтезе нескольких принципиально различных подходов.

Поиск сигнатур. Наиболее простой метод контентной фильтрации - поиск в потоке данных некоторой последовательности символов. Иногда запрещенную последовательность символов называют «стоп-словом». Техника работает только на точные срабатывания и легко обходится простой заменой символов в анализируемом тексте.

Поиск регулярных выражений (метод масок). С помощью некоторого языка регулярных выражений определяется «маска», структура данных, которые относятся к конфиденциальным. Чаще всего данный метод используется для определения персональных данных (ИНН, номера счетов, документов и т. д.). Недостаток метода в наличие большого количества ложных срабатываний, также метод совершенно не применим к анализу неструктурированной информации.

Метод цифровых отпечатков. С эталонной информации снимается «отпечаток» при помощи хеш-функции. Далее отпечаток сравнивается с фрагментами анализируемой информации. Недостаток в том, что при использовании хеш-функции технология работает только на точные совпадения. Существуют алгоритмы, позволяющие незначительные изменения анализируемой информации по сравнению с эталонной (не более 20%-30%). Данные алгоритмы закрыты разработчиками систем защиты от утечек.

Системы защиты от внутренних угроз также характеризуются соответствием ряду дополнительных требований (критериев принадлежности к системам защиты от утечек). Основные требования к этому классу систем защиты были выдвинуты исследовательским агентством Forrester Research:

 многоканальность (способность осуществления мониторинга нескольких каналов утечки данных);

 унифицированный менеджмент (наличие унифицированных средств управления политикой ИБ, возможность анализа событий по всем каналам мониторинга с созданием подробных отчетов);

 активная защита (система должна не только обнаруживать, но и предотвращать нарушение ИБ);

 сочетание контентного и контекстного анализа (в данном случае к контекстному анализу помимо меток следует относить анализ активности пользователя и приложений).

Как видно, в представленные требования не входит проверка того, кто именно в определенный момент работает под текущей учетной записью.

На сегодняшний день существует достаточно много систем защиты от утечек и продуктов, близких по функциональности к ним. Основные характеристики и функции некоторых решений (было решено взять 10 наиболее популярных) представлены в таблице 1.

У систем защиты от утечек, представленных на рынке, отсутствует возможность идентификации пользователя по “типовому портрету работы в системе”. В существующие решения не позволяют установить, кто на самом деле находится за компьютером. Для этого необходимо прибегать к видеонаблюдению, что не всегда возможно на практике.

Первые системы защиты от утечек в основном использовали методы контентной фильтрации. Но их эффективность оказалась низкой, т. к. на практике такие методы дают достаточно большой процент ошибок первого и второго рода. По данным компании Gartner, в отчете Hype Cycle of Information Security за 2007 год, предельная надежность любых существующих методов контентной фильтрации составляет 80%, а за последние годы существенных изменений в сторону увеличения эффективности таких алгоритмов не произошло. Таким образом, максимальная вероятность правильного распознавания конфиденциальной информации с помощью алгоритмов контентной фильтрации в информационном потоке (документе, файле, трафике и т. д.) на сегодняшний день не превышает 0.8 . И эта вероятность может быть достигнута при использовании всех перечисленных подходов к анализу контента (регулярные выражения, сигнатуры, лингвистические методы и т. д.). Такой показатель является низким (гораздо ниже, чем заявляемые разработчиком характеристики) и не удовлетворяет требованиям информационной безопасности.

Таблица 1 – Основные функции систем защиты от внутренних угроз

название продукта	контентной фильтрации	контекстной фильтрации (подразуме- контейнер- ный анализ)		Шифрование	Критерии канальность, унифици- рованный менеджмент, активная защита,
Traffic Monitor +	сигнатуры, морфология			защищаемые контейнеры
	морфология, цифровые отпечатки		онтологии	контейнеры
	цифровые отпечатки
	сигнатуры, цифровые отпечатки			интегриро- шифрование
	сигнатуры, цифровые отпечатки			интегриро- шифрование
	сигнатуры, цифровые отпечатки			интегриро- шифрование
Инфосистемы СМАП и СКВТ Дозор Джет	сигнатуры, регулярные выражения

Системы защиты от утечек второго поколения используют контейнерный анализ. Этот подход подразумевает однозначное определение конфиденциальной информации в потоке по атрибуту файла (метке). Но, не смотря на кажущийся детерминизм , такая система будет принимать правильное решение при условии верной категоризации данных, произведенной ею предварительно при помощи существующих методов. Но все существующие методы категоризации (вероятностные, лингвистические и т. д.) также основаны на методах контентной фильтрации (контентного анализа), которые, как было упомянуто выше, далеки от совершенства. Необходимо предусматривать и разрабатывать процедуры расстановки меток на новые и входящие документы, а также систему противодействия переносу информации из помеченного контейнера в непомеченный и расстановки меток при создании файлов “с нуля”. Все это является очень сложной задачей, к тому же зависимой от задачи анализа контента. Как видно, концепция детерминистской фильтрации не может применяться отдельно от контентной, и от методов фильтрации контента не избавиться даже теоретически.

Новое поколение систем защиты от утечек (ИАС РСКД, информационно-аналитические системы режима секретности конфиденциальных данных) обещает избавиться от недостатков контентных и контекстных методов, используя каждый из них в том случае, где он наиболее эффективен. Но сочетание двух несовершенных и зависимых технологий не может произвести существенного улучшения.

Заключение. Резюмируя приведенную выше информацию, можно заключить, что, несмотря на большое количество имеющихся алгоритмов выявления конфиденциальной информации, все они не эффективны. Актуализация проблемы внутренних угроз вызвана незащищенностью от них организаций и отсутствием эффективного решения по борьбе с ними. Практически на всех предприятиях используются программные и/или аппаратные средства защиты, которые предназначены для борьбы с внешними угрозами (антивирусы, брандмауэры, IDS и т. д.) и достаточно эффективно с ними борются. Что касается средств защиты от внутренних угроз (системы защиты от утечек), то только очень незначительная часть компаний их использует (рисунок 4), хотя необходимость в этих средствах объективно существует. Рынок информационной безопасности еще не может предложить полноценного решения для эффективной защиты корпоративной информации, и существующие решения не дают достаточного уровня защиты, при этом их стоимость высока (приблизительно 100 – 500 тыс. $ стоит лицензия на 1000 компьютеров).

Рисунок 4. Самые популярные средства ИБ

Необходимо совершенствовать технологии контентной фильтрации, разрабатывая новые методы выявления конфиденциальной информации, концептуально меняя подходы к ее распознаванию. Целесообразно распознавать не только смысловое содержание текста, но и его авторство . Благодаря идентификации автора текста (при пересечении этим текстом периметра организации), набранного пользователем и содержащего конфиденциальную информацию, становится возможным выявить злоумышленника. Данный подход может быть реализован при использовании методов контентного анализа совместно с биометрическими методами идентификации пользователя по клавиатурному почерку. Учитывая не только статические характеристики текста (смысл), но и динамику ввода текста, становится возможным идентификация автора текста с высокой вероятностью.

«Защита от внутренних угроз на предприятиях связи»

Введение

1. Самые громкие инсайдерские инциденты в области телекоммуникаций
2. Внутренние нарушители
3. Законы в области защиты от внутренних угроз

3.1. Правовое и нормативное регулирование

3.2. Сертификация по международным стандартам

1. Статистические исследования
2. Методы предотвращения внутренних утечек

Заключение

Список использованной литературы

ВВЕДЕНИЕ

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

– рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;

– анализ внутренних нарушителей;

– изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;

– изучение статистических исследований;

– рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

1. Самые громкие инсайдерские инциденты в

области телекоммуникаций

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.

В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность.

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI – второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom «рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом – по электронной почте. После этого компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию.

2. внутренние нарушители

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные – исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute ; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey . Таблица 1 иллюстрирует одно из таких исследований.

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Вирусы	$ 15 691 460
Неавторизованный доступ	$ 10 617 000
Кража ноутбуков	$ 6 642 560
Утечка информации	$ 6 034 000
Отказ в обслуживании	$ 2 992 010
Финансовое мошенничество	$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами	$ 1 849 810
Телеком-мошенничество	$ 1 262 410
Зомби-сети в организации	$ 923 700
Взлом системы извне	$ 758 000
Фишинг (от лица организации)	$ 647 510
Злоупотребление беспроводной сетью	$ 469 010
Злоупотребление интернет-пейджерами инсайдерами	$ 291 510
Злоупотребление публичными веб-приложениями	$ 269 500
Саботаж данных и сетей	$ 260 00

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя :

• совокупность компьютеров, связанных между собой в сеть;
• каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;
• обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями
• интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия
• жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети
• независимость логической структуры сети от типов каналов передачи информации.

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

• неавторизованный доступ в систему (ПК, сервер, БД);
• неавторизованный поиск/просмотр конфиденциальных данных;
• неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе;
• сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;
• попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);
• другие нарушения правил и процедур внутренней безопасности сети.

Существует несколько путей утечки конфиденциальной информации:

• почтовый сервер (электронная почта);
• веб-сервер (открытые почтовые системы);
• принтер (печать документов);
• FDD, CD, USB drive (копирование на носители).

Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж - лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.

Корпоративный саботаж - это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.

Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.

Табл. 2 События, предшествующие саботажу

Источник СЕ RT

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.

Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.

Табл. 3 Портрет типичного саботажника

Источник СЕ RT

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.

«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования… Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», - Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», - Бен.

Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% - коллеги, 21% - друзья, 14% - члены семьи, а еще 14% -сообщники.

В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% - конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% - offline, 22% - обоих сразу.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети.

3. Законы в области защиты от внутренних угроз

Правовое и нормативное регулирование

Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда пристальное внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Во-вторых, телеком не так давно обзавелся собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи» . Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ . Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, оператору рекомендуется «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». От компаний требуют вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России – 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Нельзя обойти вниманием пункт, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту – в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Со временем такая норма должна появиться и в России.

Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это необязательный Кодекс корпоративного поведения ФСФР (Федеральная служба по финансовым рынкам), в Британии – Объединенный кодекс корпоративного управления (полуобязательный), а в США – закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.

ФЗ «О связи» (ст. 46, п. 1) возлагает на оператора такие функции ИБ, как защита сооружений связи, средств связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности функционирования внутренней инфраструктуры оператора связи.

Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.

Сертификация по международным стандартам

Самая известная в мире сертификация – по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ. Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации. Согласно этому стандарту, заключительный этап подтверждения эффективности системы ИБ – проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.

Решение о внедрении СУИБ в организации должно приниматься на самом высоком уровне управления, в идеале – генеральным директором. Без поддержки руководства такие проекты нередко обречены на провал, в лучшем случае – на неэффективное функционирование в условиях неприятия процессов работниками фирмы.

• В требованиях к политикам определена необходимость зафиксированной (утвержденной) внутренними процедурами предприятия связи политики безопасности, основанной на лучших практиках оценки и управления рисками, отвечающей нуждам деловой деятельности и соответствующей национальному законодательству. Политики безопасности должны быть опубликованы и доведены до сведения персонала оператора связи и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).
• В требованиях к функциональности описаны требования только к имеющимся сертифицированным техническим средствам, описываются процедуры журналирования событий.
• В требованиях к взаимодействию описан порядок идентификации собственных клиентов и других операторов. В подразделе указывается на необходимость наличия круглосуточной службы реагирования на инциденты безопасности (или использования такой службы на правах аутсорсинга).

Существует также требование обеспечения конфиденциальности передаваемой и/или хранимой информации для систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи. При этом оно должно соблюдаться и в том случае, если эта информация стала известна оператору связи в силу исполнения договоров об оказании услуг связи.

4. Статисти ческие исследования

Одной из самых масштабных и интересных работ в области защиты от внутренних угроз оказалось исследование 275 телекоммуникационных компаний, проведенное аналитическим центром InfoWatch. Согласно его результатам, инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. Проанализируем структуру этих рисков и влияние на них различных факторов: используемых средств защиты информации, нормативного регулирования и др.

Список самых опасных внутренних угроз информационной безопасности (Табл. 4) возглавили нарушение конфиденциальности информации (85%) и искажение информации (64%). Обе эти угрозы можно обобщить понятием «утечка информации».

На третьей–четвертой позициях – мошенничество (49%) и саботаж (41%). Интересно, что в проводившемся общеотраслевом исследовании угроза саботажа почти на 15% опережает риск мошенничества. Видимо, в силу специфики предоставления услуг связи мошенничество признано одной из наиболее опасных угроз.

Табл. 4 Самые опасные угрозы ИБ

Нарушение конфиденциальности информации	85%
Искажение информации	64%
Мошенничество	49%
Саботаж	41%
Утрата информации	25%
Сбои в работе ИС	18%
Кража оборудования	11%
другое	7%

Оценивая негативные последствия утечки конфиденциальной информации, респонденты должны были указать две самые нежелательные, на их взгляд, позиции из предложенного списка (Табл.5). Оказалось, что больше всего они дорожат своей репутацией и общественным мнением (51%), а потеря клиентов (43%) для них страшнее прямых финансовых убытков (36%) – показателя, который лидировал в общеотраслевом исследовании.

Табл. 5 Негативные последствия утечки информации

Интересно, что лишь 2% респондентов опасаются, что утечка информации повлечет за собой юридические издержки и судебное преследование. Это однозначно свидетельствует о неразвитости правоприменительной практики в России. Напомним, что в феврале 2007 г. в России вступил в силу Федеральный закон «О персональных данных», позволяющий привлечь к ответственности компанию, допустившую их утечку. Однако эксперты InfoWatch сомневаются, что «правильный» закон положит конец незаконному распространению персональных данных. Для того чтобы это осуществилось на практике, должно появиться не одно судебное решение, наказывающее организации, виновные в утечке информации.

Табл. 6 Каналы утечки информации

Что касается наиболее распространенных каналов утечки информации (Табл.6), то здесь результаты исследования телекоммуникационного сектора почти полностью повторили общеотраслевые результаты исследования экономики.

Одним из самых важных стал вопрос о количестве утечек конфиденциальной информации, допущенных респондентами в 2006 г. (Табл.7). Как и в других отраслях, лидером оказалось безликое «Затрудняюсь ответить»: выяснилось, что почти никто из опрашиваемых не использует специализированные решения для выявления утечек. И все-таки положительные сдвиги есть: если в общеэкономическом исследовании затруднения с ответом возникли у 44,8% респондентов, то в секторе телекоммуникаций уже только у 38%. Вывод: представители телекома лучше осведомлены об утечках, чем компании других секторов, что свидетельствует о более серьезном отношении к проблемам ИБ .

Табл. 7 Количество утечек информации

Степень влияния законов на бизнес предприятий связи

Респондентам предлагалось оценить степень влияния закона на свой бизнес (Табл.8). Оказалось, что сегодня этот закон почти не работает(10): подавляющее большинство опрошенных (58%) определили его влияние как «несильное», а каждый четвертый (24%) заявил, что закон вообще ни на что не влияет. И лишь 18% организаций видят в этом документе серьезный фактор влияния на бизнес. Но в целом в отрасли бытует мнение, что ФЗ «О персональных данных» – беззубый норматив.

Табл. 8 Оценка влияния ФЗ «О персональных данных» на бизнес компании

По мнению экспертов InfoWatch, подавляющее большинство опрошенных операторов реально оценивают закон. Выдвигая общие требования, этот нормативный акт не определяет, как именно операторы обязаны обеспечить конфиденциальность приватных сведений – получается, по собственному разумению. Более того, в ФЗ в явном виде не предусмотрена ответственность за утечку информации для руководства или бизнеса.

И наконец, федеральный орган, уполномоченный следить за выполнением закона (ФСТЭК России), до сих пор не выпустил стандарт безопасности для персональных данных. Поэтому неясно, какие же меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Отсутствует в России и правоприменительная практика в сфере борьбы с утечками.

Стандарт «Базовый уровень информационной безопасности операторов связи» существует пока лишь в виде рекомендаций Международного союза электросвязи и российской Ассоциации документальной электросвязи. Следование им в каждой стране будет зависеть от требований государственного регулирования. Однако российские регуляторы, вероятно, смогут использовать эти рекомендации в качестве лицензионных условий, а некоторые операторы – в качестве условий присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги с уровнем безопасности, гарантируемым при выполнении «Базового уровня…», а услуги с повышенным уровнем безопасности – на возмездной основе. Другими словами, «Базовый уровень…» имеет все шансы стать драйвером развития ИБ в телекоммуникационном секторе. Это мнение разделяет и большинство респондентов исследования InfoWatch.

Интересны результаты углубленного опроса респондентов: все они слышали о «Базовом уровне…», но 30% признались, что недостаточно хорошо знакомы с его требованиями. Хотя «Базовый уровень…» уже сегодня рекомендует оповещать пострадавших об утечке информации, он все же не фокусирует внимание на внутренних угрозах ИБ. Опрашиваемым было предложено определить необходимость включения в «Базовый уровень…» требований к защите от внутренних угроз, таких, например, как утечка персональных и конфиденциальных данных (Рисунок 4.6). Разработчикам стандарта, вероятно, стоило бы выделить этот источник угроз ИБ для телекоммуникационных компаний.

Табл. 9 Включить ли в «Базовый уровень…» требования к защите от внутренних угроз?

Средства защиты

Наиболее популярными средствами ИБ в телекоммуникационных компаниях (Рисунок 4.7) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%).

В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.

Табл. 10 Используемые средства ИБ

Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (Рисунок 4.4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.

Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (Рисунок 4.8) каждый респондент мог выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.

Табл. 11 Препятствия на пути внедрения защиты от утечки

Можно сравнить эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.

Табл. 12 Наиболее эффективные пути защиты от утечки

Следующий вопрос – наиболее эффективные способы защиты от утечек информации (Рисунок 4.9). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин не используются на практике. Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.

Табл. 13 Планы по внедрению защиты от утечек информации

Базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах. Вывод экспертов подтверждают планы внедрения средств защиты информации от утечек на ближайшие 2–3 года (Рисунок 4.10). Комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.

Главная озабоченность в проблеме внутренних нарушителей – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.

Итоги исследований

Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.

Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует.

Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».Но и сейчас оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям, и хочет продемонстрировать взаимодействующим с ним операторам способность совместно с ними противостоять угрозам ИБ. Поэтому добровольная сертификация довольно распространена уже сегодня.

5.Методы предотвращения внутренних утечек

Административная работа с персоналом

По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа - профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Еще один чрезвычайно эффективный метод - регулярные тренинги или семинары, на которых до персонала доводится информация об угрозах IT-безопасности и саботаже как таковом. При таком подходе руководство делает ставку на тех сотрудников, которые взаимодействуют с саботажником в офисе, видят его нервозное поведение, получают угрозы в свой адрес и т. п. О подобных инцидентах следует тут же извещать уполномоченных лиц.

Следующий метод предполагает использование принципа минимальных привилегий и четкого разделения функций. Административных полномочий у обычных офисных служащих быть не должно. Также понятно, что сотрудник, отвечающий за резервные копии, не должен иметь возможности удалить данные в оригинальном источнике. Вдобавок в обязанности этого работника следует вменить информирование начальства в случае, если на резервные копии покусится какой-то другой служащий. Вообще, проблема защиты резервных копий может быть решена созданием их дубликатов. В связи с тем, что в компании, как правило, не так много по-настоящему критических данных, создание нескольких резервных копий представляется целесообразным.

Чрезвычайно важен момент эффективного управления паролями и учетными записями.

Лучшей профилактической мерой можно назвать мониторинг, причем не только пассивный (журналы событий), но и активный (защита ценной информации). В этом случае нанести реальный ущерб компании сможет только топ-менеджер, поскольку у остальных работников, имеющих доступ к цифровым активам фирмы, просто не будет прав на удаление ценной информации. На рынке уже есть специализированные решения для защиты данных от внутренних угроз, в том числе и от корпоративного саботажа.

InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch, разработчиком систем защиты от инсайдеров. Оно позволяет обеспечить всесторонний контроль над всеми путями утечки конфиденциальных сведений: почтовым каналом и веб-трафиком, коммуникационными ресурсами рабочих станций и т. д. На сегодняшний день IES уже используется правительственными (Минэкономразвития, Таможенная служба), телекоммуникационными (ВымпелКом), финансовыми (Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК, Транснефть).

Архитектуру IES можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на персональных компьютерах и ноутбуках и отслеживают операции на уровне операционной системы. Сетевые мониторы IWM и IMM также могут быть реализованы в виде аппаратного устройства – InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и веб-трафика. Преимущества такого подхода лучше всего проявляются при защите сложной вычислительной сети, охватывающей территориально распределенные филиалы.

К мониторам уровня рабочей станции относятся Info-Watch Net Monitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat и тщательно протоколирует все действия с конфиденциальными документами.

Вся эта функциональность логично дополнена возможностями модуля IDM, который контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д.

Вдобавок, компоненты INM и IDM в состоянии работать на ноутбуках, при этом администратор безопасности имеет возможность задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав IES, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты. Таким образом, комплексное решение IES адресует все аспекты защиты конфиденциальной информации от инсайдеров.

Lumigent Entegra и Log Explorer

Продукты компании Lumigent Entegra и Log Explorer служат для пассивной защиты информации, хранящейся в базах данных. Они позволяют осуществлять аудит баз данных и восстанавливать информацию в них.

Продукт Entegra следит за действиями пользователей при работе с базами данных и осуществляет аудит самих баз. Он позволяет определить, кто, когда и как просматривал или изменял записи в базе данных, а также изменял, структуру или права пользователей для доступа к ней. Стоит заметить, что продукт не в состоянии предотвратить какое-либо вредоносное воздействие, он лишь может отправить информацию об этой операции для записи в журнал. Log Explorer ведет избыточный журнал всех произведенных с базой данных транзакций, что позволяет в случае каких-либо проблем произвести анализ и аудит совершенных операций и восстановить потерянные или измененные записи без использования резервной копии. Однако речь о восстановлении на самом деле не идет, Log Explorer позволяет осуществлять откат транзакций. Таким образом, этот модуль не в состоянии предотвратить утечку, но может снизить риски искажения записей.

PC Acme

Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.

Proofpoint Messaging Security

Аппаратное решение компании Proofpoint позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации в электронных письмах. Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Если в передаваемом сообщении находится конфиденциальная информация, то продукт способен заблокировать утечку. Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных – электронной почты. Такой продукт может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек - всего лишь приятное дополнение.

Как ловят инсайдеров

Пример победы над инсайдерами продемонстрировала в середине февраля 2006 г. российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности, фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor.

ЗАКЛЮЧЕНИЕ

Таким образом, в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России. Уже можно отметить положительные тенденции. Число организаций, защитивших себя от утечек, непрерывно растет и еще будет увеличиваться.

Организации начинают хорошо осознавать опасность роста угроз, связанных с собственным персоналом, хотя мало предпринимают необходимых мер для защиты. В списки своих приоритетных задач не все включили обучение и повышение квалификации сотрудников в сфере ИБ, регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. Лишь немногие рассматривают сегодня ИБ как одну из приоритетных задач руководства.

По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. Компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.

Недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.

Многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, телекоммуникационные компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.

Ряд крупных компаний подпадают под требования различных нормативных актов, которые обязывают защищать приватные сведения. В целом ожидается, что спрос на решения по защите от инсайдеров и утечек будет стабильно расти как минимум в течение ближайших пяти лет.

Список ИСПОЛЬЗОВАННОЙ литературы

1. Новости. Как непросто определить утечку – Корбина телеком. 2007 г.
2. Сбиба В.Ю, Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб: Питер, 2008.
3. “КНС ИНФОТЕКС” http://home.tula.net/insider/001b.htm.
4. Зенкин, Д. Инсайдеры в 75 раз опаснее хакеров. С-News. Аналитика. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.
5. Доля, А. Инсайдеры наступают. http://citcity.ru/14874/
6. InfoWatch: Внутренние угрозы: перед лицом общей опасности. http://www.infowatch.ru/threats?chapter=147151398&id=153017335
7. Доля, А. Саботаж в корпоративной среде. http://www.directum-journal.ru/card.aspx?ContentID=1717301.
8. Базовый уровень информационной безопасности операторов связи. [В Интернете] http://www.ccin.ru/treb_baz_u.doc.
9. Доля А. Безопасность телекомов. http://citcity.ru/15562
10. Доля А.В. Внутренние угрозы ИБ в телекоммуникациях. 2007 г. http://www.iks-navigator.ru/vision/456848.html.
11. Костров, Д.В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008 г.

http://www.iks-navigator.ru/vision/2390062.html.

1. Вестник связи: Защита от инсайдеров в телекоммуникационных компаниях.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

1. Чужой среди своих: протокол заседания круглого стола. Вестник связи. – №7. 2006 r. http://www.vestnik-sru/t/e107_plugins/content/content.php?content.59.