|
|
№ 3 май-июнь 2006 г.
Тема номера: МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
ЗАЩИТА ОТ ИНСАЙДЕРОВ
М. Г. Давлетханов , Н. В. Столяров, руководитель проекта www.infsec.ru |
|
|
Современную жизнь практически невозможно представить себе без информационных технологий. Компьютеры управляют самолетами и электростанциями, обеспечивают связь, хранят наши деньги, используются для работы с документами. Этот список можно продолжать еще очень долго. Таким образом, компьютеры являются неотъемлемой частью нашей жизни, без них весь привычный нам уклад рассыпался бы, как карточный домик. Неудивительно, что вопросы информационной безопасности сегодня актуальны, как никогда.
Актуальность проблемы
Наибольшей уязвимостью страдают коммерческие информационные системы. Ведь, с одной стороны, они не должны доставлять неудобств пользователям при обращении к ним, а с другой многие из них не имеют серьезной поддержки, достаточной для обеспечения реальной безопасности.
Современным информационным системам угрожает множество самых разнообразных опасностей. Некоторые из них постоянно находятся на слуху и очень широко освещаются в прессе. Это относится, например, к вирусным эпидемиям и хакерским атакам. Другие опасности менее известны. Тем не менее они тоже привлекают достаточно пристальное внимание как общественности, так и специалистов. Для каждой из этих угроз сегодня существуют надежные способы защиты, используя которые сотрудники компаний могут обеспечить безопасность корпоративных информационных ресурсов от внешних напастей. Однако ни в коем случае нельзя забывать и об угрозах внутренних! Речь идет о всевозможных утечках информации ограниченного доступа из-за несанкционированных действий работников тех самых организаций, в которых имели место эти печальные события.
В значительной мере ситуация с утечками коммерческой информации осложнилась в последние годы. Причиной тому стало массовое распространение различных миниатюрных устройств, позволяющих легко переносить значительные объемы данных между компьютерами. Для примера можно взять флэш-память форм-фактора USB. Она представляет собой маленький «брелок», который можно подключить практически к любому персональному компьютеру (ПК) и скопировать оттуда 1–2 гигабайта данных. Такого объема вполне достаточно для того, чтобы унести практически все документы средней по размеру компании. А ведь еще есть сотовые телефоны, смартфоны, цифровые фотоаппараты, MP3-плееры и множество прочих подобных устройств, ряд которых (с жестким диском) позволяет вместить до 80 Гб информации.
Обычно наибольший ущерб утечка информации наносит в тех случаях, когда имеет место явное воровство данных со злым умыслом, например в целях продажи их конкурирующей компании. В информационной безопасности есть даже специальный термин – «инсайдер». Он определяет нелояльно настроенного сотрудника фирмы, предающего огласке документы, к которым он имеет доступ по служебной надобности. Однако далеко не всегда, становясь виновником утечки важной информации, человек действительно хочет нанести вред своей компании или извлечь из этого личную выгоду. Нередки случаи, когда сотрудники разных уровней копируют документы на свои мобильные носители просто для того, чтобы спокойно поработать с ними дома. Ну а дальше... Дальше этот носитель может потеряться либо информация окажется украденной со слабо защищенного домашнего ПК.
Кстати, согласно статистике, чаще всего инсайдерами становятся не менеджеры, бухгалтеры и прочие бизнес-специалисты, а в первую очередь ИТ-сотрудники. И этому очень легко найти объяснение. Во-первых, ИТ-сотрудники обладают доступом практически ко всем компьютерам в организации. Во-вторых, они легко могут узнать пароли пользователей и воспользоваться ими для доступа к закрытым данным. В-третьих, хорошие ИТ-специалисты способны открыть себе «лазейки» в корпоративной системе информационной безопасности, с помощью которых можно будет воровать данные даже после увольнения из компании. Ну и, наконец, в-четвертых, хорошо образованный в компьютерной области человек может скрыть следы своей деятельности, избежав, таким образом, наказания. Все вышеперечисленное вносит ответственных за работу ПК сотрудников в категорию наиболее опасных потенциальных нарушителей правил информационной безопасности.
Между тем проблема утечки коммерческой информации гораздо серьезнее, чем это кажется на первый взгляд. Весьма показательно в этом плане совместное исследование, проведенное в США организацией Computer Security Institute и «компьютерным» подразделением ФБР. В его ходе было опрошено руководство 639 предприятий. Исследование показало, что общие убытки компаний от ИТ-угроз составили чуть больше 130 млн долл. Самый большой ущерб нанесли вирусы. Их атаки обошлись организациям более чем в 42 млн. Второе и третье места по убыткам делят несанкционированный доступ к компьютерным данным (31,2 млн) и утечки важной информации (30,9 млн). Все остальные опасности приносят гораздо меньший ущерб: интернет-атаки – 7,3 млн, мошенничества – 2,2 млн и т. д. Причем очень интересен следующий факт. Общие потери от ИТ-угроз за 2005 год по сравнению с 2004-м значительно уменьшились. Однако средние убытки одной компании из-за утечек коммерческой информации за тот же период выросли более чем в 2 раза!
А теперь давайте рассмотрим, какие системы защиты информации использовали опрошенные компании. Антивирусное ПО работает в 96 % опрошенных организаций, а межсетевые экраны – в 97 %. Данный факт позволяет нам сделать вывод, что снижение убытков от вирусных эпидемий и хакерских атак вряд ли возможно. Системы имущественной (с помощью смарт-карт, USN-токенов и прочих подобных устройств) и биометрической идентификации установлены в 57 % опрошенных компаний. При этом большая часть потерь от несанкционированного доступа к данным приходится на предприятия, которые для разграничения прав пользователей применяют стандартные средства операционных систем и простую парольную защиту. Ну а про средства для защиты от воровства коммерческой информации в некоторых фирмах даже не слышали! Получается, что большинство компаний полностью открыты для инсайдеров. Стоит ли тогда удивляться столь бурному росту убытков из-за утечек коммерческих тайн?
Естественно, в Российской Федерации масштабы убытков бизнес-структур из-за ИТ-угроз совершенно другие. Впрочем, результаты рассмотренного исследования можно очень легко спроецировать и на нашу страну. Здесь подавляющее большинство компаний также не заботится о защите своих коммерческих тайн от внутренних угроз. И если об опасности, которую несут вирусы и хакеры, знают все, то даже о самых банальных случаях утечки информации задумываются немногие.
Вообще, в России является нормальной практика, когда компания переманивает сотрудника у конкурента, а тот приносит в качестве подарка различные документы, к которым имел доступ по служебной необходимости. Конечно, подобные случаи являются явными нарушениями действующего законодательства и подлежат достаточно суровому наказанию. Вот только доказать факт хищения, как правило, совершенно нереально. Именно поэтому любой компании, использующей в своей работе компьютеры (то есть абсолютному большинству фирм), необходимо вовремя позаботиться о надежной защите от внутренних угроз.
Методы защиты от инсайдеров
На сегодняшний день существует несколько методов защиты коммерческих тайн от действий инсайдеров. Первый из них – использование административного ресурса. То есть работодатель может попытаться наложить запрет на использование сотрудниками в офисе любых устройств, которые могут применяться для переноса компьютерной информации. Правда, у такого подхода есть два недостатка. Во-первых, запрещать придется все вплоть до сотовых телефонов. Конечно, существуют компании, в которых действуют подобные ограничения, однако обычно такие действия не лучшим образом сказываются на психологическом состоянии трудового коллектива. Во-вторых, необходимо каким-либо образом обеспечить контроль исполнения принятых решений, а как мы уже отмечали, флэш-память – устройство столь малого размера, что спрятать его не составляет никакого труда. А обыскивать каждого сотрудника при входе в рабочее помещение не будешь.
Другой способ защиты – отключить на компьютерах все устройства и порты, с помощью которых информация может передаваться «наружу». Впрочем, этот вариант также не пойдет на пользу производственной деятельности. С одной стороны, внешние носители часто бывают нужны для работы, а с другой – во многих случаях отключать на компьютерах USB-порты нельзя по той простой причине, что их используют мыши, клавиатуры, принтеры и другая периферия.
Третий вариант – юридическая защита. Вот о ней стоит рассказать поподробнее. Дело в том, что сегодня в России действует закон, охраняющий коммерческую тайну. Вот только чтобы применить его на практике, руководство компании обязано выполнить ряд условий. Первым делом в организации должен быть создан перечень всех данных, считающихся коммерческой тайной, и каждый человек, устраивающийся на работу, должен быть ознакомлен с ним, а также с ответственностью, которая грозит ему в случае разглашении этих сведений. Затем со всеми сотрудниками должно быть заключено дополнительное соглашение, подписывая которое они обязуются не разглашать коммерческую информацию. При соблюдении этих условий компания в случае утечки важных данных теоретически сможет заставить виновника возместить все понесенные ею убытки, в том числе и упущенную выгоду. Однако этого человека нужно не только найти, но и полностью доказать его вину, что без использования специальных средств практически невозможно.
Наконец, последний способ защиты от утечек важной информации – использование специального программного обеспечения. Наверное, никому не нужно объяснять, что этот вариант оптимален практически во всех отношениях. Во-первых, он позволяет обеспечить действительно высокую степень защиты от инсайдеров. Во-вторых, многие программы имеют возможность гибкой настройки, благодаря которой сотрудники компаний смогут использовать мобильные носители, не создавая при этом угрозу безопасности данных. В-третьих, многие системы защиты ведут подробный лог работы пользователей с мобильными носителями, и в случае утечки важной информации служба безопасности компании с его помощью сможет легко найти и изобличить виновника. Таким образом, если в компании защита коммерческой тайны была организована законодательно верно, она сможет получить полную компенсацию своих потерь.
Конечно, программное обеспечения для защиты от инсайдеров не бесплатно. Но цены на него вполне приемлемы даже для небольших предприятий, во всяком случае, они во много раз меньше, чем убытки, которые может понести компания от утечки коммерческой информации. Ну а для того, чтобы не быть голословным, давайте разберем основные характеристики конкретных программных продуктов и попробуем выбрать наиболее подходящую для решения поставленных задач утилиту.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|