1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать

Инсайдерские угрозы

В борьбе с внутренним врагом важны организационные меры

Главную угрозу для информационной безопасности бизнеса и его конфиденциальных данных представляют не компьютерные вирусы и хакеры, а инсайдеры. Победить негативный человеческий фактор только техническими средствами пока не удается. Таков основной вывод ряда исследований состояния информационной безопасности компаний как в России, так и в других странах.

Руководство компаний обеспокоено внутренними угрозами безопасности значительно в большей степени, нежели внешними. Ситуацию осложняет финансовый кризис. Необходимость увольнения части сотрудников повлекла увеличение количества мошенничества и случаев преднамеренного хищения информации.

Как и в других странах, в России наибольшее беспокойство вызывают утечка, утрата или искажение (диагр. 1) персональных данных, финансовых отчетов и информации о деталях конкретных сделок.

Для этих целей чаще всего используются мобильные накопители (70%), электронная почта (52%) и интернет-каналы – различные форумы и чаты (33%). Опасность безопасности представляют и печатающие устройства. За последний год она выросла с 18 до 23%.

Винить в утечке информации только уволенных сотрудников не стоит. Психологи отмечают, что в среднем от 10 до 15% всех людей можно отнести к так называемой патологической группе. При любом удобном случае они совершат противоправное действие, в том числе и в области информационной безопасности.

10–15% составляют группу генетически порядочных людей, которые ни при каких обстоятельствах этого не сделают.

Оставшиеся 70–80% составляют группу нормальных людей, которые в своих действиях руководствуются различными «если». К примеру, «раскрою информацию, если ее сохранение будет угрожать моим жизни и здоровью или близких мне людей». Такие люди следуют установленным правилам и соблюдают корпоративные стандарты.

Халатность и безнаказанность

Результаты исследований выявили общие тенденции: основную угрозу (диагр. 2 – данные по России) информационной безопасности несут халатность сотрудников, их невнимательность или незнание основных правил безопасности. По данным компаний Dell и Ponemon Institute, в крупнейших американских аэропортах ежегодно теряется более 600 тыс. ноутбуков. Сколько и каких потерь происходит в России, не указывается.

В подавляющем большинстве случаев нарушители внутренней безопасности отечественных компаний не несут практически никакой ответственности (диагр. 3).

Даже если обнаружено, что сотрудник спланировал утечку информации, судебному преследованию подвергается только 9%. 51% злонамеренных инсайдеров увольняются из компаний по собственному желанию. Остальные отделываются штрафом (5%), строгим выговором (11%) и пр.

 

Организационные меры

Вызывает беспокойство то обстоятельство, что значительная часть компаний (около 40%), принявших участие в том или ином исследовании, не смогла назвать точное количество инцидентов инсайдерской деятельности.

Программные и технические средства защиты информации, хорошо зарекомендовавшие себя в борьбе с внешними злоумышленниками, против инсайдеров малоэффективны без административно-организационных мер.

Для обеспечения информационной безопасности необходима классификация защищаемых данных. Надо признать, что проводить ее довольно трудно. Этот процесс требует вовлечения практически всех сотрудников компании. Еще труднее поддерживать классификацию в актуальном состоянии по прошествии какого-то времени. Поэтому при классификации данных целесообразно руководствоваться принципом необходимости и достаточности. Избыточная классификация связана с большими затратами и затрудняет работу с информацией.

Для каждой категории данных должны быть разработаны процедуры и регламенты: как работать с информацией, как ее копировать, хранить, передавать, уничтожать.

Необходима также инвентаризация всех информационных ресурсов. Каждый из них должен иметь назначенного «владельца» – ответственного.

Все это поможет обеспечить конфиденциальность информации, соответствующую ее ценности, и управлять рисками. Но главное – разработать стратегию безопасности и ряд необходимых политик. К примеру, «Политика внутренней информационной безопасности», «Политика электронной почты», «Политика предоставления прав доступа к информационным ресурсам» и т.д.

Необходим также документ, определяющий реализацию контроля соблюдения требований информационной безопасности.

 

Технические средства

Технологии и технические устройства предотвращения утечек (англ. Data Loss Prevention, DLP) конфиденциальной информации позволяют анализировать потоки данных. При обнаружении в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения блокируется.

Распознавание конфиденциальной информации в таких системах производится двумя способами:

анализируются формальные признаки, например, гриф документа, специально введенные метки и т.д.;

проводится анализ содержимого.

Считается, что первый способ позволяет избежать ложных срабатываний, но требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации при этом методе вполне вероятны, если соответствующий документ не подвергся предварительной классификации.

Второй способ дает ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации. В хороших системах оба способа сочетаются.

Однако, несмотря на огромную актуальность внутренних проблем, компании не спешат приобретать технологические продукты, представленные на современном рынке.

Основными сдерживающими факторами выступают бюджетные ограничения, особенно актуальные в период финансового кризиса, и длительный цикл внедрения технологических средств.

Системы защиты от внутренних угроз сегодня весьма актуальны. Но это не только обеспечение информационной, экономической безопасности и охрана производственных территорий, но и эффективное взаимодействие соответствующих служб.

 

КОММЕНТАРИИ СПЕЦИАЛИСТОВ

Нужны организационные меры

Андрей Дроздов, CISM,CISA, CGEIT, Старший менеджер компании КПМГ:

– От инсайдеров, обладающих существенными полномочиями и при наличии сговора, защиту найти крайне трудно. Однако большая часть угроз утечки информации реализуется вследствие недостаточного осознания руководством компаний и их сотрудниками важности информационной безопасности.

Это проблема не только и не столько ИТ-структур и служб информационной безопасности, но и самого бизнеса. Высшее руководство компаний часто само порождает проблемы информационной безопасности. Об этом говорит назначение неквалифицированных сотрудников на обеспечение ИБ и отсутствие у них времени и возможностей для обучения, непонимание взаимосвязи информационной безопасности и бизнеса, хранение важной и конфиденциальной информации на незащищенных носителях, отсутствие внимания к организационным мерам безопасности. Зачастую руководство компаний не знает и не может оценить, сколько стоят информация и репутация организации.

Проблема безопасности при ее игнорировании сама собой не рассосется. Не исчезнет она и при устранении отдельных недостатков. Нужны организационные меры, помогающие осознать важность проблем, и ресурсы на ее комплексное решение. Повышение уровня зрелости и осведомленности сотрудников в области информационной безопасности можно рассматривать как основную меру противостояния инсайдерам.

 

Риск привлечения к уголовной ответственности

Евгений Климов, начальник отдела информационной безопасности УК «МЕТАЛЛОИНВЕСТ»:

– Борьба с инсайдерами на промышленных предприятиях оправданна и легко обосновывается, но ее легальная реализация не представляется возможной, так как имеется риск привлечения к уголовной ответственности по ст. 138 УК РФ за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

Право это распространяется на все сообщения, включая передаваемые по служебным каналам связи. Сотрудник не может отказаться от него, так как оно является неотчуждаемым и любой отказ от него будет недействителен.

Среди перечня прав обладателя информации, составляющей коммерческую тайну, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо контролировать каналы связи с целью проверки режима коммерческой тайны.

Самое большее, на что имеет право обладатель коммерческой тайны, – требовать от иных лиц конфиденциальности и неразглашения. Выходом из ситуации может явиться совместная работа регуляторов и участников рынка с целью определения «правил игры».

Специализированные системы, предотвращающие утечку информации по формальным признакам, требуют определенной зрелости бизнес-процессов, документооборота, закрытости других эксплуатируемых систем. При этом необходимо особое внимание уделять регламентации сопутствующих процессов. Поэтому их использование для борьбы с инсайдерами может быть неэффективным.

 

ТЕЗАУРУС

Инсайдер (англ. insider):

  • член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер – это член группы, обладающий информацией, имеющейся только у этой группы;

Источник: Википедия

  • особо доверенное лицо фирмы, через которое возможно получить конфиденциальную информацию;

Источник: Финансовый словарь

  • лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Должностное лицо, директор или один из основных акционеров корпорации с широким владением акциями и их ближайшие родственники. В эту группу также включаются те, кто добывает конфиденциальную информацию о корпорации и использует ее в целях личного обогащения.

Большой экономический словарь