Главную угрозу для информационной безопасности бизнеса и его конфиденциальных данных представляют не компьютерные вирусы и хакеры, а инсайдеры. Победить негативный человеческий фактор только техническими средствами пока не удается. Таков основной вывод ряда исследований состояния информационной безопасности компаний как в России, так и в других странах.
Руководство компаний обеспокоено внутренними угрозами безопасности значительно в большей степени, нежели внешними. Ситуацию осложняет финансовый кризис. Необходимость увольнения части сотрудников повлекла увеличение количества мошенничества и случаев преднамеренного хищения информации.
Как и в других странах, в России наибольшее беспокойство вызывают утечка, утрата или искажение (диагр. 1) персональных данных, финансовых отчетов и информации о деталях конкретных сделок.
Для этих целей чаще всего используются мобильные накопители (70%), электронная почта (52%) и интернет-каналы – различные форумы и чаты (33%). Опасность безопасности представляют и печатающие устройства. За последний год она выросла с 18 до 23%.
Винить в утечке информации только уволенных сотрудников не стоит. Психологи отмечают, что в среднем от 10 до 15% всех людей можно отнести к так называемой патологической группе. При любом удобном случае они совершат противоправное действие, в том числе и в области информационной безопасности.
10–15% составляют группу генетически порядочных людей, которые ни при каких обстоятельствах этого не сделают.
Оставшиеся 70–80% составляют группу нормальных людей, которые в своих действиях руководствуются различными «если». К примеру, «раскрою информацию, если ее сохранение будет угрожать моим жизни и здоровью или близких мне людей». Такие люди следуют установленным правилам и соблюдают корпоративные стандарты.
Халатность и безнаказанность
Результаты исследований выявили общие тенденции: основную угрозу (диагр. 2 – данные по России) информационной безопасности несут халатность сотрудников, их невнимательность или незнание основных правил безопасности. По данным компаний Dell и Ponemon Institute, в крупнейших американских аэропортах ежегодно теряется более 600 тыс. ноутбуков. Сколько и каких потерь происходит в России, не указывается.
В подавляющем большинстве случаев нарушители внутренней безопасности отечественных компаний не несут практически никакой ответственности (диагр. 3).
Даже если обнаружено, что сотрудник спланировал утечку информации, судебному преследованию подвергается только 9%. 51% злонамеренных инсайдеров увольняются из компаний по собственному желанию. Остальные отделываются штрафом (5%), строгим выговором (11%) и пр.
Организационные меры
Вызывает беспокойство то обстоятельство, что значительная часть компаний (около 40%), принявших участие в том или ином исследовании, не смогла назвать точное количество инцидентов инсайдерской деятельности.
Программные и технические средства защиты информации, хорошо зарекомендовавшие себя в борьбе с внешними злоумышленниками, против инсайдеров малоэффективны без административно-организационных мер.
Для обеспечения информационной безопасности необходима классификация защищаемых данных. Надо признать, что проводить ее довольно трудно. Этот процесс требует вовлечения практически всех сотрудников компании. Еще труднее поддерживать классификацию в актуальном состоянии по прошествии какого-то времени. Поэтому при классификации данных целесообразно руководствоваться принципом необходимости и достаточности. Избыточная классификация связана с большими затратами и затрудняет работу с информацией.
Для каждой категории данных должны быть разработаны процедуры и регламенты: как работать с информацией, как ее копировать, хранить, передавать, уничтожать.
Необходима также инвентаризация всех информационных ресурсов. Каждый из них должен иметь назначенного «владельца» – ответственного.
Все это поможет обеспечить конфиденциальность информации, соответствующую ее ценности, и управлять рисками. Но главное – разработать стратегию безопасности и ряд необходимых политик. К примеру, «Политика внутренней информационной безопасности», «Политика электронной почты», «Политика предоставления прав доступа к информационным ресурсам» и т.д.
Необходим также документ, определяющий реализацию контроля соблюдения требований информационной безопасности.
Технические средства
Технологии и технические устройства предотвращения утечек (англ. Data Loss Prevention, DLP) конфиденциальной информации позволяют анализировать потоки данных. При обнаружении в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения блокируется.
Распознавание конфиденциальной информации в таких системах производится двумя способами:
анализируются формальные признаки, например, гриф документа, специально введенные метки и т.д.;
проводится анализ содержимого.
Считается, что первый способ позволяет избежать ложных срабатываний, но требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации при этом методе вполне вероятны, если соответствующий документ не подвергся предварительной классификации.
Второй способ дает ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации. В хороших системах оба способа сочетаются.
Однако, несмотря на огромную актуальность внутренних проблем, компании не спешат приобретать технологические продукты, представленные на современном рынке.
Основными сдерживающими факторами выступают бюджетные ограничения, особенно актуальные в период финансового кризиса, и длительный цикл внедрения технологических средств.
Системы защиты от внутренних угроз сегодня весьма актуальны. Но это не только обеспечение информационной, экономической безопасности и охрана производственных территорий, но и эффективное взаимодействие соответствующих служб.
КОММЕНТАРИИ СПЕЦИАЛИСТОВ
Нужны организационные меры
Андрей Дроздов, CISM,CISA, CGEIT, Старший менеджер компании КПМГ:
– От инсайдеров, обладающих существенными полномочиями и при наличии сговора, защиту найти крайне трудно. Однако большая часть угроз утечки информации реализуется вследствие недостаточного осознания руководством компаний и их сотрудниками важности информационной безопасности.
Это проблема не только и не столько ИТ-структур и служб информационной безопасности, но и самого бизнеса. Высшее руководство компаний часто само порождает проблемы информационной безопасности. Об этом говорит назначение неквалифицированных сотрудников на обеспечение ИБ и отсутствие у них времени и возможностей для обучения, непонимание взаимосвязи информационной безопасности и бизнеса, хранение важной и конфиденциальной информации на незащищенных носителях, отсутствие внимания к организационным мерам безопасности. Зачастую руководство компаний не знает и не может оценить, сколько стоят информация и репутация организации.
Проблема безопасности при ее игнорировании сама собой не рассосется. Не исчезнет она и при устранении отдельных недостатков. Нужны организационные меры, помогающие осознать важность проблем, и ресурсы на ее комплексное решение. Повышение уровня зрелости и осведомленности сотрудников в области информационной безопасности можно рассматривать как основную меру противостояния инсайдерам.
Риск привлечения к уголовной ответственности
Евгений Климов, начальник отдела информационной безопасности УК «МЕТАЛЛОИНВЕСТ»:
– Борьба с инсайдерами на промышленных предприятиях оправданна и легко обосновывается, но ее легальная реализация не представляется возможной, так как имеется риск привлечения к уголовной ответственности по ст. 138 УК РФ за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Право это распространяется на все сообщения, включая передаваемые по служебным каналам связи. Сотрудник не может отказаться от него, так как оно является неотчуждаемым и любой отказ от него будет недействителен.
Среди перечня прав обладателя информации, составляющей коммерческую тайну, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо контролировать каналы связи с целью проверки режима коммерческой тайны.
Самое большее, на что имеет право обладатель коммерческой тайны, – требовать от иных лиц конфиденциальности и неразглашения. Выходом из ситуации может явиться совместная работа регуляторов и участников рынка с целью определения «правил игры».
Специализированные системы, предотвращающие утечку информации по формальным признакам, требуют определенной зрелости бизнес-процессов, документооборота, закрытости других эксплуатируемых систем. При этом необходимо особое внимание уделять регламентации сопутствующих процессов. Поэтому их использование для борьбы с инсайдерами может быть неэффективным.
ТЕЗАУРУС
Инсайдер (англ. insider):
- член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер – это член группы, обладающий информацией, имеющейся только у этой группы;
Источник: Википедия
- особо доверенное лицо фирмы, через которое возможно получить конфиденциальную информацию;
Источник: Финансовый словарь
- лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Должностное лицо, директор или один из основных акционеров корпорации с широким владением акциями и их ближайшие родственники. В эту группу также включаются те, кто добывает конфиденциальную информацию о корпорации и использует ее в целях личного обогащения.
Большой экономический словарь