Protecția corporativă împotriva amenințărilor interne la adresa securității informațiilor. Securitatea rețelei locale

SULAVKO A. E., student absolvent

Academia de Automobile și Autostrăzi din Siberia,

TEHNOLOGII DE PROTECȚIE ÎMPOTRIVA AMENINȚĂRILOR INTERNE LA SEGURITATEA INFORMAȚIILOR *

Adnotare. Au fost identificate deficiențele mijloacelor existente de protecție împotriva amenințărilor interne la adresa securității informațiilor. Sunt descrise abordările de recunoaștere a informațiilor confidențiale în fluxul de informații și eficacitatea acestora, precum și cerințele de bază pentru astfel de sisteme, utilizate în sistemele moderne de securitate. Sunt conturate direcții posibile pentru cercetările viitoare pentru a îmbunătăți eficacitatea mijloacelor de combatere a amenințărilor interne.

Cuvinte cheie: securitatea informațiilor, amenințări interne, analiză de conținut, filtrare de context, protecție împotriva scurgerii de informații confidențiale.

Introducere. Astăzi, cea mai mare amenințare la adresa securității informațiilor (denumită în continuare securitatea informațiilor) este reprezentată de atacatorii interni. Această amenințare crește în fiecare an. Vremurile în care directorii de afaceri se temeau de atacurile hackerilor și virușilor sunt acum de domeniul trecutului. Desigur, această clasă de amenințări reprezintă încă un mare pericol, dar companiile sunt cel mai preocupate de pierderea și scurgerea informațiilor corporative și a datelor personale. Acest lucru este evidențiat de rezultatele aproape oricăror cercetări în domeniul securității informațiilor efectuate în cadrul diferitelor proiecte (Figurile 1, 2).

Figura 1. Cele mai periculoase amenințări la adresa securității cibernetice conform respondenților

* Lucrarea a fost realizată în cadrul programului „Personal științific și științifico-pedagogic al Rusiei inovatoare de ani de zile”, contractul nr. P215 din 22 iulie 2009.

Conform rezultatelor studiului „AMENINȚĂRI INTERNE ÎN RUSIA '09” (Figura 1), realizat de centrul analitic al companiei ruse Perimetrix, este clar că amenințările care emană din interiorul companiei, în total, dau un rating de pericol mai mare. decât ameninţările emanate din exterior.

Figura 2. Raportul dintre pericolul incidentelor interne și externe de securitate a informațiilor

Această situație se observă nu numai în Rusia. Conform rapoartelor tehnice SONDAJUL ÎNCĂLCĂRILOR DE SECURITATE A INFORMAȚIILOR 2006 și 2008, incidentele interne prevalează și asupra celor externe. În ultimii ani, teama de incidente interne în rândul reprezentanților întreprinderilor mici și mijlocii a crescut semnificativ (Figura 2). Scurgerile sunt suferite nu numai de reprezentanții afacerilor, ci și de agențiile guvernamentale din întreaga lume. Acest lucru este evidențiat de rezultatele studiului global InfoWatch (Figura 3).

Figura 3. Distribuția incidentelor pe tip de organizație

Din materialele prezentate reiese că astăzi problema combaterii amenințărilor interne este mai presantă decât problema combaterii celor externe. Trebuie remarcat faptul că cea mai periculoasă amenințare astăzi este scurgerea datelor confidențiale (Figura 1).

Mijloace și metode de combatere a amenințărilor interne. Pentru a combate eficient amenințările interne, este necesar să se identifice deficiențele măsurilor de securitate existente în acest domeniu. Există mai multe tipuri de sisteme de securitate internă.

Sisteme de monitorizare si audit sunt un instrument bun în investigarea incidentelor. Sistemele moderne de audit vă permit să înregistrați aproape orice acțiuni ale utilizatorului. Dezavantajul acestor sisteme este incapacitatea de a preveni scurgerile, deoarece aceasta necesită un sistem de răspuns la evenimente și de luare a deciziilor care să recunoască ce secvență de acțiuni reprezintă o amenințare și care nu. La urma urmei, dacă un răspuns la o încălcare nu urmează imediat, consecințele incidentului nu pot fi evitate.

Sisteme puternice de autentificare servesc la protejarea împotriva accesului neautorizat la date. Acestea se bazează pe un proces de autentificare cu doi sau trei factori, în urma căruia utilizatorului i se poate acorda acces la resursele solicitate. Astfel de mijloace pot proteja informațiile de la un angajat „neinițiat”, dar nu de la un insider care are deja acces la informații protejate.

Instrumente de criptare media. Această clasă de programe va proteja împotriva scurgerilor de informații în cazul în care media sau laptopul este pierdut. Dar, dacă un insider transferă media împreună cu cheia pe care sunt criptate informațiile către cealaltă parte, atunci această metodă de protecție va fi inutilă.

Sisteme de detectare și prevenire a scurgerilor (Date Scurgere Prevenirea, DLP ). Aceste sisteme sunt, de asemenea, numite sisteme de protejare a datelor confidenţiale împotriva ameninţărilor interne(denumite în continuare sisteme de protecție împotriva scurgerilor). Aceste sisteme monitorizează canalele de scurgere de date în timp real. Există soluții complexe (care acoperă multe canale de scurgere) și direcționate (care acoperă un anumit canal de scurgere). Aceste sisteme folosesc tehnologii proactive, datorită cărora nu numai că înregistrează încălcarea securității informațiilor, ci și previn scurgerea de informații în sine. Desigur, calitatea unui astfel de control depinde direct de capacitatea sistemului de a distinge informațiile confidențiale de informațiile neconfidențiale, adică de algoritmii de filtrare a conținutului sau a contextului utilizați. Cele mai multe sisteme moderne anti-scurgeri au funcții de criptare a fișierelor și a suporturilor (astfel de sisteme sunt și numite Protecția și controlul informațiilor (IPC)). Aceștia pot utiliza stocarea securizată a datelor, în special containerele cripto, care, atunci când accesează un fișier, iau în considerare nu numai cheia de criptare, ci și diverși factori precum nivelul de acces al utilizatorului etc.

Astăzi, sistemele interne de protecție împotriva amenințărilor sunt singura soluție care vă permite să preveniți scurgerile în timp real, controlând acțiunile utilizatorilor și procesele efectuate cu fișiere și putând recunoaște informațiile confidențiale în fluxul de informații. Pentru a determina vulnerabilitatea protecției oferite de un astfel de sistem, este necesar să se analizeze mai îndeaproape funcțiile și capacitățile principale ale acestora, precum și metodele utilizate de aceste sisteme pentru a implementa filtrarea conținutului/contextual.

Toate metodele existente pentru recunoașterea informațiilor confidențiale se bazează în mod colectiv pe o sinteză a mai multor abordări fundamental diferite.

Căutați semnături. Cea mai simplă metodă de filtrare a conținutului este de a căuta într-un flux de date o anumită secvență de caractere. Uneori, o secvență interzisă de caractere este numită „cuvânt stop”. Tehnica funcționează numai pentru detectări precise și este ușor de realizat prin simpla înlocuire a caracterelor din textul analizat.

Căutați expresii regulate (metoda masca). Folosind un limbaj de expresie regulată, este definită o „mască”, o structură de date care este considerată confidențială. Cel mai adesea, această metodă este folosită pentru determinarea datelor personale (TIN, numere de cont, documente etc.). Dezavantajul metodei este prezența unui număr mare de fals pozitive; metoda este, de asemenea, complet inaplicabilă analizei informațiilor nestructurate.

Metoda de amprentare digitală. O „amprentă” este luată din informațiile de referință folosind o funcție hash. În continuare, amprenta este comparată cu fragmente din informațiile analizate. Dezavantajul este că atunci când utilizați o funcție hash, tehnologia funcționează doar pentru potriviri exacte. Există algoritmi care permit modificări minore ale informațiilor analizate față de referință (nu mai mult de 20%-30%). Acești algoritmi sunt închiși de dezvoltatorii sistemelor de protecție împotriva scurgerilor.

Sistemele de protecție împotriva amenințărilor interne se caracterizează și prin conformitatea cu o serie de cerințe suplimentare (criterii de apartenență la sistemele de protecție împotriva scurgerilor). Principalele cerințe pentru această clasă de sisteme de protecție au fost propuse de agenția de cercetare Forrester Research:

 multicanal(capacitatea de a monitoriza mai multe canale de scurgere de date);

 management unificat(disponibilitatea instrumentelor unificate de management al politicii de securitate a informațiilor, capacitatea de a analiza evenimente pe toate canalele de monitorizare cu crearea de rapoarte detaliate);

 protectie activa(sistemul nu trebuie doar să detecteze, ci și să prevină încălcările securității informațiilor);

 combinație de analiză de conținut și contextuală(în acest caz, analiza contextuală, pe lângă etichete, ar trebui să includă analiza activității utilizatorului și a aplicației).

După cum puteți vedea, cerințele prezentate nu includ verificarea cine exact lucrează în contul curent la un moment dat.

Astăzi există destul de multe sisteme de protecție împotriva scurgerilor și produse similare ca funcționalitate cu acestea. Principalele caracteristici și funcții ale unor soluții (s-a decis să luăm cele mai populare 10) sunt prezentate în Tabelul 1.

Sistemele de protecție împotriva scurgerilor de pe piață nu au capacitatea de a identifica un utilizator folosind un „portret tipic al lucrului în sistem”. Soluțiile existente nu vă permit să determinați cine se află de fapt la computer. Pentru a face acest lucru, este necesar să recurgeți la supraveghere video, ceea ce nu este întotdeauna posibil în practică.

Primele sisteme de protecție împotriva scurgerilor au folosit în principal metode de filtrare a conținutului. Dar eficacitatea lor s-a dovedit a fi scăzută, deoarece, în practică, astfel de metode produc un procent destul de mare de erori de primul și al doilea tip. Potrivit Gartner, în raportul Hype Cycle of Information Security pentru 2007, fiabilitatea maximă a oricăror metode existente de filtrare a conținutului este de 80%, iar în ultimii ani nu au existat schimbări semnificative în direcția creșterii eficacității unor astfel de algoritmi. Prin urmare, probabilitatea maximă de recunoaștere corectă a informațiilor confidențiale folosind algoritmi de filtrare a conținutului într-un flux de informații (document, fișier, trafic etc.) astăzi nu depășește 0,8. Și această probabilitate poate fi atinsă folosind toate abordările enumerate pentru analiza conținutului (expresii regulate, semnături, metode lingvistice etc.). Acest indicator este scăzut (mult mai mic decât caracteristicile declarate de dezvoltator) și nu îndeplinește cerințele de securitate a informațiilor.

Tabelul 1 – Funcțiile principale ale sistemelor de protecție împotriva amenințărilor interne

Nume produs	conţinut filtrare	contextual filtrare (implicând container- analiza finala)		Criptare	Criterii canalizare, unificare cutreierat management, activ protecţie,
Monitor de trafic +	semnături, morfologie			protejat containere
	morfologie, digital printuri		ontologii	containere
	digital printuri
	semnături, digital printuri			integrat criptare
	semnături, digital printuri			integrat criptare
	semnături, digital printuri			integrat criptare
Sisteme de informare SMAP și SKVT Jet Watch	semnături, regulat expresii

Sistemele de protecție împotriva scurgerilor din a doua generație utilizează analiza containerului. Această abordare implică o identificare neechivocă a informațiilor confidențiale dintr-un flux printr-un atribut de fișier (etichetă). Dar, în ciuda aparentului determinism, un astfel de sistem va lua decizia corectă, cu condiția să clasifice corect datele, pe care le-a efectuat anterior folosind metodele existente. Dar toate metodele de clasificare existente (probabilistice, lingvistice etc.) se bazează și pe metode de filtrare a conținutului (analiza conținutului), care, așa cum am menționat mai sus, sunt departe de a fi perfecte. Este necesar să se furnizeze și să se dezvolte proceduri pentru plasarea etichetelor pe documentele noi și primite, precum și un sistem de contracarare a transferului de informații dintr-un container marcat într-unul nemarcat și plasarea etichetelor atunci când se creează fișiere de la zero. Toate acestea sunt o sarcină foarte complexă și, de asemenea, depinde de sarcina de analiză a conținutului. După cum puteți vedea, conceptul de filtrare deterministă nu poate fi utilizat separat de filtrarea conținutului, iar metodele de filtrare a conținutului nu pot fi eliminate nici măcar teoretic.

Noua generație de sisteme de protecție împotriva scurgerilor (IAS RSKD, sisteme informatice și analitice pentru secretul datelor confidențiale) promite să scape de neajunsurile de conținut și ale metodelor contextuale, folosind fiecare dintre ele în cazul în care este cel mai eficient. Dar combinația a două tehnologii imperfecte și dependente nu poate produce îmbunătățiri semnificative.

Concluzie. Rezumând informațiile de mai sus, putem concluziona că, în ciuda numărului mare de algoritmi disponibili pentru identificarea informațiilor confidențiale, toți nu sunt eficienți. Actualizarea problemei amenințărilor interne este cauzată de vulnerabilitatea organizațiilor la acestea și de lipsa unei soluții eficiente pentru combaterea acestora. Aproape toate întreprinderile folosesc instrumente de protecție software și/sau hardware care sunt concepute pentru a combate amenințările externe (antivirusuri, firewall-uri, IDS etc.) și a le combate destul de eficient. În ceea ce privește mijloacele de protecție împotriva amenințărilor interne (sisteme de protecție împotriva scurgerilor), doar o foarte mică parte din companii le utilizează (Figura 4), deși nevoia acestor mijloace există în mod obiectiv. Piața de securitate a informațiilor nu poate oferi încă o soluție completă pentru protecția eficientă a informațiilor corporative, iar soluțiile existente nu oferă un nivel suficient de protecție, iar costul acestora este ridicat (o licență pentru 1000 de computere costă aproximativ 100 - 500 mii USD).

Figura 4. Cele mai populare instrumente de securitate a informațiilor

Este necesară îmbunătățirea tehnologiilor de filtrare a conținutului, dezvoltarea de noi metode de identificare a informațiilor confidențiale, schimbarea conceptuală a abordărilor privind recunoașterea acesteia. Este recomandabil să recunoașteți nu numai conținutul semantic al textului, ci și paternitatea acestuia. Prin identificarea autorului textului (când acest text traversează perimetrul organizației), tastat de utilizator și care conține informații confidențiale, devine posibilă identificarea atacatorului. Această abordare poate fi implementată folosind metode de analiză a conținutului în combinație cu metode biometrice pentru identificarea unui utilizator prin scrierea de mână de la tastatură. Luând în considerare nu numai caracteristicile statice ale textului (sensul), ci și dinamica introducerii textului, devine posibilă identificarea cu mare probabilitate a autorului textului.

Datele personale ale clienților și angajaților, secretele comerciale, corespondența și multe altele sunt cele mai importante informații pentru o afacere, accesul și utilizarea cărora trebuie să fie strict reglementate în cadrul companiei. Din păcate, nimeni nu este imun de fraudă, coluziune, folosirea instalațiilor de producție în scopuri personale și spionaj industrial. Problemele legate de protecția informațiilor interne ar trebui să includă atât elaborarea documentației, procedurile de reglementare, cât și implementarea mijloacelor tehnice de protecție. Acest program, dezvoltat de InfoWatch, va prezenta studenților principalele domenii de activitate pentru a asigura protecția informațiilor corporative împotriva amenințărilor interne, cadrul de reglementare care guvernează această activitate, sarcinile de protecție a informațiilor, instrumentele, tehnologiile și metodele de utilizare ale acestora pentru atingerea acestor obiective. . Programul se desfășoară folosind tehnologiile companiei într-un laborator echipat în acest scop.

Modul lecție Cursuri luni (19:00-22:00) și miercuri (19:00-22:00)
Document emis Certificat de pregătire avansată
Divizia de implementare
Direcția antrenamentului
Locația clasei Moscova, st. Tallinskaya 34 și biroul InfoWatch

Admitere

Grup țintă

Acte de admitere

Original și copie a pașaportului sau a documentului care îl înlocuiește

Original și copie a unui document de studii și calificări sau a unui certificat de pregătire pentru persoanele care urmează studii superioare

Original și copie a documentului privind schimbarea numelui, prenumelui, patronimului (dacă este necesar)

1. Bazele teoretice ale protecției corporative împotriva amenințărilor interne. Informații și fluxuri de informații. Amenințări interne și externe la securitatea informațiilor. Modele de amenințări pentru securitatea informațiilor. Clasificarea persoanelor care încalcă securitatea informațiilor corporative. Caracteristicile evaluării daunelor.

2. Aspecte de reglementare și juridice ale protecției corporative împotriva amenințărilor interne. Sistemele DLP și cerințele de securitate a informațiilor. Clasificarea informațiilor în Federația Rusă. Probleme juridice ale utilizării sistemelor DLP: secrete personale și de familie; secretul comunicarii; mijloace tehnice speciale. Măsuri de asigurare a validității legale a DLP (Pre-DLP). Revizuirea practicii dreptului de utilizare în investigarea incidentelor legate de încălcări ale regimului intern de securitate a informațiilor (Post-DLP).

3. Aspecte administrative și organizatorice ale protecției corporative împotriva amenințărilor interne. Formarea proceselor și procedurilor de audit SI. Ancheta sistemelor informaționale corporative. Starea informațiilor corporative. Instrumente și tehnologii pentru asigurarea protecției corporative împotriva amenințărilor interne. Criterii de eficacitate a unui proiect pentru asigurarea protecției corporative împotriva amenințărilor interne. Obstacole în implementarea proiectelor de asigurare a protecției corporative împotriva amenințărilor interne.

4. Protecția informațiilor corporative folosind un sistem automat de control al fluxului de informații. Scopul sistemului IW Traffic Monitor (IW TM). Canale de transmisie a datelor controlate. Arhitectura produsului IW TM. Tehnologii pentru analiza obiectelor detectate. Sarcini și principii de funcționare a modulelor suplimentare ale monitorului IW Device (IW DM) și ale sistemului IW Crawler.

Profesori

Andrei Zarubin

Șef al departamentului de instruire și control al calității serviciilor al InfoWatch JSC, MBA, SixSigma Black Belt.

Nu este un secret pentru nimeni că, în medie, 82% dintre amenințările la adresa resurselor informaționale ale companiilor provin din acțiunile propriilor angajați, comise fie din neglijență, fie intenționat. Potrivit experților, pericolul amenințărilor interne este în creștere și este încă una dintre cele mai presante probleme. Într-un mediu extrem de competitiv, sarcina de a menține confidențialitatea datelor este deosebit de urgentă. Un e-mail, un mesaj ICQ sau un document tipărit trimis în mod eronat poate conține informații confidențiale care nu sunt destinate persoanelor neautorizate. Secretele comerciale sau oficiale, datele personale ale clienților, partenerilor sau angajaților, precum și alte tipuri de informații protejate pot cădea în mâinile terților și pot cauza daune ireparabile afacerii. Este necesar să se ia măsuri în timp util pentru a preveni riscurile asociate cu scurgerea de informații confidențiale.

Afacerea dumneavoastră poate fi expusă la diferite riscuri, inclusiv:

Riscuri financiare
Rezultatul unei scurgeri de date confidențiale poate fi o situație în care un secret comercial devine cunoscut de către terți. Dacă astfel de informații cad în mâinile concurenților, există o mare probabilitate de pierderi financiare, ducând adesea la falimentul companiei.
Riscuri juridice
Eliberarea necontrolată a unui document confidențial în afara rețelei corporative poate face obiectul unei atenții deosebite din partea autorităților de reglementare. Procesele și sancțiunile pentru încălcarea legilor care reglementează protecția datelor cu caracter personal și a altor tipuri de informații confidențiale nu sunt neobișnuite.
Riscuri reputaționale
O scurgere de date confidențiale poate primi o acoperire largă în mass-media și poate duce la distrugerea imaginii companiei în ochii clienților și partenerilor săi, cauzând prejudicii financiare grave.

Pentru a asigura protecția împotriva scurgerilor de informații confidențiale, orice companie trebuie să aibă un sistem DLP.

Sistemele DLP (din limba engleză Data Loss Prevention) sunt software sau hardware și software concepute pentru a proteja împotriva scurgerilor prin rețea și canalele locale. Datele transmise sunt analizate pentru confidențialitate și distribuite în anumite categorii (informații publice, date personale, secrete comerciale, proprietate intelectuală etc.). Dacă în fluxul de informații sunt detectate date confidențiale, sistemul DLP efectuează una dintre următoarele acțiuni: permite transmiterea acestora, le blochează sau le trimite spre verificare suplimentară unui specialist în securitate în cazuri ambigue. Sistemele DLP acoperă o gamă largă de canale de comunicație, permițându-vă să monitorizați e-mailul, serviciile de mesagerie instantanee și alt trafic de internet, imprimantele, dispozitivele Bluetooth, dispozitivele USB și alte medii externe.

Sistemele DLP existente diferă în funcție de funcționalitatea lor. În primul rând, sistemele DLP pot fi active (detectați și blocați scurgerile de date) sau pasive (detectați scurgerile de date și trimiteți o alertă despre incident). În prezent, accentul este pus pe sistemele DLP active, a căror sarcină principală este de a preveni scurgerile de date în timp real și nu de a le detecta după fapt. Pentru astfel de sisteme DLP, puteți configura opțional un mod de monitorizare care vă permite să nu interferați cu procesele de afaceri și să trimiteți un mesaj despre incident unui specialist în securitate. În al doilea rând, sistemele DLP pot rezolva o serie de sarcini suplimentare legate de monitorizarea acțiunilor angajaților, a timpului lor de lucru și a utilizării resurselor corporative.

Un avantaj semnificativ al sistemelor DLP este că vă permit să mențineți continuitatea proceselor de afaceri, practic fără impact asupra activității utilizatorilor finali. Datorită tuturor capabilităților de mai sus, sistemele DLP sunt în prezent una dintre cele mai populare soluții pentru asigurarea securității informațiilor de afaceri.

Implementarea și configurarea corectă a unui sistem DLP este o problemă complexă separată. Este imposibil să faci acest lucru fără consultanță competentă. Specialiștii cu înaltă calificare ai companiei Infozashchita vă vor ajuta să alegeți o soluție care se potrivește specificului întreprinderii dumneavoastră.

Piața modernă DLP este una dintre cele cu cea mai rapidă creștere, ceea ce demonstrează în mod clar cererea mare pentru astfel de sisteme de protecție. Dezvoltatorii de soluții DLP dezvoltă și îmbunătățesc în mod constant noi tehnologii eficiente pentru a combate scurgerile de date.

Compania Infozashchita este pregătită să vă ofere o selecție largă de soluții avansate de la dezvoltatori de top pentru protecție împotriva amenințărilor interne.

„Protecție împotriva amenințărilor interne în întreprinderile de comunicații”

Introducere

1.Cele mai notorii incidente interne din domeniul telecomunicațiilor

2. Insideri

3. Legile în domeniul protecției împotriva amenințărilor interne

3.1.Reglementare legală și de reglementare

3.2.Certificarea conform standardelor internationale

4.Cercetare statistică

5.Metode de prevenire a scurgerilor interne

Concluzie

Lista literaturii folosite

INTRODUCERE

Relevanța subiectului se datorează faptului că, datorită naturii masive a furnizării de servicii de comunicații, înregistrările de milioane și zeci de milioane de cetățeni pot fi acumulate în bazele de date ale companiilor de telecomunicații. Ei sunt cei care au nevoie de cea mai serioasa protectie. După cum a arătat practica, ca urmare a neglijării pericolului unei scurgeri, companiile riscă să cheltuiască sute de milioane de dolari pe campanii de PR, costuri legale și noi mijloace de protejare a informațiilor personale ale clienților.

Specificul protecției informațiilor în companiile de telecomunicații se manifestă în natura datelor care trebuie protejate. Toate informațiile sunt stocate în baze de date situate în infrastructura IT a operatorului. Furtul este plin de mai multe consecințe negative simultan. În primul rând, acest lucru poate afecta reputația companiei, care se manifestă prin ieșirea clienților existenți și dificultăți în atragerea altora noi. În al doilea rând, compania încalcă cerințele legii, ceea ce poate duce la revocarea licenței, costuri judiciare și deteriorarea suplimentară a imaginii.

Scopul lucrării este de a studia protecția împotriva amenințărilor interne în întreprinderile de comunicații.

Obiectivele lucrării sunt:

Luarea în considerare a celor mai importante incidente din interior din domeniul telecomunicațiilor;

Analiza infractorilor interni;

Studiul legilor în domeniul protecției împotriva amenințărilor interne: reglementare legală și de reglementare și certificare conform standardelor internaționale;

Studiul cercetării statistice;

Luați în considerare metode de prevenire a scurgerilor interne.

Lucrarea constă din cinci capitole.

Primul capitol analizează cele mai notorii incidente interne din domeniul telecomunicațiilor, al doilea capitol analizează contravenienții interni, al treilea capitol analizează cadrul legislativ în domeniul protecției împotriva amenințărilor interne, al patrulea capitol examinează cercetările statistice, iar al cincilea capitol oferă metode de prevenire a scurgerilor interne.

Concluzia conține concluziile studiului.

1. Cele mai notorii incidente din interior

domeniul telecomunicatiilor

Incidentele din viața reală oferă cea mai clară ilustrare a gravității amenințării interne. Neglijarea acestui pericol în 2006 a dus la un scandal major în Statele Unite. Jurnaliştii au cumpărat cu 90 de dolari o listă de apeluri primite şi ieşite ale fostului candidat la preşedinţia americană, generalul Wesley Clark, iar publicul american a fost surprins să descopere că înregistrările telefonice, în primul rând, nu sunt deloc protejate de lege şi, în al doilea rând, sunt foarte prost. protejate de comunicațiile operatorilor de telefonie mobilă.

În ianuarie 2007 agențiile de presă au raportat o scurgere „neevidentă”. Pe Internet a apărut o bază de date a utilizatorilor de comunicații mobile de la Corbina Telecom: nume, numere de telefon, taxe de garanție de aproape 40 de mii de abonați, inclusiv câțiva manageri de top ai companiei. Comentariile lui Corbina au liniştit clienţii într-o oarecare măsură. Cel mai probabil, sub masca unei noi baze de date, au fost oferite informații de acum 4 ani. Apoi, programatorul din interior a pus la dispoziție public informațiile despre abonații companiei, iar în acest timp informațiile și-au pierdut aproape complet relevanța.

Cele mai importante zece incidente din interior au inclus furtul bazei de clienți a operatorului de telefonie mobilă japonez KDDI. Sub amenințarea de a dezvălui informații despre o scurgere majoră de date, persoane din interior au cerut 90 de mii de dolari de la corporația japoneză KDDI, al doilea cel mai mare operator de telefonie mobilă din țară. Pentru a demonstra validitatea amenințărilor lor, în mai 2006, șantajatorii au prezentat reprezentanților KDDI CD-uri și unități flash USB cu date private, plantându-le la punctul de control. Cu toate acestea, conducerea companiei a ignorat cererile infractorilor și a apelat la agențiile de drept. Timp de două săptămâni, poliția a monitorizat negocierile dintre șantajiști și KDDI, iar apoi i-a arestat pe suspecți. Ancheta a arătat că o bază de date cu informații private despre 4 milioane de clienți KDDI a căzut efectiv în mâinile șantajatorilor. Fiecare înregistrare a bazei de date conținea numele, sexul, data nașterii, numerele de telefon și adresele poștale ale fiecărui client. Toate aceste date sunt ideale pentru furtul de identitate. Conducerea de top este încrezătoare că unul dintre angajați a copiat în mod deliberat informațiile și le-a dus în afara companiei.

În total, peste 200 de angajați au avut acces la datele furate.

Un incident la fel de important a avut loc mai aproape de Rusia: o scurgere a bazei de date a operatorului de telefonie mobilă din Belarus Velcom. Jurnaliştii au achiziţionat un fişier text cu informaţii despre numerele de telefon şi numele a 2 milioane dintre abonaţii săi. În același timp, presa notează că bazele de date Velcom devin în mod regulat de cunoștință publică: din 2002 au fost lansate cel puțin șase versiuni, iar de fiecare dată informațiile au fost completate. Între timp, bazele de date MTS încă lipsesc pe internetul din Belarus. Confruntat cu un val de critici, Velcom a declarat că legile din Belarus nu protejează datele personale ale cetățenilor, ceea ce înseamnă că nu pot exista pretenții legale împotriva Velcom. Operatorul a dat vina pentru scurgere pe seama băncii, căreia i-a fost transferată baza de date cu clienți „pentru a permite angajaților [băncii] să verifice corectitudinea detaliilor specificate atunci când plătesc serviciile de comunicare”. După aceasta, Velcom „ia în considerare posibilitatea de a depune o reclamație pentru a-și proteja reputația afacerii”. Timpul va spune la ce vor duce procedurile, dar până acum persoanele din interior evită prea des responsabilitatea.

Octombrie 2006 Insideri de la compania de telecomunicații indiană AcmeTelePower au furat rezultatele dezvoltărilor inovatoare și le-au transferat concurentului LamdaPrivateLimited. Potrivit estimărilor Ernst & Young, pierderile financiare directe ale Acme s-au ridicat la 116 milioane de dolari.Este curios că proprietatea intelectuală a fost „scurtă” în cel mai frecvent mod – prin e-mail. După aceasta, AcmeTelePower plănuiește să își mute afacerea din India în Australia.

2. infractori interni

Multe organizații au efectuat cercetări în domeniul scurgerilor interne. Cele mai mari și mai faimoase sunt studiile privind incertitudinea detectării încălcării datelor efectuate de Institutul Ponemon; cercetarea analiștilor occidentali: CSI/FBIComputerCrimeandSecuritySurvey. Tabelul 1 ilustrează un astfel de studiu.

Masa 1. Cele mai periculoase amenințări la adresa securității cibernetice prin daune totale în dolari

Amenințări	Daune (în dolari)
Viruși	$ 15 691 460
Acces neautorizat	$ 10 617 000
Furt de laptop	$ 6 642 560
Scurgere de informații	$ 6 034 000
Refuzarea serviciului	$ 2 992 010
Frauda financiară	$ 2 556 900
Abuzul de rețea sau de e-mail din interior	$ 1 849 810
Frauda de telecomunicații	$ 1 262 410
Rețele de zombi în organizație	$ 923 700
Hacking sistemul din exterior	$ 758 000
Phishing (în numele unei organizații)	$ 647 510
Abuz de rețea fără fir	$ 469 010
Abuzul de mesagerii pe internet de către persoane din interior	$ 291 510
Abuzul de aplicații web publice	$ 269 500
Sabotaj de date și rețele	$ 260 00

Putem doar să adăugăm că, în comentariile lor cu privire la valoarea prejudiciului, analiștii de la FBI și de la Institutul de Securitate Informatică sunt sceptici că respondenții au putut determina mai mult sau mai puțin exact cuantumul prejudiciului din cauza scurgerii de date personale sau secrete comerciale. Astfel de incidente au multe consecințe negative pe termen lung. De exemplu, deteriorarea opiniei publice, declinul reputației și reducerea bazei de clienți. Toate acestea se întâmplă treptat și durează săptămâni și luni. Și este nevoie de cel puțin un an pentru a identifica pierderile sub formă de profituri pierdute din cauza scurgerilor. Deci structura internă a pierderilor financiare datorate amenințărilor la securitatea informațiilor nu poate fi determinată cu precizie.

În general, protecția informațiilor în organizații include:

· un set de calculatoare conectate între ele într-o rețea;

· canale de comunicare implementate prin canale arbitrare de transmitere a informaţiei prin care este implementată fizic o reţea de conexiuni logice;

· schimbul de informații confidențiale în cadrul rețelei în strictă conformitate cu conexiunile logice permise

· protecție integrată pe mai multe niveluri împotriva accesului neautorizat și a influenței externe

· setarea strict centralizata a structurii conexiunilor logice si controlului accesului in cadrul retelei

· independenţa structurii logice a reţelei de tipurile de canale de transmitere a informaţiilor.

Majoritatea companiilor au construit de mult timp protecție împotriva amenințărilor externe, iar acum trebuie să își protejeze spatele. Printre amenințările interne, există câteva modalități cele mai comune de a provoca daune:

· stocarea sau prelucrarea informațiilor confidențiale într-un sistem care nu este destinat acestui scop;

· încercări de a ocoli sau de a încălca sistemele de securitate sau de audit fără autorizație (cu excepția contextului testării de securitate sau cercetărilor similare);

· alte încălcări ale regulilor și procedurilor interne de securitate a rețelei.

Există mai multe modalități de a scurge informații confidențiale:

o server de mail (email);

o server web (sisteme de mail deschise);

o imprimantă (tipărirea documentelor);

o FDD, CD, unitate USB (copiere pe suport).

Înainte de a trece la calculele analitice, este necesar să răspundem la întrebarea a ceea ce se numește amenințare internă. Importanța acestei definiții este sporită și mai mult de faptul că sabotajul este doar o parte a amenințărilor interne; ar trebui să distingem între sabotori și, de exemplu, persoane din interior care „scurge” informații confidențiale către concurenți.

Sabotajul corporativ este acțiunile dăunătoare companiei comise de persoane din interior din cauza mândriei rănite, a dorinței de răzbunare, a furiei și a oricăror alte motive emoționale. Rețineți că termenul „insider” se referă la foștii și actualii angajați ai întreprinderii, precum și la angajații contractuali.

Sabotajul corporativ este întotdeauna comis din motive emoționale, uneori iraționale. Un sabotor nu este niciodată condus de dorința de a câștiga bani sau de a urmări câștiguri financiare. Acesta este, de fapt, ceea ce distinge sabotajul de alte amenințări interne.

Un studiu al Serviciului Secret al SUA a constatat că în 98% din cazuri sabotorul este un bărbat, dar aceste motive sunt consecințele unor evenimente anterioare care l-au tulburat pe angajat (Tabelul 2). Potrivit analiștilor, în cele mai multe cazuri, sabotajul este precedat de un incident neplăcut la locul de muncă sau de o serie de astfel de incidente.

Masa 2 Evenimente premergătoare sabotajului

Sursa CE RT

Mulți sabotori la momentul sabotajului sunt deja foști angajați ai companiei victimă, care au păstrat accesul la resursele informaționale ale acesteia dintr-un motiv oarecare (probabil o neglijență a administratorului). Rețineți că aceasta este aproape jumătate din toate cazurile.

După cum a arătat studiul CERT, aproape toți sabotorii corporativi sunt specialiști, într-un fel sau altul, conectați cu tehnologia informației.

Masa 3 Portretul unui sabotor tipic

Sursa CE RT

Astfel, dintre cele mai fiabile caracteristici ale unui sabotor, doar două pot fi identificate: el este un bărbat, un angajat al departamentului tehnic. Nouă din zece sabotajuri sunt comise de oameni într-un fel sau altul care au legătură cu tehnologia informației. Potrivit experților de la InfoWatch, un dezvoltator de sisteme de protejare a informațiilor confidențiale față de persoane din interior, motivul acestei afilieri profesionale constă în caracteristicile psihologice ale acestor angajați. Două exemple din viață ne vor permite să înțelegem problema mai detaliat, ilustrând cel mai clar trăsăturile de caracter tipice ale profesioniștilor IT.

„Am lucrat pentru o companie de software de dimensiuni medii. Am avut privilegii de administrator când am accesat serverele principale. Doar pentru a-mi întinde mintea, m-am gândit cum ar putea fi folosit acest acces în mod rău intenționat și am venit cu următorul plan. Mai întâi, piratați sistemul de rezervă... În al doilea rând, așteptați un an sau mai mult. În al treilea rând, ștergeți toate informațiile de pe servere, inclusiv software-ul piratat pentru criptarea/decriptarea datelor de rezervă. Astfel, întreprinderea va avea doar copii de rezervă criptate (fără cheie). În al patrulea rând, oferiți companiei să cumpere cheile care au fost obținute în primul pas. Dacă compania refuză, va pierde ani de muncă. Acesta este, desigur, doar un plan ipotetic. Nu am încercat să o implementez, așa că nu știu dacă ar fi funcționat sau nu...” - Filias Cupio. „Majoritatea profesioniștilor IT pe care îi cunosc, chiar și tinerii, instalează un rootkit în sistemul corporativ de îndată ce încep să lucreze. Este un reflex. Băieții nu vor să facă rău nimănui și nu fac planuri rău intenționate, vor doar acces fiabil la sistem, astfel încât să poată lucra în siguranță de acasă sau de la facultate”, Ben.

Caracterul psihologic profund care stă la baza actului de sabotaj îl determină adesea pe un angajat nemulțumit să-și amenințe superiorii sau colegii. Uneori chiar își împărtășește gândurile cu unul dintre colegii săi. Cu alte cuvinte, nu numai sabotorul are informații despre sabotajul iminent. Analistii au calculat ca in 31% din cazuri alte persoane au informatii despre planurile sabotorului. Dintre aceștia, 64% sunt colegi, 21% sunt prieteni, 14% sunt membri ai familiei, iar alți 14% sunt complici.

În 47% din cazuri, sabotorii efectuează acțiuni pregătitoare (de exemplu, furtul copiilor de rezervă ale datelor confidențiale). În 27%, ei proiectează și testează un mecanism de atac (pregătirea unei bombe logice în rețeaua corporativă, autentificări ascunse suplimentare etc.). Totodată, în 37% din cazuri, se remarcă activitatea angajaților: din acest număr, 67% din acțiunile pregătitoare sunt vizibile online, 11% - offline, 22% - ambele deodată.

De asemenea, trebuie avut în vedere faptul că marea majoritate a atacurilor sunt efectuate de sabotori în timpul orelor de lucru și folosind accesul de la distanță la rețeaua corporativă.

3. Legile în domeniul protecției împotriva amenințărilor interne

Reglementări legale și de reglementare

Specificul sectorului telecomunicațiilor (comparativ cu alte industrii) se reflectă și în aspectele de reglementare. În primul rând, companiile din această industrie se concentrează adesea pe furnizarea de servicii persoanelor fizice și, prin urmare, acumulează cantități uriașe de date personale ale abonaților în rețeaua lor corporativă. De aici o atenție deosebită a conducerii departamentelor IT și de securitate a informațiilor față de Legea federală „Cu privire la datele cu caracter personal”, care impune o serie de cerințe pentru securitatea informațiilor private ale cetățenilor. . În al doilea rând, telecom a achiziționat recent propriul standard numit „Nivel de bază de securitate a informațiilor pentru operatorii de telecomunicații”. Reprezintă un set minim de recomandări, a căror implementare ar trebui să garanteze un anumit nivel de securitate informațională a serviciilor de comunicații, permițând un echilibru al intereselor operatorilor, utilizatorilor și statului. Dezvoltarea acestui standard se datorează dezvoltării industriei de telecomunicații: operatorii de telecomunicații sunt nevoiți să-și combine rețelele pentru a oferi setul necesar de servicii, însă operatorii înșiși nu știu cu cine au de-a face și în cine pot avea încredere. pentru a evita amenințările la adresa securității cibernetice. Unele prevederi ale acestui document se referă direct la riscurile interne de securitate a informațiilor și problemele de stocare a datelor cu caracter personal. De exemplu, operatorului i se recomandă „să asigure confidențialitatea informațiilor transmise și/sau stocate din sistemele de control și sistemele automate de plată pentru serviciile de comunicații (facturare), informații despre abonați (date personale ale persoanelor fizice) și serviciile de comunicare furnizate acestora, care au devenit cunoscute operatorilor de telecomunicații datorită executării contractelor de furnizare de servicii de comunicații.” Companiile sunt obligate să păstreze jurnalele evenimentelor de securitate a informațiilor și să le stocheze în conformitate cu termenul de prescripție (în Rusia – 3 ani). Mai mult, „pentru a filtra fluxul de evenimente primare, se recomandă utilizarea mijloacelor tehnice de corelare a evenimentelor care optimizează intrările în jurnalele de incidente de securitate a informațiilor”. Nu putem ignora punctul care spune: „Un operator care a permis pierderea bazelor de date ale abonaților (clienților) altor operatori (interacționanți) este recomandat să-i informeze pe aceștia din urmă în cel mai scurt timp posibil.” Astfel, sectorul telecomunicațiilor din Rusia se apropie treptat de cele mai bune practici - în SUA și UE, companiile sunt de multă vreme răspunzătoare pentru scurgerile de date private și sunt obligate prin lege să notifice victimele scurgerii. În timp, o astfel de normă ar trebui să apară în Rusia.

Adevărat, încă nu se poate spune că reglementarea de reglementare joacă un rol decisiv în sectorul telecomunicațiilor. Cu toate acestea, managementul de astăzi ar trebui să se gândească la conformitatea securității IT și a informațiilor cu standardele și legile existente în cazul în care autoritățile de supraveghere încep în sfârșit să acționeze. În plus, marile companii de telecomunicații ale căror acțiuni sunt listate la burse sunt obligate să satisfacă cerințele piețelor de valori. În Rusia, de exemplu, acesta este Codul opțional de conduită corporativă al FFMS (Serviciul federal pentru piețe financiare), în Marea Britanie - Codul comun de guvernanță corporativă (semi-obligatoriu), iar în SUA - legea SOX (Sarbanes). -Legea Oxley din 2002). Legea federală „Cu privire la datele cu caracter personal” și „Nivelul de bază...” sunt de interes direct pentru companiile de telecomunicații ruse.

Legea federală „Cu privire la comunicații” (articolul 46, clauza 1) atribuie operatorului funcții de securitate a informațiilor, cum ar fi protejarea facilităților de comunicații, a facilităților de comunicare și a informațiilor transmise prin intermediul acestora împotriva accesului neautorizat; asigurarea funcționării în siguranță a infrastructurii interne a operatorului de telecomunicații.

Aceste cerințe trebuie să fie implementate în sistemul de funcționare a rețelei de comunicații, să le monitorizeze performanța, să le susțină funcționarea, să întocmească și să transmită rapoarte statistice autorităților superioare. Cu toate acestea, din cauza lipsei de reglementări de coordonare, nu există o abordare uniformă a securității informațiilor. Nu există o abordare comună cu privire la componența departamentelor IT și de securitate a informațiilor. Aceasta, de regulă, depinde de volumul sarcinilor îndeplinite de operator, iar responsabilitățile funcționale între IT și IS sunt distribuite pe baza experienței anterioare a șefilor acestor departamente.

Certificare conform standardelor internationale

Cea mai cunoscută certificare din lume este conform cerințelor standardului ISO 27001:2005. În Rusia, până în prezent, șase companii și-au certificat oficial sistemele de management al securității informațiilor (ISMS); patru dintre ei lucrează în sectorul IT. ISO/IEC27001:2005, lansat de British Standards Institute în 2005, se bazează pe cele mai bune practici globale. Acesta definește în mod clar procesele cheie care trebuie gestionate de managerul responsabil cu asigurarea securității informațiilor în organizație. Conform acestui standard, etapa finală de confirmare a eficacității sistemului de securitate a informațiilor este un audit independent de către un organism de certificare acreditat. O concluzie pozitivă a unui astfel de organism indică furnizarea eficientă și corectă a proceselor de management al securității informațiilor, o imagine pozitivă a companiei și servește drept argument convingător pentru managementul acesteia că sistemul informațional al întreprinderii utilizează mijloace moderne de securitate a informațiilor cu un nivel maxim de eficienţă. Procesul de verificare în sine de către un organism de certificare extern crește gradul de încredere al managementului în departamentele de securitate a informațiilor, fiind un indicator al calității și profesionalismului angajaților acestui serviciu.

Decizia de a implementa un ISMS într-o organizație ar trebui luată la cel mai înalt nivel de management, în mod ideal de către CEO. Fără sprijinul managementului, astfel de proiecte sunt adesea sortite eșecului sau, în cel mai bun caz, funcționării ineficiente în condiții de neacceptare a proceselor de către angajații companiei.

1) Cerințele pentru politici definesc necesitatea unei politici de securitate înregistrate (aprobate) de procedurile interne ale întreprinderii de comunicații, bazată pe cele mai bune practici în evaluarea și managementul riscurilor, satisfacerea nevoilor activităților de afaceri și respectarea legislației naționale. Politicile de securitate trebuie publicate și comunicate personalului transportatorului și părților interesate externe (clienți, transportatori care interacționează, alte părți interesate).

2) Cerințele de funcționalitate descriu cerințele numai pentru mijloacele tehnice certificate existente și descriu procedurile pentru înregistrarea evenimentelor.

3) Cerințele de interacțiune descriu procedura de identificare a propriilor clienți și a altor operatori. Subsecțiunea indică necesitatea unui serviciu de răspuns la incident de securitate 24 de ore din 24 (sau utilizarea unui astfel de serviciu pe bază de externalizare).

Există, de asemenea, o cerință de asigurare a confidențialității informațiilor transmise și/sau stocate pentru sistemele de management și sistemele automate de plată pentru serviciile de comunicații (facturare), informațiile despre abonați (datele personale ale persoanelor fizice) și serviciile de comunicare furnizate acestora. Totodata, trebuie respectat chiar daca aceste informatii au devenit cunoscute operatorului de telecomunicatii datorita executarii contractelor de prestare a serviciilor de comunicatii.

4. Statistici cercetare științifică

Una dintre cele mai mari și mai interesante lucrări din domeniul protecției împotriva amenințărilor interne a fost un studiu a 275 de companii de telecomunicații realizat de centrul analitic InfoWatch. Conform rezultatelor sale, riscurile interne prevalează asupra amenințărilor externe într-un raport de 6:4. Să analizăm structura acestor riscuri și influența diverșilor factori asupra acestora: instrumentele de securitate a informațiilor utilizate, reglementările de reglementare etc.

Lista celor mai periculoase amenințări interne la adresa securității informațiilor (Tabelul 4) este condusă de încălcarea confidențialității informațiilor (85%) și denaturarea informațiilor (64%). Ambele amenințări pot fi rezumate prin conceptul de „scurgere de informații”.

Pe pozițiile a treia și a patra se află frauda (49%) și sabotajul (41%). Interesant este că într-un studiu la nivelul întregii industrie, amenințarea de sabotaj a depășit riscul de fraudă cu aproape 15%. Aparent, din cauza specificului furnizării de servicii de comunicații, frauda este recunoscută drept una dintre cele mai periculoase amenințări.

Masa 4 Cele mai periculoase amenințări la adresa securității cibernetice

Lucru administrativ cu personalul

Potrivit experților InfoWatch, cea mai bună modalitate de a preveni sabotajul corporativ este măsurile preventive. În primul rând, companiile trebuie să verifice referințele și locurile de muncă anterioare ale angajaților angajați.O altă metodă extrem de eficientă sunt cursurile periodice sau seminariile la care se aduce personalului informații despre amenințările la securitatea IT și sabotajul ca atare. Prin această abordare, conducerea se bazează pe acei angajați care interacționează cu sabotorul din birou, îi văd comportamentul nervos, primesc amenințări la adresa lor etc. Persoanele autorizate ar trebui anunțate imediat despre astfel de incidente.

Următoarea metodă implică utilizarea principiului cel mai mic privilegiu și o separare clară a funcțiilor. Angajații obișnuiți de birou nu ar trebui să aibă competențe administrative. De asemenea, este clar că persoana responsabilă pentru copiile de rezervă nu ar trebui să poată șterge datele din sursa originală. În plus, acest angajat ar trebui să fie responsabil să-și informeze superiorii dacă un alt angajat încalcă copiile de rezervă. În general, problema protecției copiilor de rezervă poate fi rezolvată prin crearea de duplicate ale acestora. Datorită faptului că o companie, de regulă, nu are multe date cu adevărat critice, crearea mai multor copii de rezervă pare recomandabilă.

Gestionarea eficientă a parolelor și a contului este extrem de importantă.

Cea mai bună măsură preventivă poate fi numită monitorizare, nu doar pasivă (jurnalele de evenimente), ci și activă (protejarea informațiilor valoroase). În acest caz, doar managerul de top va putea provoca daune reale companiei, deoarece alți angajați cu acces la activele digitale ale companiei pur și simplu nu vor avea dreptul de a șterge informații valoroase. Există deja soluții specializate pe piață pentru protejarea datelor de amenințări interne, inclusiv de sabotaj corporativ.

Soluția InfoWatch Enterprise

Soluția InfoWatch Enterprise (IES) este furnizată de compania rusă InfoWatch, un dezvoltator de sisteme de protecție anti-insider. Vă permite să oferiți un control complet asupra tuturor modalităților de scurgere a informațiilor confidențiale: canalul de e-mail și traficul web, resursele de comunicare ale stațiilor de lucru etc. Astăzi, IES este deja utilizat de guvern (Ministerul Dezvoltării Economice, Serviciul Vamal), telecomunicații (VimpelCom) , companii financiare (Vneshtorgbank) și companii de combustibil și energie (HydroOGK, Transneft).

Arhitectura IES poate fi împărțită în două părți: monitoare care monitorizează traficul de rețea și monitoare care monitorizează operațiunile utilizatorului la nivel de stație de lucru. Primele sunt instalate într-o rețea corporativă ca gateway-uri și filtrează traficul de e-mail și web, în timp ce cele din urmă sunt implementate pe computere personale și laptop-uri și monitorizează operațiunile la nivel de sistem de operare. Monitoarele de rețea IWM și IMM pot fi implementate și ca dispozitiv hardware - InfoWatch Security Appliance. Astfel, clientului i se oferă posibilitatea de a alege fie implementarea software sau hardware a filtrelor de trafic de e-mail și web. Beneficiile acestei abordări sunt cel mai bine demonstrate atunci când se protejează o rețea de calculatoare complexă care acoperă ramuri distribuite geografic.

Monitoarele la nivel de stație de lucru includ Info-Watch Net Monitor (INM) și InfoWatch Device Monitor (IDM). Modulul INM monitorizează operațiunile fișierelor (citire, modificare, copiere, imprimare etc.), controlează munca utilizatorului în Microsoft Office și Adobe Acrobat și înregistrează cu atenție toate acțiunile cu documente confidențiale.

Toată această funcționalitate este completată logic de capacitățile modulului IDM, care controlează accesul la unități amovibile, unități, porturi (COM, LPT, USB, FireWire), rețele wireless (Wi-Fi, Bluetooth, IrDA), etc.

În plus, componentele INM și IDM pot rula pe laptopuri, iar administratorul de securitate are capacitatea de a seta politici speciale care se aplică perioadei de lucru offline a angajatului. Data viitoare când vă conectați la rețeaua corporativă, monitoarele vor notifica imediat ofițerul de securitate dacă utilizatorul a încercat să încalce regulile stabilite în timp ce lucrează de la distanță.

Toate monitoarele incluse în IES sunt capabile să blocheze scurgerile în timp real și să notifice imediat un ofițer de securitate despre incident. Soluția este gestionată printr-o consolă centrală, care vă permite să configurați politicile corporative. De asemenea, este prevăzută o stație de lucru automatizată pentru ofițer de securitate, cu ajutorul căreia un angajat special poate răspunde rapid și adecvat la incidente. Astfel, o soluție cuprinzătoare IES abordează toate aspectele protejării informațiilor confidențiale față de persoane din interior.

Lumigent Entegra și LogExplorer

Produsele Lumigent Entegra și Log Explorer oferă protecție pasivă a informațiilor stocate în baze de date. Acestea vă permit să auditați bazele de date și să restaurați informațiile din acestea.

Produsul Entegra monitorizează activitatea utilizatorilor atunci când lucrează cu baze de date și auditează bazele de date în sine. Vă permite să determinați cine, când și cum a vizualizat sau modificat înregistrările în baza de date, precum și a modificat structura sau drepturile de utilizator pentru a le accesa. Este de remarcat faptul că produsul nu este capabil să prevină niciun impact rău intenționat, poate trimite doar informații despre această operațiune pentru înregistrare. Log Explorer menține un jurnal redundant al tuturor tranzacțiilor efectuate cu baza de date, care permite, în cazul oricăror probleme, analiza și auditarea tranzacțiilor efectuate și restaurarea înregistrărilor pierdute sau modificate fără a utiliza o copie de rezervă. Cu toate acestea, nu vorbim cu adevărat despre recuperare; Log Explorer vă permite să anulați tranzacțiile. Astfel, acest modul nu este capabil să prevină scurgerile, dar poate reduce riscurile de înregistrări corupte.

PC Acme

PC Activity Monitor (Acme) permite monitorizarea pasivă a activității utilizatorului la nivelul stației de lucru. Soluția constă din două părți: un instrument de management centralizat și mai mulți agenți desfășurați pe stațiile de lucru din întreaga organizație. Folosind prima componentă a produsului, puteți distribui la nivel central agenții în întreaga rețea corporativă și apoi să îi gestionați. Agenții sunt module software care sunt foarte profund încorporate în Windows 2000 sau Windows XP. Dezvoltatorii raportează că agenții sunt localizați în nucleul sistemului de operare și este aproape imposibil ca utilizatorul să îi elimine ilegal de acolo sau să le dezactiveze. Agenții înșiși înregistrează cu atenție toate acțiunile utilizatorului: lansarea aplicațiilor, apăsarea tastelor etc. Se poate spune că jurnalul de evenimente rezultat, în ceea ce privește nivelul său de detaliu, seamănă cu rezultatele supravegherii video vigilente a unui ecran de computer. Cu toate acestea, jurnalul rezultat este prezentat în mod natural sub formă de text. Consola centrală de management vă permite să colectați datele înregistrate pe un singur computer și să le analizați acolo. Cu toate acestea, pot apărea dificultăți în această etapă. În primul rând, un ofițer de securitate trebuie să analizeze manual sute de mii de înregistrări ale anumitor evenimente de sistem pentru a le identifica pe cele care reprezintă o încălcare a politicii de securitate IT, care au dus la o scurgere etc. Dar chiar dacă ofițerul de securitate reușește să detecteze faptul a unei scurgeri, atunci oricum nu o va putea preveni. Astfel, PC Acme este potrivit pentru monitorizarea pasivă a tuturor acțiunilor utilizatorului la nivelul stației de lucru.

Proofpoint Messaging Security

Soluția hardware Proofpoint vă permite să oferiți control complet asupra e-mailului dvs. Folosind acest dispozitiv, puteți verifica mesajele pentru viruși și spam, puteți preveni utilizarea greșită a resurselor de e-mail și scurgerea de informații confidențiale din e-mailuri. Protecția împotriva scurgerii de date confidențiale se bazează pe un mecanism de filtrare a conținutului. Dacă mesajul transmis conține informații confidențiale, produsul este capabil să blocheze scurgerea. Proofpoint este un exemplu clasic de produs conceput pentru a proteja un anumit canal de comunicare: e-mailul. Un astfel de produs poate fi folosit în cazurile în care funcționalitatea principală este filtrarea spam-ului și detectarea virușilor, iar prevenirea scurgerilor este doar un plus frumos.

Cum sunt prinși cei din interior

Un exemplu de victorie asupra persoanelor din interior a fost demonstrat la mijlocul lunii februarie 2006 de compania rusă LETA IT-company. Datorită unei abordări competente a securității IT interne, compania a reușit să neutralizeze un insider condamnat pentru abuz de funcție oficială. O investigație internă a arătat că unul dintre managerii de cont a încercat să negocieze contracte pentru furnizarea de software nu prin intermediul angajatorului său legitim, ci printr-o companie fișă creată de el. Abuzul a fost identificat rapid și devreme folosind InfoWatch Mail Monitor.

CONCLUZIE

Astfel, în SUA și UE, companiile sunt de multă vreme trase la răspundere pentru scurgerile de date private și sunt obligate prin lege să notifice victimele scurgerii. Sperăm că în timp o astfel de normă va apărea în Rusia. Pot fi deja observate tendințe pozitive. Numărul de organizații care s-au protejat de scurgeri este în continuă creștere și va continua să crească.

Organizațiile devin din ce în ce mai conștiente de amenințarea tot mai mare la adresa propriului personal, dar fac câțiva pași pentru a se proteja. Nu toată lumea a inclus în listele lor de sarcini prioritare formarea și formarea avansată a angajaților în domeniul securității informațiilor, evaluarea periodică a activității furnizorilor lor de servicii IT în vederea monitorizării respectării politicilor de securitate a informațiilor, bazându-se exclusiv pe încredere. Puțini oameni consideră astăzi securitatea informațiilor ca pe o prioritate de management.

Pe măsură ce modelele de afaceri ale organizațiilor evoluează către descentralizare, unele funcții sunt delegate contractorilor externi, prin urmare, devine din ce în ce mai dificil să controlezi securitatea informațiilor lor și să evaluezi nivelul riscurilor. Companiile pot delega munca, dar nu ar trebui să delege responsabilitatea pentru siguranță.

Atenție insuficientă din partea conducerii superioare, evaluări neregulate ale riscurilor, precum și lipsă insuficientă sau totală a investițiilor în eforturile de reducere a riscurilor asociate cu factorul uman (comportament neadecvat al angajaților, observări, încălcarea regulilor sau standardelor stabilite). Atenția principală este încă acordată doar amenințărilor externe, cum ar fi virușii, iar gravitatea amenințărilor interne este subestimată: există dorința de a cumpăra instrumente tehnologice (firewall-uri, protecție antivirus etc.), dar nu există dorința de a rezolva. probleme de securitate a personalului.

Multe incidente care implică angajați rămân nedetectate. Potrivit autorilor studiilor, companiile de telecomunicații pot și ar trebui să își schimbe viziunea asupra securității informațiilor doar ca element de cost pentru desfășurarea afacerilor: tratați-l ca pe una dintre modalitățile de a crește competitivitatea și de a menține potențialul de cost al companiei.

O serie de companii mari sunt supuse diferitelor reglementări care le obligă să protejeze informațiile private. În ansamblu, cererea de soluții de protecție a persoanelor interne și a scurgerilor este de așteptat să crească în mod constant cel puțin în următorii cinci ani.

Lista literaturii UTILIZATE

1. InfoWatch. Știri. Cât de greu este să identifici o scurgere - Corbina Telecom. 2007

2. Sbiba V.Yu, Kurbatov V.A. Ghid pentru protejarea împotriva amenințărilor interne la adresa securității informațiilor. Sankt Petersburg: Peter, 2008.

3. „KNS INFOTEKS” http://home.tula.net/insider/001b.htm.

4. Zenkin, D. Insiders sunt de 75 de ori mai periculoși decât hackerii. C-News. Analytics. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Share, A. CitCity. Vin persoane din interior. http://citcity.ru/14874/

6. InfoWatch: Amenințări interne: în fața pericolului comun. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Share, A. Sabotaj în mediul corporativ. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Nivelul de bază al securității informaționale a operatorilor de telecomunicații. [Pe Internet] http://www.ccin.ru/treb_baz_u.doc.

9. Distribuie A. Securitate Telecom. http://citcity.ru/15562

10. Distribuie A.V. Amenințări interne la securitatea informațiilor în telecomunicații. 2007. http://www.iks-navigator.ru/vision/456848.html.

11. Kostrov, D.V. Securitatea informației în recomandări, cerințe, standarde. 2008

http://www.iks-navigator.ru/vision/2390062.html.

12. Buletinul de comunicații: Protecție împotriva persoanelor din interior în companiile de telecomunicații.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Un străin printre ai lui: proces-verbal al ședinței mesei rotunde. Buletinul de Comunicare. - Nr. 7. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Multe organizații au efectuat cercetări în domeniul scurgerilor interne. Cele mai mari și mai faimoase sunt studiile privind incertitudinea detectării încălcării datelor efectuate de Institutul Ponemon; cercetarea analiștilor occidentali: CSI/FBI Computer Crime and Security Survey. Tabelul 1 ilustrează un astfel de studiu.

Masa 1. Cele mai periculoase amenințări la adresa securității cibernetice prin daune totale în dolari

Amenințări	Daune (în dolari)


Furt de laptop
Scurgere de informații
Refuzarea serviciului
Frauda financiară
Abuzul de rețea sau de e-mail din interior
Frauda de telecomunicații
Rețele de zombi în organizație
Hacking sistemul din exterior
Phishing (în numele unei organizații)
Abuz de rețea fără fir
Abuzul de mesagerii pe internet de către persoane din interior
Abuzul de aplicații web publice
Sabotaj de date și rețele