Firemná ochrana pred internými hrozbami pre informačnú bezpečnosť. Zabezpečenie lokálnej siete

SULAVKO A. E., postgraduálny študent

Sibírska štátna automobilová a diaľničná akadémia,

TECHNOLÓGIE NA OCHRANU PRED VNÚTORNÝM OHROZENÍM INFORMAČNEJ BEZPEČNOSTI *

Anotácia. Boli zistené nedostatky existujúcich prostriedkov ochrany pred vnútornými hrozbami informačnej bezpečnosti. Popísané sú prístupy k rozpoznávaniu dôverných informácií v informačnom toku a ich efektívnosť, ako aj základné požiadavky na takéto systémy používané v moderných bezpečnostných systémoch. Sú načrtnuté možné smery budúceho výskumu na zlepšenie účinnosti prostriedkov boja proti vnútorným hrozbám.

Kľúčové slová: informačná bezpečnosť, interné hrozby, analýza obsahu, kontextové filtrovanie, ochrana pred únikom dôverných informácií.

Úvod. Najväčšiu hrozbu informačnej bezpečnosti (ďalej len informačná bezpečnosť) dnes predstavujú interní útočníci. Táto hrozba každým rokom rastie. Časy, keď sa manažéri podnikov obávali útokov hackerov a vírusov, sú už minulosťou. Samozrejme, táto trieda hrozieb stále predstavuje veľké nebezpečenstvo, no spoločnosti sa najviac obávajú straty a úniku podnikových informácií a osobných údajov. Svedčia o tom výsledky takmer akéhokoľvek výskumu v oblasti informačnej bezpečnosti realizovaného v rámci rôznych projektov (obrázky 1, 2).

Obrázok 1. Najnebezpečnejšie hrozby kybernetickej bezpečnosti podľa respondentov

* Práca bola vykonaná v rámci programu „Vedeckí a vedecko-pedagogickí pracovníci inovatívneho Ruska na roky“, zmluva č. P215 z 22. júla 2009.

Podľa výsledkov štúdie „INSIDER THREATS IN RUSSIA '09“ (obrázok 1), ktorú uskutočnilo analytické centrum ruskej spoločnosti Perimetrix, je zrejmé, že hrozby vychádzajúce z vnútra spoločnosti celkovo dávajú vyššie hodnotenie nebezpečnosti. než hrozby vychádzajúce zvonku.

Obrázok 2. Pomer nebezpečenstva interných a externých incidentov informačnej bezpečnosti

Táto situácia sa pozoruje nielen v Rusku. Podľa technických správ INFORMAČNÝ BEZPEČNOSTNÝ PRIESKUM 2006 a 2008 prevažujú aj interné incidenty nad externými. V posledných rokoch výrazne vzrástol strach z interných incidentov medzi zástupcami malých a stredných podnikov (obrázok 2). Únikmi trpia nielen zástupcovia podnikov, ale aj vládne agentúry po celom svete. Dokazujú to výsledky globálnej štúdie InfoWatch (obrázok 3).

Obrázok 3. Rozdelenie incidentov podľa typu organizácie

Z prezentovaných materiálov je zrejmé, že dnes je naliehavejšia otázka boja proti vnútorným hrozbám ako otázka boja proti vonkajším. Je potrebné poznamenať, že najnebezpečnejšou hrozbou súčasnosti je únik dôverných údajov (obrázok 1).

Prostriedky a metódy boja proti vnútorným hrozbám. Na účinný boj proti hrozbám insiderov je potrebné identifikovať nedostatky existujúcich bezpečnostných opatrení v tejto oblasti. Existuje niekoľko typov vnútorných bezpečnostných systémov.

Systémy monitorovania a auditu sú dobrým nástrojom pri vyšetrovaní incidentov. Moderné systémy auditu umožňujú zaznamenávať takmer všetky akcie používateľov. Nevýhodou týchto systémov je neschopnosť zabrániť úniku, pretože to vyžaduje systém na reagovanie na udalosti a prijímanie rozhodnutí, ktorý rozpozná, ktorá postupnosť akcií predstavuje hrozbu a ktorá nie. Koniec koncov, ak reakcia na porušenie nebude nasledovať okamžite, následkom incidentu sa nedá vyhnúť.

Silné autentifikačné systémy slúžia na ochranu pred neoprávneným prístupom k údajom. Sú založené na dvoj- alebo trojfaktorovom autentifikačnom procese, v dôsledku čoho môže byť používateľovi udelený prístup k požadovaným zdrojom. Takéto prostriedky môžu chrániť informácie pred „nezasväteným“ zamestnancom, ale nie pred zasvätenými osobami, ktoré už majú prístup k chráneným informáciám.

Nástroje na šifrovanie médií. Táto trieda programov bude chrániť pred únikom informácií v prípade straty média alebo prenosného počítača. Ak však zasvätenec prenesie médiá spolu s kľúčom, na ktorom sú informácie zašifrované, druhej strane, potom bude tento spôsob ochrany zbytočný.

Systémy detekcie a prevencie úniku (Údaje Únik Prevencia, DLP ). Tieto systémy sú tiež tzv systémy na ochranu dôverných údajov pred internými hrozbami(ďalej len systémy ochrany pred únikom). Tieto systémy monitorujú kanály úniku dát v reálnom čase. Existujú komplexné (pokrývajúce veľa únikových kanálov) a cielené (pokrývajúce špecifický únikový kanál) riešenia. Tieto systémy využívajú proaktívne technológie, vďaka ktorým nielen zaregistrujú skutočnosť narušenia informačnej bezpečnosti, ale zabránia aj samotnému úniku informácií. Samozrejme, kvalita takejto kontroly priamo závisí od schopnosti systému rozlíšiť dôverné informácie od nedôverných informácií, t. j. od použitých algoritmov filtrovania obsahu alebo kontextu. Väčšina moderných systémov proti úniku má funkcie na šifrovanie médií a súborov (takéto systémy sa tiež nazývajú Ochrana a kontrola informácií (IPC)). Môžu využívať bezpečné dátové úložiská, najmä krypto kontajnery, ktoré pri prístupe k súboru berú do úvahy nielen šifrovací kľúč, ale aj rôzne faktory, ako je úroveň prístupu používateľa atď.

V súčasnosti sú interné systémy ochrany pred hrozbami jediným riešením, ktoré vám umožňuje predchádzať únikom v reálnom čase, kontrolovať akcie používateľov a procesy vykonávané so súbormi a dokáže rozpoznať dôverné informácie v toku informácií. Na určenie zraniteľnosti ochrany poskytovanej takýmto systémom je potrebné bližšie sa pozrieť na ich hlavné funkcie a možnosti, ako aj na metódy, ktoré tieto systémy používajú na implementáciu obsahového/kontextového filtrovania.

Všetky existujúce metódy na rozpoznávanie dôverných informácií sú kolektívne založené na syntéze niekoľkých zásadne odlišných prístupov.

Hľadajte podpisy. Najjednoduchším spôsobom filtrovania obsahu je vyhľadávanie určitého sledu znakov v dátovom toku. Niekedy sa zakázaná postupnosť znakov nazýva „stop word“. Táto technika funguje len na presné zisťovanie a je ľahko dosiahnuteľná jednoduchým nahradením znakov v analyzovanom texte.

Hľadajte regulárne výrazy (metóda masky). Pomocou jazyka regulárnych výrazov je definovaná „maska“, štruktúra údajov, ktorá sa považuje za dôvernú. Najčastejšie sa tento spôsob používa na zisťovanie osobných údajov (DIČ, čísla účtov, doklady a pod.). Nevýhodou metódy je prítomnosť veľkého počtu falošných poplachov, metóda je tiež úplne neaplikovateľná na analýzu neštruktúrovaných informácií.

Metóda digitálneho snímania odtlačkov prstov.„Odtlačok prsta“ sa získa z referenčných informácií pomocou hašovacej funkcie. Ďalej sa odtlačok porovná s fragmentmi analyzovaných informácií. Nevýhodou je, že pri použití hašovacej funkcie technológia funguje len na presné zhody. Existujú algoritmy, ktoré umožňujú menšie zmeny v analyzovaných informáciách v porovnaní s referenciou (nie viac ako 20%-30%). Tieto algoritmy uzatvárajú vývojári systémov ochrany proti úniku.

Ochranné systémy proti vnútorným hrozbám sa vyznačujú aj zhodou s množstvom dodatočných požiadaviek (kritériá pre príslušnosť k systémom ochrany proti úniku). Hlavné požiadavky na túto triedu ochranných systémov predložila výskumná agentúra Forrester Research:

 viackanálový(schopnosť monitorovať viacero kanálov úniku údajov);

 jednotné riadenie(dostupnosť nástrojov na správu jednotnej politiky informačnej bezpečnosti, schopnosť analyzovať udalosti naprieč všetkými monitorovacími kanálmi s tvorbou podrobných správ);

 aktívna ochrana(systém musí nielen odhaľovať, ale aj predchádzať narušeniam informačnej bezpečnosti);

 kombinácia obsahovej a kontextovej analýzy(v tomto prípade by kontextová analýza mala okrem značiek zahŕňať aj analýzu aktivity používateľa a aplikácie).

Ako vidíte, prezentované požiadavky nezahŕňajú kontrolu, kto presne pracuje pod bežným účtom v určitom okamihu.

V súčasnosti existuje pomerne veľa systémov na ochranu pred únikom a produktov, ktoré majú podobné funkcie. Hlavné charakteristiky a funkcie niektorých riešení (bolo rozhodnuté vziať 10 najpopulárnejších) sú uvedené v tabuľke 1.

Systémy ochrany proti úniku na trhu nemajú schopnosť identifikovať používateľa pomocou „typického portrétu práce v systéme“. Existujúce riešenia vám neumožňujú určiť, kto je v skutočnosti pri počítači. Na tento účel je potrebné uchýliť sa k video dohľadu, čo v praxi nie je vždy možné.

Prvé systémy ochrany pred únikom používali hlavne metódy filtrovania obsahu. Ich účinnosť sa však ukázala byť nízka, pretože v praxi takéto metódy produkujú pomerne veľké percento chýb prvého a druhého typu. Podľa spoločnosti Gartner je v správe Hype Cycle of Information Security za rok 2007 maximálna spoľahlivosť všetkých existujúcich metód filtrovania obsahu 80% a v posledných rokoch nedošlo k žiadnym významným zmenám v smere zvyšovania účinnosti takýchto algoritmov. teda maximálna pravdepodobnosť správneho rozpoznania dôverných informácií pomocou algoritmov filtrovania obsahu v informačnom toku (dokument, súbor, návštevnosť atď.) dnes nepresahuje 0,8. A túto pravdepodobnosť možno dosiahnuť pomocou všetkých uvedených prístupov k analýze obsahu (regulárne výrazy, podpisy, lingvistické metódy atď.). Tento ukazovateľ je nízky (oveľa nižší ako charakteristiky deklarované vývojárom) a nespĺňa požiadavky na bezpečnosť informácií.

Tabuľka 1 – Hlavné funkcie systémov ochrany pred vnútornými hrozbami

názov produktu	obsahu filtrovanie	kontextové filtrovanie (naznačuje kontajner- konečná analýza)		Šifrovanie	Kritériá channeling, zjednotenie túlal zvládanie, aktívny ochrana,
Monitor dopravy +	podpisy, morfológia			chránené kontajnerov
	morfológia, digitálny výtlačkov		ontológií	kontajnerov
	digitálny výtlačkov
	podpisy, digitálny výtlačkov			integrovaný šifrovanie
	podpisy, digitálny výtlačkov			integrovaný šifrovanie
	podpisy, digitálny výtlačkov			integrovaný šifrovanie
Informačné systémy SMAP a SKVT Jet Watch	podpisy, pravidelné výrazov

Systémy na ochranu pred únikom druhej generácie využívajú analýzu nádob. Tento prístup predpokladá jednoznačnú identifikáciu dôverných informácií v prúde pomocou atribútu súboru (návestia). Napriek zjavnému determinizmu však takýto systém urobí správne rozhodnutie za predpokladu, že správne kategorizuje údaje, ktoré predtým vykonal pomocou existujúcich metód. Ale všetky existujúce metódy kategorizácie (pravdepodobnostné, lingvistické atď.) sú založené aj na metódach filtrovania obsahu (analýzy obsahu), ktoré, ako už bolo spomenuté vyššie, nie sú ani zďaleka dokonalé. Je potrebné zabezpečiť a vypracovať postupy pre umiestňovanie štítkov na nové a prichádzajúce dokumenty, ako aj systém na zamedzenie prenosu informácií z označeného kontajnera do neoznačeného a na umiestňovanie štítkov pri vytváraní súborov od začiatku. Toto všetko je veľmi zložitá úloha a závisí aj od úlohy obsahovej analýzy. Ako vidíte, koncept deterministického filtrovania nemožno použiť oddelene od filtrovania obsahu a metódy filtrovania obsahu nemožno eliminovať ani teoreticky.

Nová generácia systémov ochrany pred únikom (IAS RSKD, informačné a analytické systémy na utajovanie dôverných údajov) sľubuje zbaviť sa nedostatkov obsahu a kontextových metód, pričom každý z nich použije v prípade, keď je najefektívnejší. Ale kombinácia dvoch nedokonalých a závislých technológií nemôže priniesť výrazné zlepšenie.

Záver. Zhrnutím vyššie uvedených informácií môžeme konštatovať, že napriek veľkému počtu dostupných algoritmov na identifikáciu dôverných informácií nie sú všetky účinné. Aktualizácia problému vnútorných hrozieb je spôsobená zraniteľnosťou organizácií voči nim a chýbajúcim efektívnym riešením boja proti nim. Takmer všetky podniky používajú softvérové a/alebo hardvérové ochranné nástroje, ktoré sú určené na boj proti vonkajším hrozbám (antivírusy, firewally, IDS atď.) a bojujú s nimi pomerne efektívne. Čo sa týka prostriedkov ochrany pred vnútornými hrozbami (systémy ochrany pred únikom), tie využíva len veľmi malá časť firiem (obrázok 4), hoci potreba týchto prostriedkov objektívne existuje. Trh informačnej bezpečnosti zatiaľ nedokáže ponúknuť kompletné riešenie pre efektívnu ochranu podnikových informácií a existujúce riešenia neposkytujú dostatočnú úroveň ochrany a ich cena je vysoká (licencia na 1000 počítačov stojí približne 100 - 500 tisíc USD).

Obrázok 4. Najpopulárnejšie nástroje informačnej bezpečnosti

Je potrebné zlepšiť technológie filtrovania obsahu, vyvinúť nové metódy identifikácie dôverných informácií, koncepčne zmeniť prístupy k ich rozpoznávaniu. Je vhodné rozpoznať nielen sémantický obsah textu, ale aj jeho autorstvo. Identifikáciou autora textu (keď tento text prekročí hranicu organizácie), napísaného používateľom a obsahujúceho dôverné informácie, je možné identifikovať útočníka. Tento prístup je možné implementovať pomocou metód obsahovej analýzy v spojení s biometrickými metódami na identifikáciu používateľa pomocou rukopisu klávesnice. Ak vezmeme do úvahy nielen statické charakteristiky textu (význam), ale aj dynamiku zadávania textu, je možné s vysokou pravdepodobnosťou identifikovať autora textu.

Osobné údaje klientov a zamestnancov, obchodné tajomstvá, korešpondencia a mnohé ďalšie sú pre podnikanie tými najdôležitejšími informáciami, ktorých prístup a používanie musia byť v rámci spoločnosti prísne regulované. Žiaľ, nikto nie je imúnny voči podvodom, tajným dohodám, využívaniu výrobných zariadení na osobné účely a priemyselnej špionáži. Otázky súvisiace s ochranou interných informácií by mali zahŕňať vývoj dokumentácie, regulačné postupy a implementáciu technických prostriedkov ochrany. Tento program vyvinutý spoločnosťou InfoWatch predstaví študentom hlavné oblasti činnosti na zabezpečenie ochrany podnikových informácií pred internými hrozbami, regulačný rámec upravujúci túto činnosť, úlohy ochrany informácií, nástroje, technológie a spôsoby ich využitia na dosiahnutie týchto cieľov. . Program sa realizuje pomocou technológií spoločnosti v laboratóriu vybavenom na tento účel.

Režim lekcie Vyučovanie v pondelok (19:00-22:00) a stredu (19:00-22:00)
Vydaný doklad Osvedčenie o pokročilom školení
Realizačná divízia
Smer tréningu
Umiestnenie triedy Moskva, sv. Tallinskaya 34 a kancelária InfoWatch

Vstupné

Cieľová skupina

Dokumenty na prijatie

Originál a kópia pasu alebo dokumentu, ktorý ho nahrádza

Originál a kópia dokladu o vzdelaní a kvalifikácii alebo osvedčenia o odbornej príprave pre osoby s vysokoškolským vzdelaním

Originál a kópia dokumentu o zmene priezviska, krstného mena, priezviska (ak je to potrebné)

1. Teoretické základy ochrany podniku pred vnútornými hrozbami. Informácie a informačné toky. Interné a externé hrozby informačnej bezpečnosti. Modely ohrozenia informačnej bezpečnosti. Klasifikácia porušovateľov podnikovej informačnej bezpečnosti. Vlastnosti hodnotenia poškodenia.

2. Regulačné a právne aspekty ochrany podniku pred internými hrozbami. Systémy DLP a požiadavky na bezpečnosť informácií. Kategorizácia informácií v Ruskej federácii. Právne otázky používania systémov DLP: osobné a rodinné tajomstvá; tajomstvo komunikácie; špeciálne technické prostriedky. Opatrenia na zabezpečenie právnej platnosti DLP (Pre-DLP). Preskúmanie praxe práva na použitie pri vyšetrovaní incidentov súvisiacich s porušením režimu vnútornej informačnej bezpečnosti (Post-DLP).

3. Administratívne a organizačné aspekty ochrany podniku pred internými hrozbami. Formovanie procesov a postupov auditu IS. Prieskum podnikových informačných systémov. Stav podnikových informácií. Nástroje a technológie na poskytovanie podnikovej ochrany pred internými hrozbami. Kritériá efektívnosti projektu na zabezpečenie podnikovej ochrany pred internými hrozbami. Prekážky pri realizácii projektov na zabezpečenie podnikovej ochrany pred internými hrozbami.

4. Ochrana podnikových informácií pomocou automatizovaného systému riadenia toku informácií. Účel systému IW Traffic monitor (IW TM). Riadené kanály prenosu dát. Architektúra produktu IW TM. Technológie na analýzu detekovaných objektov. Úlohy a princípy fungovania prídavných modulov systému IW Device monitor (IW DM) a IW Crawler.

Učitelia

Andrej Zarubin

Vedúci oddelenia školenia a kontroly kvality služieb spoločnosti InfoWatch JSC, MBA, SixSigma Black Belt.

Nie je žiadnym tajomstvom, že v priemere 82 % ohrození informačných zdrojov spoločností pochádza z konania ich vlastných zamestnancov, či už z nedbanlivosti alebo úmyselne. Nebezpečenstvo vnútorných hrozieb má podľa odborníkov stúpajúcu tendenciu a stále je jedným z najpálčivejších problémov. Vo vysoko konkurenčnom prostredí je úloha zachovania dôvernosti údajov obzvlášť naliehavá. Chybne odoslaný e-mail, ICQ správa alebo vytlačený dokument môže obsahovať dôverné informácie, ktoré nie sú určené neoprávneným osobám. Obchodné alebo služobné tajomstvá, osobné údaje klientov, partnerov alebo zamestnancov, ako aj iné druhy chránených informácií sa môžu dostať do rúk tretích osôb a spôsobiť nenapraviteľné škody v podniku. Je potrebné prijať včasné opatrenia na predchádzanie rizikám spojeným s únikom dôverných informácií.

Vaše podnikanie môže byť vystavené rôznym rizikám, vrátane:

Finančné riziká
Výsledkom úniku dôverných údajov môže byť situácia, keď sa obchodné tajomstvo dozvie tretie osoby. Ak sa takéto informácie dostanú do rúk konkurentov, existuje vysoká pravdepodobnosť finančných strát, ktoré často vedú k bankrotu spoločnosti.
Právne riziká
Nekontrolované uvoľnenie dôverného dokumentu mimo podnikovej siete môže byť predmetom zvýšenej pozornosti regulačných orgánov. Žaloby a sankcie za porušenie zákonov upravujúcich ochranu osobných údajov a iných typov dôverných informácií nie sú nezvyčajné.
Reputačné riziká
Únik dôverných údajov môže získať širokú medializáciu a viesť k zničeniu imidžu spoločnosti v očiach jej zákazníkov a partnerov, čo spôsobí vážne finančné škody.

Na zabezpečenie ochrany pred únikom dôverných informácií musí mať každá spoločnosť systém DLP.

Systémy DLP (z anglického Data Loss Prevention) sú softvér alebo hardvér a softvér určený na ochranu pred únikmi cez sieť a miestne kanály. Prenášané údaje sú analyzované z hľadiska ich dôvernosti a rozdelené do určitých kategórií (verejné informácie, osobné údaje, obchodné tajomstvá, duševné vlastníctvo atď.). Ak sa v informačnom toku zistia dôverné údaje, systém DLP vykoná jednu z nasledujúcich akcií: povolí ich prenos, zablokuje ich alebo v nejednoznačných prípadoch odošle na dodatočné overenie bezpečnostnému špecialistovi. Systémy DLP pokrývajú širokú škálu komunikačných kanálov a umožňujú vám monitorovať e-maily, služby okamžitých správ a inú internetovú prevádzku, tlačiarne, zariadenia Bluetooth, zariadenia USB a ďalšie externé médiá.

Existujúce systémy DLP sa líšia svojou funkčnosťou. Po prvé, systémy DLP môžu byť aktívne (zisťujú a blokujú úniky údajov) a pasívne (zisťujú úniky údajov a odosielajú výstrahu o incidente). V súčasnosti sa pozornosť sústreďuje na aktívne DLP systémy, ktorých hlavnou úlohou je zabrániť úniku dát v reálnom čase a nie ho dodatočne odhaliť. Pre takéto systémy DLP môžete voliteľne nakonfigurovať režim monitorovania, ktorý vám umožní nezasahovať do obchodných procesov a odoslať správu o incidente bezpečnostnému špecialistovi. Po druhé, systémy DLP dokážu vyriešiť množstvo dodatočných úloh súvisiacich s monitorovaním činnosti zamestnancov, ich pracovného času a využívania podnikových zdrojov.

Významnou výhodou systémov DLP je, že umožňujú zachovať kontinuitu obchodných procesov prakticky bez dopadu na prácu koncových používateľov. Vďaka všetkým vyššie uvedeným schopnostiam sú DLP systémy v súčasnosti jedným z najpopulárnejších riešení pre zaistenie bezpečnosti podnikových informácií.

Správna implementácia a konfigurácia systému DLP je samostatný komplexný problém. Bez kompetentnej konzultácie to nie je možné. Vysoko kvalifikovaní špecialisti spoločnosti Infozashchita vám pomôžu vybrať riešenie, ktoré vyhovuje špecifikám vášho podniku.

Moderný trh DLP je jedným z najrýchlejšie rastúcich, čo jasne dokazuje vysoký dopyt po takýchto ochranných systémoch. Vývojári DLP riešení neustále vyvíjajú a zdokonaľujú nové efektívne technológie na boj proti únikom dát.

Spoločnosť Infozashchita je pripravená ponúknuť vám široký výber pokročilých riešení od popredných vývojárov na ochranu pred internými hrozbami.

„Ochrana pred vnútornými hrozbami v komunikačných podnikoch“

Úvod

1.Najznámejšie zasvätené incidenty v oblasti telekomunikácií

2. Zasvätenci

3. Zákony v oblasti ochrany pred vnútornými hrozbami

3.1.Právna a regulačná úprava

3.2.Certifikácia podľa medzinárodných noriem

4.Štatistický výskum

5. Metódy na predchádzanie vnútornému úniku

Záver

Zoznam použitej literatúry

ÚVOD

Aktuálnosť témy je daná tým, že vďaka masívnosti poskytovania komunikačných služieb sa v databázach telekomunikačných spoločností môžu kumulovať záznamy miliónov a desiatok miliónov občanov. Práve oni potrebujú najvážnejšiu ochranu. Ako ukázala prax, v dôsledku zanedbania nebezpečenstva úniku riskujú podniky, že minú stovky miliónov dolárov na PR kampane, právne náklady a nové prostriedky na ochranu osobných údajov klientov.

Špecifickosť ochrany informácií v telekomunikačných spoločnostiach sa prejavuje v charaktere údajov, ktoré je potrebné chrániť. Všetky informácie sú uložené v databázach umiestnených v IT infraštruktúre prevádzkovateľa. Krádež je plná niekoľkých negatívnych dôsledkov naraz. Po prvé, môže to poškodiť dobré meno spoločnosti, čo sa prejavuje odlivom existujúcich zákazníkov a ťažkosťami pri získavaní nových. Po druhé, spoločnosť porušuje požiadavky zákona, čo môže viesť k odňatiu licencie, trovám právneho zastúpenia a ďalšiemu poškodeniu imidžu.

Cieľom práce je študovať ochranu pred vnútornými hrozbami v komunikačných podnikoch.

Ciele práce sú:

Zváženie najvýznamnejších interných incidentov v oblasti telekomunikácií;

Analýza vnútorných porušovateľov;

Štúdium zákonov v oblasti ochrany pred vnútornými hrozbami: právna a regulačná regulácia a certifikácia podľa medzinárodných noriem;

Štúdium štatistického výskumu;

Zvážte spôsoby, ako zabrániť vnútorným únikom.

Práca pozostáva z piatich kapitol.

Prvá kapitola skúma najznámejšie insiderské incidenty v oblasti telekomunikácií, druhá kapitola skúma vnútorných porušovateľov, tretia kapitola analyzuje legislatívny rámec v oblasti ochrany pred vnútornými hrozbami, štvrtá kapitola skúma štatistický výskum a piata kapitola poskytuje metódy na zabránenie vnútorným únikom.

Záver obsahuje závery zo štúdie.

1. Najznámejšie zasvätené incidenty v

telekomunikačnej oblasti

Incidenty zo skutočného života poskytujú najjasnejšiu ilustráciu závažnosti vnútornej hrozby. Zanedbanie tohto nebezpečenstva viedlo v roku 2006 k veľkému škandálu v Spojených štátoch. Novinári kúpili za 90 dolárov zoznam prichádzajúcich a odchádzajúcich hovorov bývalého kandidáta na prezidenta USA, generála Wesleyho Clarka, a americká verejnosť bola prekvapená, keď zistila, že telefónne záznamy po prvé nie sú vôbec chránené zákonom a po druhé, sú veľmi zle. chránené komunikáciou mobilných operátorov.

V januári 2007 tlačové agentúry informovali o jednom „nezjavnom“ úniku. Na internete sa objavila databáza používateľov mobilnej komunikácie od Corbina Telecom: mená, telefónne čísla, garančné poplatky takmer 40-tisíc predplatiteľov vrátane niekoľkých vrcholových manažérov spoločnosti. Corbinine komentáre zákazníkov do určitej miery upokojili. S najväčšou pravdepodobnosťou sa pod rúškom novej databázy ponúkali informácie spred 4 rokov. Potom zasvätený programátor skutočne verejne sprístupnil informácie o predplatiteľoch spoločnosti a počas tejto doby informácie takmer úplne stratili svoj význam.

Do prvej desiatky najvýznamnejších interných incidentov patrila krádež zákazníckej základne japonského mobilného operátora KDDI. Zasvätenci pod hrozbou prezradenia informácií o veľkom úniku dát požadovali od japonskej korporácie KDDI, druhého najväčšieho mobilného operátora v krajine, 90-tisíc dolárov. Aby demonštrovali opodstatnenosť svojich hrozieb, vydierači v máji 2006 odovzdali zástupcom KDDI CD a USB flash disky so súkromnými údajmi a umiestnili ich na kontrolnom stanovišti. Vedenie firmy však požiadavky zločincov ignorovalo a obrátilo sa na orgány činné v trestnom konaní. Polícia dva týždne monitorovala rokovania medzi vydieračmi a KDDI a následne zatkla podozrivých. Vyšetrovanie ukázalo, že databáza súkromných informácií o 4 miliónoch klientov KDDI sa skutočne dostala do rúk vydieračov. Každý záznam v databáze obsahoval meno, pohlavie, dátum narodenia, telefónne čísla a poštové adresy každého klienta. Všetky tieto údaje sú ideálne na krádež identity. Vrcholový manažment je presvedčený, že jeden zo zamestnancov zámerne skopíroval informácie a odniesol ich mimo spoločnosti.

Celkovo malo k ukradnutým dátam prístup viac ako 200 zamestnancov.

Bližšie k Rusku došlo k rovnako významnému incidentu: úniku databázy bieloruského mobilného operátora Velcom. Novinári si zakúpili textový súbor s informáciami o telefónnych číslach a menách 2 miliónov jej predplatiteľov. Tlač zároveň poznamenáva, že databázy Velcom sa pravidelne dostávajú do povedomia verejnosti: od roku 2002 bolo vydaných najmenej šesť verzií a zakaždým boli informácie doplnené. Medzitým na bieloruskom internete stále chýbajú databázy MTS. Čeliac vlne kritiky, Velcom uviedol, že bieloruské zákony nechránia osobné údaje občanov, čo znamená, že voči Velcomu nemôžu byť žiadne právne nároky. Operátor obvinil z úniku banku, do ktorej bola prevedená databáza zákazníkov, „aby zamestnanci [banky] mohli kontrolovať správnosť špecifikovaných údajov pri platbe za komunikačné služby. Potom Velcom „zvažuje možnosť podať žalobu na ochranu svojej obchodnej reputácie“. Čas ukáže, k čomu konanie povedie, no zatiaľ sa zasvätení príliš často vyhýbajú zodpovednosti.

Október 2006 Insideri z indickej telekomunikačnej spoločnosti AcmeTelePower ukradli výsledky inovatívneho vývoja a preniesli ich na konkurenta LamdaPrivateLimited. Podľa odhadov Ernst & Young dosiahli priame finančné straty Acme 116 miliónov USD. Je zvláštne, že duševné vlastníctvo „uniklo“ najbežnejším spôsobom – e-mailom. Potom spoločnosť AcmeTelePower plánuje úplne presunúť svoje podnikanie z Indie do Austrálie.

2. interných páchateľov

Mnohé organizácie vykonali výskum v oblasti vnútorných únikov. Najväčšie a najznámejšie sú štúdie Uncertainty of Data Breach Detection, ktoré uskutočnil Ponemon Institute; výskum západných analytikov: CSI/FBIComputerCrimeandSecuritySurvey. Tabuľka 1 ilustruje jednu takúto štúdiu.

Tabuľka 1. Najnebezpečnejšie hrozby kybernetickej bezpečnosti podľa totálnych škôd v dolároch

Hrozby	Škoda (v dolároch)
Vírusy	$ 15 691 460
Nepovolený prístup	$ 10 617 000
Krádež notebooku	$ 6 642 560
Únik informácií	$ 6 034 000
Odmietnutie služby	$ 2 992 010
Finančné podvody	$ 2 556 900
Zneužitie siete alebo pošty zasvätených osôb	$ 1 849 810
Telekomunikačný podvod	$ 1 262 410
Zombie siete v organizácii	$ 923 700
Hacknutie systému zvonku	$ 758 000
Phishing (v mene organizácie)	$ 647 510
Zneužitie bezdrôtovej siete	$ 469 010
Zneužívanie internetových messengerov zasvätenými osobami	$ 291 510
Zneužívanie verejných webových aplikácií	$ 269 500
Sabotáž dát a sietí	$ 260 00

Len dodáme, že analytici z FBI a Computer Security Institute sú vo svojich komentároch k výške škôd skeptickí, či respondenti dokázali viac či menej presne určiť výšku škôd v dôsledku úniku osobných údajov či obchodného tajomstva. Takéto incidenty majú mnoho dlhodobých negatívnych dôsledkov. Napríklad zhoršenie verejnej mienky, pokles reputácie a zníženie zákazníckej základne. To všetko sa deje postupne a trvá týždne a mesiace. A identifikácia strát v podobe ušlého zisku v dôsledku úniku trvá minimálne rok. Takže vnútorná štruktúra finančných strát v dôsledku ohrozenia informačnej bezpečnosti sa nedá presne určiť.

Vo všeobecnosti ochrana informácií v organizáciách zahŕňa:

· súbor počítačov navzájom prepojených v sieti;

· komunikačné kanály realizované ľubovoľnými kanálmi prenosu informácií, prostredníctvom ktorých je fyzicky realizovaná sieť logických spojení;

· výmena dôverných informácií v rámci siete v prísnom súlade s prípustnými logickými prepojeniami

· integrovaná viacúrovňová ochrana proti neoprávnenému prístupu a vonkajším vplyvom

· prísne centralizované nastavenie štruktúry logických spojení a kontroly prístupu v rámci siete

· nezávislosť logickej štruktúry siete od typov kanálov prenosu informácií.

Väčšina spoločností má dlho vybudovanú ochranu pred vonkajšími hrozbami a teraz musia chrániť svoj zadok. Medzi internými hrozbami existuje niekoľko najbežnejších spôsobov spôsobenia škody:

· uchovávanie alebo spracovanie dôverných informácií v systéme, ktorý nie je určený na tento účel;

· pokusy obísť alebo narušiť bezpečnostné alebo kontrolné systémy bez povolenia (okrem prípadov bezpečnostného testovania alebo podobného výskumu);

· iné porušenia pravidiel a postupov vnútornej bezpečnosti siete.

Existuje niekoľko spôsobov úniku dôverných informácií:

o poštový server (e-mail);

o webový server (otvorené poštové systémy);

o tlačiareň (tlač dokumentov);

o FDD, CD, USB disk (kopírovanie na médium).

Predtým, ako prejdeme k analytickým výpočtom, je potrebné odpovedať na otázku, čo sa nazýva vnútorná hrozba. Dôležitosť tejto definície je ďalej umocnená skutočnosťou, že sabotáž je len súčasťou vnútorných hrozieb, treba rozlišovať medzi sabotérmi a napríklad insidermi, ktorí „unikajú“ dôverné informácie konkurentom.

Firemná sabotáž je činy škodlivé pre spoločnosť spáchané zasvätenými osobami kvôli zranenej pýche, túžbe po pomste, hnevu a iným emocionálnym dôvodom. Všimnite si, že rozsiahly výraz „insider“ sa vzťahuje na bývalých a súčasných zamestnancov podniku, ako aj zmluvných zamestnancov.

Firemná sabotáž je vždy páchaná z emocionálnych, niekedy iracionálnych dôvodov. Sabotér nikdy nie je poháňaný túžbou zarobiť peniaze alebo dosiahnuť finančný zisk. To je v skutočnosti to, čo odlišuje sabotáž od iných vnútorných hrozieb.

Štúdia americkej tajnej služby zistila, že v 98 % prípadov je sabotérom muž, avšak tieto motívy sú dôsledkom predchádzajúcich udalostí, ktoré zamestnanca znepokojili (tabuľka 2). Podľa analytikov sabotáži vo väčšine prípadov predchádza nepríjemný incident v práci alebo séria takýchto incidentov.

Tabuľka 2 Udalosti predchádzajúce sabotáži

Zdroj CE RT

Mnohí sabotéri sú v čase sabotáže už bývalými zamestnancami spoločnosti obete, ktorá si z nejakého dôvodu (pravdepodobne prehliadnutie zo strany správcu) zachovala prístup k jej informačným zdrojom. Všimnite si, že je to takmer polovica všetkých prípadov.

Ako ukázala štúdia CERT, takmer všetci korporátni sabotéri sú nejakým spôsobom špecialisti spojení s informačnými technológiami.

Tabuľka 3 Portrét typického sabotéra

Zdroj CE RT

Z najspoľahlivejších znakov sabotéra teda možno identifikovať iba dve: je to človek, zamestnanec technického oddelenia. Deväť z desiatich sabotáží spáchajú ľudia tak či onak spojenými s informačnými technológiami. Podľa odborníkov z InfoWatch, vývojára systémov na ochranu dôverných informácií pred insidermi, dôvod tejto profesionálnej príslušnosti spočíva v psychologických charakteristikách týchto zamestnancov. Dva príklady zo života nám umožnia pochopiť problém podrobnejšie, najzreteľnejšie ilustrujú typické charakterové vlastnosti IT profesionálov.

„Pracoval som pre stredne veľkú softvérovú spoločnosť. Pri prístupe na hlavné servery som mal oprávnenia správcu. Len aby som si pretiahol myseľ, zamyslel som sa nad tým, ako by sa tento prístup dal zlomyseľne využiť a prišiel som s nasledujúcim plánom. Po prvé, hacknite záložný systém... Po druhé, počkajte rok alebo dlhšie. Po tretie, vymažte všetky informácie na serveroch vrátane napadnutého softvéru na šifrovanie/dešifrovanie zálohovaných údajov. Podnik tak bude mať iba zašifrované záložné kópie (bez kľúča). Po štvrté, ponúknite spoločnosti odkúpenie kľúčov, ktoré ste získali v prvom kroku. Ak to firma odmietne, príde o roky svojej práce. Toto je, samozrejme, len hypotetický plán. Nesnažil som sa to implementovať, takže neviem, či by to fungovalo alebo nie...“ - Filias Cupio. „Väčšina IT profesionálov, ktorých poznám, dokonca aj juniori, nainštaluje rootkit do podnikového systému hneď, ako začnú pracovať. Je to reflex. Chlapci nechcú nikomu ublížiť a nerobia zlomyseľné plány, chcú len spoľahlivý prístup do systému, aby mohli bezpečne pracovať z domu alebo zo školy,“ Ben.

Hlboká psychologická podstata sabotáže často vedie nespokojného zamestnanca k tomu, aby sa vyhrážal svojim nadriadeným alebo spolupracovníkom, niekedy dokonca zdieľa svoje myšlienky s niektorým zo svojich kolegov. Inými slovami, nielen sabotér má informácie o chystanej sabotáži. Analytici vypočítali, že v 31 % prípadov majú iní ľudia informácie o plánoch sabotéra. Z toho 64 % tvoria kolegovia, 21 % priatelia, 14 % rodinní príslušníci a ďalších 14 % sú spolupáchatelia.

V 47 % prípadov sabotéri vykonávajú prípravné akcie (napríklad krádež záložných kópií dôverných údajov). V 27 % navrhujú a testujú útočný mechanizmus (príprava logickej bomby v podnikovej sieti, dodatočné skryté prihlásenia atď.). Zároveň v 37% prípadov možno zaznamenať aktivitu zamestnancov: z tohto počtu je 67% prípravných akcií viditeľných online, 11% - offline, 22% - obe naraz.

Treba brať do úvahy aj to, že drvivú väčšinu útokov vykonávajú sabotéri v mimopracovnej dobe a pomocou vzdialeného prístupu do firemnej siete.

3. Zákony v oblasti ochrany pred vnútornými hrozbami

Právna a regulačná úprava

Špecifiká telekomunikačného sektora (v porovnaní s inými odvetviami) sa premietajú aj do regulačných otázok. Po prvé, spoločnosti v tomto odvetví sa často zameriavajú na poskytovanie služieb jednotlivcom, a preto vo svojej podnikovej sieti hromadia obrovské množstvo osobných údajov účastníkov. Preto vedenie oddelení IT a informačnej bezpečnosti venuje veľkú pozornosť federálnemu zákonu „O osobných údajoch“, ktorý ukladá množstvo požiadaviek na bezpečnosť súkromných informácií občanov. . Po druhé, Telecom nedávno získal svoj vlastný štandard s názvom „Základná úroveň informačnej bezpečnosti pre telekomunikačných operátorov“. Predstavuje minimálny súbor odporúčaní, ktorých realizácia by mala zaručiť určitú úroveň informačnej bezpečnosti komunikačných služieb umožňujúcu rovnováhu záujmov operátorov, užívateľov a štátu. Vývoj tohto štandardu je spôsobený rozvojom telekomunikačného priemyslu: telekomunikační operátori sú nútení spájať svoje siete, aby poskytovali potrebný súbor služieb, ale samotní operátori nevedia, s kým majú do činenia a komu môžu dôverovať s cieľom vyhnúť sa hrozbám kybernetickej bezpečnosti. Niektoré ustanovenia tohto dokumentu sa priamo týkajú interných rizík informačnej bezpečnosti a problémov s uchovávaním osobných údajov. Prevádzkovateľovi sa napríklad odporúča „zabezpečiť dôvernosť prenášaných a/alebo uchovávaných informácií z riadiacich systémov a automatizovaných platobných systémov za komunikačné služby (fakturácia), informácií o účastníkoch (osobné údaje fyzických osôb) a komunikačných služieb, ktoré sú im poskytované, ktoré sa dostali do povedomia telekomunikačných operátorov vďaka uzatváraniu zmlúv o poskytovaní komunikačných služieb.“ Spoločnosti sú povinné viesť záznamy o udalostiach v oblasti informačnej bezpečnosti a uchovávať ich v súlade s premlčacou dobou (v Rusku – 3 roky). Okrem toho „na filtrovanie toku primárnych udalostí sa odporúča použiť technické prostriedky korelácie udalostí, ktoré optimalizujú záznamy v protokoloch incidentov informačnej bezpečnosti“. Nemôžeme ignorovať bod, ktorý znie: „Operátorovi, ktorý dovolil stratu databáz predplatiteľov (klientov) iných (interagujúcich) operátorov, sa odporúča, aby o tom čo najskôr informovali týchto operátorov. Ruský telekomunikačný sektor sa tak postupne približuje k osvedčeným postupom – v USA a EÚ sú firmy dlhodobo zodpovedné za úniky súkromných dát a zo zákona musia obete úniku upozorňovať. Postupom času by sa takáto norma mala objaviť v Rusku.

Pravda, zatiaľ sa nedá povedať, že by regulačná regulácia zohrávala v telekomunikačnom sektore rozhodujúcu úlohu. Napriek tomu by sa dnes manažment mal zamyslieť nad súladom IT a informačnej bezpečnosti s existujúcimi normami a zákonmi pre prípad, že by dozorné orgány konečne začali konať. Okrem toho veľké telekomunikačné spoločnosti, ktorých akcie sú kótované na burzách, musia uspokojovať požiadavky akciových trhov. Napríklad v Rusku je to nepovinný kódex podnikového správania FFMS (Federal Service for Financial Markets), v Británii – spoločný kódex správy a riadenia spoločností (polozákonný) a v USA – zákon SOX (Sarbanes -Oxleyho zákon z roku 2002). Federálny zákon „O osobných údajoch“ a „Základná úroveň...“ priamo zaujímajú ruské telekomunikačné spoločnosti.

Federálny zákon „o komunikáciách“ (článok 46 odsek 1) prideľuje prevádzkovateľovi také funkcie informačnej bezpečnosti, ako je ochrana komunikačných zariadení, komunikačných zariadení a informácií prenášaných prostredníctvom nich pred neoprávneným prístupom; zabezpečenie bezpečnej prevádzky vnútornej infraštruktúry telekomunikačného operátora.

Tieto požiadavky je potrebné implementovať do systému fungovania komunikačnej siete, monitorovať ich výkon, podporovať ich prevádzku, pripravovať a podávať štatistické výkazy nadriadeným orgánom. Vzhľadom na chýbajúce koordinačné nariadenia však neexistuje jednotný prístup k informačnej bezpečnosti. Neexistuje jednotný prístup k zloženiu oddelení IT a informačnej bezpečnosti. To spravidla závisí od objemu úloh vykonávaných operátorom a funkčné zodpovednosti medzi IT a IS sú rozdelené na základe doterajších skúseností vedúcich týchto oddelení.

Certifikácia podľa medzinárodných štandardov

Najznámejšia certifikácia vo svete je podľa požiadaviek normy ISO 27001:2005. V Rusku doteraz oficiálne certifikovalo svoje systémy riadenia informačnej bezpečnosti (ISMS) šesť spoločností; štyria z nich pracujú v IT sektore. ISO/IEC27001:2005, vydaná British Standards Institute v roku 2005, je založená na celosvetových osvedčených postupoch. Jasne definuje kľúčové procesy, ktoré je potrebné riadiť manažérom zodpovedným za zabezpečenie informačnej bezpečnosti v organizácii. Konečným štádiom potvrdenia účinnosti systému informačnej bezpečnosti je podľa tejto normy nezávislý audit akreditovaným certifikačným orgánom. Pozitívny záver takéhoto orgánu naznačuje efektívne a správne zabezpečenie procesov riadenia informačnej bezpečnosti, pozitívny imidž spoločnosti a slúži ako presvedčivý argument pre jej vedenie, že informačný systém podniku využíva moderné prostriedky informačnej bezpečnosti s maximálnou úrovňou efektívnosť. Samotný proces overovania externým certifikačným orgánom zvyšuje mieru dôvery manažmentu v oddelenia informačnej bezpečnosti, čo je indikátorom kvality a profesionality zamestnancov tejto služby.

Rozhodnutie o implementácii ISMS v organizácii by malo byť prijaté na najvyššej úrovni manažmentu, v ideálnom prípade generálnym riaditeľom. Bez podpory manažmentu sú takéto projekty často odsúdené na neúspech, v lepšom prípade na neefektívne fungovanie v podmienkach neakceptovania procesov zamestnancami firmy.

1) Požiadavky na politiky definujú potrebu bezpečnostnej politiky zaznamenanej (schválenej) vnútornými postupmi komunikačného podniku, založenej na najlepších postupoch v hodnotení a riadení rizík, spĺňajúcej potreby obchodných aktivít a v súlade s národnou legislatívou. Bezpečnostné politiky musia byť zverejnené a oznámené personálu prepravcu a externým zainteresovaným stranám (zákazníkom, interagujúcim prepravcom, iným zainteresovaným stranám).

2) Požiadavky na funkčnosť popisujú požiadavky len na existujúce certifikované technické prostriedky a popisujú postupy na zaznamenávanie udalostí.

3) Požiadavky na interakciu popisujú postup identifikácie vlastných klientov a iných operátorov. V podsekcii je uvedená potreba 24-hodinovej služby reakcie na bezpečnostné incidenty (alebo využitie takejto služby na báze outsourcingu).

Existuje aj požiadavka na zabezpečenie dôvernosti prenášaných a/alebo uložených informácií pre systémy riadenia a automatizované platobné systémy za komunikačné služby (fakturácia), informácií o účastníkoch (osobné údaje jednotlivcov) a komunikačných službách, ktoré sa im poskytujú. Zároveň musí byť dodržaný aj vtedy, ak sa tieto informácie dozvedeli telekomunikačný operátor z dôvodu uzatvárania zmlúv o poskytovaní komunikačných služieb.

4. Štatistiky vedecký výskum

Jednou z najväčších a najzaujímavejších prác v oblasti ochrany pred internými hrozbami bola štúdia 275 telekomunikačných spoločností realizovaná analytickým centrom InfoWatch. Podľa jej výsledkov prevažujú vnútorné riziká nad vonkajšími hrozbami v pomere 6:4. Analyzujme štruktúru týchto rizík a vplyv rôznych faktorov na ne: používané nástroje informačnej bezpečnosti, regulačné predpisy atď.

Na čele rebríčka najnebezpečnejších vnútorných hrozieb informačnej bezpečnosti (tabuľka 4) je porušenie dôvernosti informácií (85 %) a skreslenie informácií (64 %). Obe tieto hrozby možno zhrnúť pod pojem „únik informácií“.

Na treťom a štvrtom mieste sú podvody (49 %) a sabotáže (41 %). Zaujímavé je, že v celoodvetvovej štúdii hrozba sabotáže prevýšila riziko podvodu o takmer 15 %. Zdá sa, že vzhľadom na špecifiká poskytovania komunikačných služieb je podvod považovaný za jednu z najnebezpečnejších hrozieb.

Tabuľka 4 Najnebezpečnejšie hrozby kybernetickej bezpečnosti

Administratívna práca s personálom

Podľa odborníkov z InfoWatch sú najlepším spôsobom, ako zabrániť podnikovým sabotážam, preventívne opatrenia. V prvom rade si firmy potrebujú preveriť referencie a doterajšie pôsobiská prijímaných zamestnancov.Ďalšou mimoriadne účinnou metódou sú pravidelné školenia či semináre, na ktorých sú zamestnanci informovaní o hrozbách bezpečnosti IT a sabotážach ako takých. Pri tomto prístupe sa vedenie spolieha na tých zamestnancov, ktorí sú v kontakte so sabotérom v kancelárii, vidia jeho nervózne správanie, prijímajú hrozby proti nim atď. Oprávnené osoby by mali byť o takýchto incidentoch okamžite informované.

Ďalšia metóda zahŕňa použitie princípu najmenších privilégií a jasného oddelenia funkcií. Bežní zamestnanci úradu by nemali mať administratívne právomoci. Je tiež jasné, že osoba zodpovedná za zálohy by nemala mať možnosť vymazať údaje v pôvodnom zdroji. Okrem toho by mal byť tento zamestnanec zodpovedný za informovanie svojich nadriadených, ak iný zamestnanec zasahuje do záložných kópií. Vo všeobecnosti možno problém ochrany záložných kópií vyriešiť vytvorením ich duplikátov. Vzhľadom na skutočnosť, že spoločnosť spravidla nemá veľa skutočne kritických údajov, vytvorenie niekoľkých záložných kópií sa zdá byť vhodné.

Efektívna správa hesiel a účtov je mimoriadne dôležitá.

Najlepším preventívnym opatrením možno nazvať monitorovanie, nielen pasívne (protokoly udalostí), ale aj aktívne (ochrana cenných informácií). V tomto prípade bude môcť spoločnosti spôsobiť skutočnú škodu iba vrcholový manažér, pretože ostatní zamestnanci s prístupom k digitálnym aktívam spoločnosti jednoducho nebudú mať právo vymazať cenné informácie. Na trhu už existujú špecializované riešenia na ochranu dát pred internými hrozbami vrátane podnikovej sabotáže.

Podnikové riešenie InfoWatch

InfoWatch Enterprise Solution (IES) dodáva ruská spoločnosť InfoWatch, vývojár systémov ochrany proti zasväteniu. Umožňuje vám poskytnúť komplexnú kontrolu nad všetkými spôsobmi úniku dôverných informácií: poštový kanál a webový prenos, komunikačné zdroje pracovných staníc atď. , finančné (Vneshtorgbank ) a palivové a energetické spoločnosti (HydroOGK, Transneft).

Architektúru IES možno rozdeliť na dve časti: monitory, ktoré monitorujú sieťovú prevádzku, a monitory, ktoré monitorujú operácie používateľov na úrovni pracovnej stanice. Prvé sú nainštalované v podnikovej sieti ako brány a filtrujú e-mailovú a webovú prevádzku, zatiaľ čo druhé sú nasadené na osobných počítačoch a prenosných počítačoch a monitorujú operácie na úrovni operačného systému. Sieťové monitory IWM a IMM je možné implementovať aj ako hardvérové zariadenie – InfoWatch Security Appliance. Zákazníkovi je teda ponúknutá možnosť voľby medzi softvérovou alebo hardvérovou implementáciou filtrov poštovej a webovej návštevnosti. Výhody tohto prístupu sa najlepšie prejavia pri ochrane komplexnej počítačovej siete pokrývajúcej geograficky rozmiestnené pobočky.

Monitory na úrovni pracovnej stanice zahŕňajú Info-Watch Net Monitor (INM) a InfoWatch Device Monitor (IDM). Modul INM monitoruje operácie so súbormi (čítanie, zmeny, kopírovanie, tlač atď.), kontroluje prácu používateľa v Microsoft Office a Adobe Acrobat a starostlivo zaznamenáva všetky akcie s dôvernými dokumentmi.

Celú túto funkcionalitu logicky dopĺňajú možnosti modulu IDM, ktorý riadi prístup k vymeniteľným diskom, diskom, portom (COM, LPT, USB, FireWire), bezdrôtovým sieťam (Wi-Fi, Bluetooth, IrDA) atď.

Okrem toho sú komponenty INM a IDM schopné bežať na prenosných počítačoch a bezpečnostný administrátor má možnosť nastaviť špeciálne politiky, ktoré sa vzťahujú na obdobie offline práce zamestnanca. Keď sa nabudúce pripojíte k podnikovej sieti, monitory okamžite upozornia správcu bezpečnosti, ak sa používateľ pokúsil porušiť stanovené pravidlá pri práci na diaľku.

Všetky monitory zahrnuté v IES sú schopné blokovať úniky v reálnom čase a okamžite informovať bezpečnostného dôstojníka o incidente. Riešenie je riadené prostredníctvom centrálnej konzoly, ktorá umožňuje konfigurovať podnikové politiky. K dispozícii je aj automatizované pracovisko bezpečnostného dôstojníka, pomocou ktorého môže špeciálny zamestnanec rýchlo a primerane reagovať na incidenty. Komplexné riešenie IES teda rieši všetky aspekty ochrany dôverných informácií pred zasvätenými osobami.

Lumigent Entegra a LogExplorer

Produkty Entegra a Log Explorer od Lumigentu poskytujú pasívnu ochranu informácií uložených v databázach. Umožňujú vám auditovať databázy a obnovovať informácie v nich.

Produkt Entegra sleduje aktivitu používateľov pri práci s databázami a samotné databázy kontroluje. Umožňuje vám určiť, kto, kedy a ako si prezeral alebo upravoval záznamy v databáze, ako aj menil štruktúru alebo používateľské práva na prístup k nej. Stojí za zmienku, že produkt nie je schopný zabrániť akémukoľvek škodlivému vplyvu, môže iba odoslať informácie o tejto operácii na protokolovanie. Log Explorer vedie redundantný denník všetkých transakcií uskutočnených s databázou, čo umožňuje v prípade akýchkoľvek problémov analyzovať a auditovať vykonané transakcie a obnoviť stratené alebo zmenené záznamy bez použitia záložnej kópie. V skutočnosti však nehovoríme o obnove, Log Explorer vám umožňuje vrátiť transakcie späť. Tento modul teda nedokáže zabrániť úniku, ale môže znížiť riziko poškodenia záznamov.

PC Acme

PC Activity Monitor (Acme) umožňuje pasívne sledovanie aktivity užívateľa na úrovni pracovnej stanice. Riešenie pozostáva z dvoch častí: centralizovaného riadiaceho nástroja a viacerých agentov nasadených na pracovných staniciach v celej organizácii. Pomocou prvého komponentu produktu môžete centrálne distribuovať agentov po celej podnikovej sieti a následne ich spravovať. Agenti sú softvérové moduly, ktoré sú veľmi hlboko zabudované v systéme Windows 2000 alebo Windows XP. Vývojári hlásia, že agenti sa nachádzajú v jadre operačného systému a pre používateľa je takmer nemožné ich odtiaľ nelegálne odstrániť alebo zakázať. Samotní agenti starostlivo zaznamenávajú všetky akcie používateľa: spúšťanie aplikácií, stláčanie kláves atď. Dá sa povedať, že výsledný protokol udalostí svojou úrovňou podrobnosti pripomína výsledky ostražitého video sledovania obrazovky počítača. Výsledný protokol je však prirodzene prezentovaný v textovej forme. Centrálna riadiaca konzola vám umožňuje zhromažďovať zaznamenané údaje na jednom počítači a analyzovať ich tam. V tejto fáze však môžu nastať ťažkosti. Po prvé, bezpečnostný pracovník musí manuálne analyzovať státisíce záznamov o určitých systémových udalostiach, aby identifikoval tie, ktoré sú porušením bezpečnostnej politiky IT, viedli k úniku atď. úniku, potom tomu už aj tak nezabráni. PC Acme je teda vhodný na pasívne sledovanie všetkých akcií užívateľa na úrovni pracovnej stanice.

Zabezpečenie správ Proofpoint

Hardvérové riešenie spoločnosti Proofpoint vám umožňuje poskytnúť úplnú kontrolu nad vašim e-mailom. Pomocou tohto zariadenia môžete kontrolovať, či správy neobsahujú vírusy a spam, zabrániť zneužitiu e-mailových zdrojov a úniku dôverných informácií v e-mailoch. Ochrana pred únikom dôverných údajov je založená na mechanizme filtrovania obsahu. Ak prenášaná správa obsahuje dôverné informácie, produkt je schopný zablokovať únik. Proofpoint je klasickým príkladom produktu určeného na ochranu jedného konkrétneho komunikačného kanála: e-mailu. Takýto produkt je možné použiť v prípadoch, keď hlavnou funkcionalitou je filtrovanie spamu a detekcia vírusov a prevencia úniku je len príjemným doplnkom.

Ako sa chytajú zasvätení

Príklad víťazstva nad insidermi predviedla v polovici februára 2006 ruská spoločnosť LETA IT-company. Vďaka kompetentnému prístupu k internej IT bezpečnosti sa spoločnosti podarilo zneškodniť insidera odsúdeného za zneužitie úradného postavenia. Interné vyšetrovanie ukázalo, že jeden z manažérov účtov sa pokúsil dohodnúť zmluvy na dodávku softvéru nie prostredníctvom svojho legitímneho zamestnávateľa, ale prostredníctvom ním vytvorenej fiktívnej spoločnosti. Zneužitie bolo rýchlo a včas identifikované pomocou InfoWatch Mail Monitor.

ZÁVER

V USA a EÚ sú teda spoločnosti už dlho zodpovedné za úniky súkromných údajov a zo zákona sú povinné upovedomiť obete úniku. Dúfame, že časom sa takáto norma v Rusku objaví. Už teraz možno zaznamenať pozitívne trendy. Počet organizácií, ktoré sa ochránili pred únikmi, neustále rastie a bude pribúdať.

Organizácie si čoraz viac uvedomujú rastúcu hrozbu pre svojich vlastných zamestnancov, napriek tomu podnikajú len málo krokov na svoju ochranu. Nie všetci zaradili do svojich zoznamov prioritných úloh školenia a pokročilé školenia zamestnancov v oblasti informačnej bezpečnosti, pravidelné hodnotenie práce svojich poskytovateľov IT služieb s cieľom monitorovať ich dodržiavanie zásad informačnej bezpečnosti, spoliehajúc sa výlučne na dôveru. Len málo ľudí dnes vníma informačnú bezpečnosť ako prioritu manažmentu.

Ako sa obchodné modely organizácií vyvíjajú smerom k decentralizácii, niektoré funkcie sú delegované na externých dodávateľov, a preto je čoraz ťažšie kontrolovať bezpečnosť ich informácií a hodnotiť úroveň rizík. Spoločnosti môžu delegovať prácu, ale nemali by delegovať zodpovednosť za bezpečnosť.

Nedostatočná pozornosť zo strany vrcholového manažmentu, nepravidelné hodnotenia rizík, ako aj nedostatočná alebo úplná absencia investícií do úsilia o znižovanie rizík spojených s ľudským faktorom (nevhodné správanie zamestnancov, prehliadky, porušovanie stanovených pravidiel či noriem). Hlavná pozornosť sa stále venuje len vonkajším hrozbám ako sú vírusy a podceňuje sa závažnosť vnútorných hrozieb: existuje ochota kupovať technologické nástroje (firewally, antivírusová ochrana a pod.), ale nie je chuť riešiť problémy s personálnou bezpečnosťou.

Mnoho incidentov so zamestnancami zostáva neodhalených. Telekomunikačné spoločnosti podľa autorov štúdií môžu a mali by zmeniť pohľad na informačnú bezpečnosť len ako na nákladovú položku na podnikanie: zaobchádzať s ňou ako s jedným zo spôsobov zvýšenia konkurencieschopnosti a udržania nákladového potenciálu firmy.

Množstvo veľkých spoločností podlieha rôznym nariadeniam, ktoré ich zaväzujú chrániť súkromné informácie. Celkovo sa očakáva, že dopyt po riešeniach ochrany zasvätených osôb a únikov bude stabilne rásť najmenej počas nasledujúcich piatich rokov.

Zoznam POUŽITÉ literatúry

1. InfoWatch. Správy. Aké ťažké je identifikovať únik - Corbina Telecom. 2007

2. Sbiba V.Yu, Kurbatov V.A. Sprievodca ochranou pred ohrozením bezpečnosti informácií zo strany dôverných osôb. Petrohrad: Peter, 2008.

3. “KNS INFOTEKS” http://home.tula.net/insider/001b.htm.

4. Zenkin, D. Insideri sú 75-krát nebezpečnejší ako hackeri. C-News. Analytics. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Zdieľajte, A. CitCity. Prichádzajú zasvätení. http://citcity.ru/14874/

6. InfoWatch: Vnútorné hrozby: tvárou v tvár spoločnému nebezpečenstvu. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Share, A. Sabotáž v podnikovom prostredí. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Základná úroveň informačnej bezpečnosti telekomunikačných operátorov. [Na internete] http://www.ccin.ru/treb_baz_u.doc.

9. Zdieľajte A. Bezpečnosť telekomunikácií. http://citcity.ru/15562

10. Zdieľať A.V. Vnútorné hrozby informačnej bezpečnosti v telekomunikáciách. 2007. http://www.iks-navigator.ru/vision/456848.html.

11. Kostrov, D.V. Informačná bezpečnosť v odporúčaniach, požiadavkách, štandardoch. 2008

http://www.iks-navigator.ru/vision/2390062.html.

12. Komunikačný bulletin: Ochrana pred zasvätenými osobami v telekomunikačných spoločnostiach.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Cudzinec medzi svojimi: zápisnica zo stretnutia za okrúhlym stolom. Komunikačný bulletin. - č. 7. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Mnohé organizácie vykonali výskum v oblasti vnútorných únikov. Najväčšie a najznámejšie sú štúdie Uncertainty of Data Breach Detection, ktoré uskutočnil Ponemon Institute; výskum západných analytikov: CSI/FBI Computer Crime and Security Survey. Tabuľka 1 ilustruje jednu takúto štúdiu.

Tabuľka 1. Najnebezpečnejšie hrozby kybernetickej bezpečnosti podľa totálnych škôd v dolároch

Hrozby	Škoda (v dolároch)


Krádež notebooku
Únik informácií
Odmietnutie služby
Finančné podvody
Zneužitie siete alebo pošty zasvätených osôb
Telekomunikačný podvod
Zombie siete v organizácii
Hacknutie systému zvonku
Phishing (v mene organizácie)
Zneužitie bezdrôtovej siete
Zneužívanie internetových messengerov zasvätenými osobami
Zneužívanie verejných webových aplikácií
Sabotáž dát a sietí