Корпоративний захист від внутрішніх загроз інформаційній безпеці. Безпека локальних мереж

СУЛАВКО О. Є., аспірант

Сибірська державна автомобільно-дорожня академія,

ТЕХНОЛОГІЇ ЗАХИСТУ ВІД ВНУТРІШНІХ ЗАГРОЗ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ *

Анотація. Виявлено недоліки існуючих засобів захисту від внутрішніх загроз інформаційній безпеці. Описані підходи до розпізнавання конфіденційної інформації в інформаційному потоці та їх ефективність, а також основні вимоги таких систем, що використовуються в сучасних системах захисту. Визначено можливі напрями майбутніх досліджень з метою підвищення ефективності засобів боротьби з внутрішніми загрозами.

Ключові слова:інформаційна безпека, внутрішні загрози, контентний аналіз, контекстна фільтрація, захист від витоку конфіденційної інформації.

Вступ.На сьогоднішній день найбільшу загрозу інформаційній безпеці (далі ІБ) становлять внутрішні зловмисники. З кожним роком ця загроза зростає. Часи, коли керівники підприємств боялися атак хакерів та вірусів тепер у минулому. Звичайно, цей клас загроз досі несе в собі велику небезпеку, але найбільше компанії стурбовані саме через втрату, витік корпоративної інформації та персональні дані. Про це свідчать результати практично будь-яких досліджень у галузі інформаційної безпеки, які проводяться в рамках різних проектів (рис. 1, 2).

Рисунок 1. Найнебезпечніші загрози ІБ на думку респондентів

* Робота виконано у рамках реалізації програми «Наукові та науково-педагогічні кадри інноваційної Росії на роки», контракт № П215 від 22.07.09г.

За результатами дослідження «ІНСАЙДЕРСЬКІ ЗАГРОЗИ В РОСІЇ '09» (рисунок 1), проведеного аналітичним центром російської компанії Perimetrix видно, що загрози, що виходять зсередини компанії, дають більший рейтинг небезпеки, ніж загрози, що виходять ззовні.

Малюнок 2. Співвідношення небезпеки внутрішніх та зовнішніх інцидентів ІБ

Така ситуація спостерігається у Росії. За даними технічних звітів INFORMATION SECURITY BREACHES SURVEY 2006 та 2008, внутрішні інциденти також переважають над зовнішніми. За останні роки суттєво збільшилося побоювання внутрішніх інцидентів представниками малого та середнього бізнесу (рис. 2). Витоку зазнають не лише представники бізнесу, а й державні установи по всьому світу. Про це свідчать результати глобального дослідження InfoWatch (рис. 3).

Рисунок 3. Розподіл інцидентів на кшталт організації

З представлених матеріалів видно, що сьогодні питання боротьби з внутрішніми загрозами стоїть гостро, ніж питання боротьби з зовнішніми. Слід зазначити, що найнебезпечнішою загрозою сьогодні є витік конфіденційних даних (рисунок 1).

Засоби та методи боротьби з внутрішніми загрозами.Щоб ефективно боротися із внутрішніми загрозами, необхідно виявити недоліки існуючих засобів захисту у цій галузі. Можна виділити кілька типів систем забезпечення внутрішньої безпеки.

Системи моніторингу та аудитує добрим засобом при розслідуванні інцидентів. Сучасні системи аудиту дозволяють реєструвати практично будь-які дії користувачів. Недоліком цих систем є відсутність можливості запобігання витоку, тому що для цього потрібна система реагування на події та прийняття рішень, яка розпізнає, яка послідовність дій несе загрозу, а яка ні. Адже якщо реакції на порушення не настане відразу, наслідків інциденту не уникнути.

Системи сильної автентифікаціїслужать захисту від несанкціонованого доступу до даних. В їх основі лежить дво- або трифакторний процес аутентифікації, в результаті якого користувачу може бути надано доступ до запитуваних ресурсів. Такі засоби можуть захистити інформацію від “непосвяченого” співробітника, але не від інсайдера, який і так має доступ до інформації, що охороняється.

Засоби шифрування носіїв.Цей клас програм захистить від витоку інформації при втраті носія чи ноутбука. Але, якщо інсайдер передасть носій разом із ключем, на якому зашифрована інформація іншій стороні, такий метод захисту буде марним.

Системи виявлення та запобігання витоку (Data Leakage Prevention, DLP ). Дані системи також називають системами захисту конфіденційних даних від внутрішніх загроз(Далі, системи захисту від витоків). Ці системи контролюють канали витоку даних у реальному часі. Існують комплексні (що покривають багато каналів витоку) та точкові (що покривають певний канал витоку) рішення. Дані системи використовують проактивні технології, завдяки чому, не тільки реєструють факт порушення ІБ, але й запобігають самому витоку інформації. Звичайно, якість такого контролю безпосередньо залежить від здібностей системи відрізняти конфіденційну інформацію від не конфіденційної, тобто від алгоритмів контентної або контекстної фільтрації, що використовуються. Більшість сучасних систем захисту від витоків мають функції шифрування носіїв та файлів (такі системи також називають Information Protection and Control (IPC).Вони можуть використовувати захищені сховища даних, зокрема криптоконтейнери, які при доступі до файлу враховують не тільки ключ шифрування, але й різні фактори, такі як доступ користувача і т.д.

На сьогоднішній день системи захисту від внутрішніх загроз - це єдине рішення, що дозволяє запобігти витоку в реальному часі, контролюючи дії користувачів та процесів, що виробляються з файлами і здатне розпізнавати конфіденційну інформацію в інформаційному потоці. Щоб визначити вразливе місце в захисті, що надається такою системою, необхідно більш детально розглянути їх основні функції та можливості, а також методи, що використовуються цими системами для здійснення контентної/контекстної фільтрації.

Усі існуючі методи розпізнавання конфіденційної інформації разом засновані на синтезі кількох принципово різних підходів.

Пошук сигнатур.Найбільш простий метод контентної фільтрації – пошук у потоці даних деякої послідовності символів. Іноді заборонену послідовність символів називають "стоп-словом". Техніка працює тільки на точні спрацьовування і легко обходиться простою заміною символів в тексті, що аналізується.

Пошук регулярних виразів (метод масок).За допомогою деякої мови регулярних виразів визначається «маска», структура даних, які відносяться до конфіденційних. Найчастіше цей метод використовується визначення персональних даних (ІПН, номери рахунків, документів тощо. буд.). Недолік методу наявність великої кількості помилкових спрацьовувань, а також метод зовсім не застосовний до аналізу неструктурованої інформації.

Метод цифрових відбитків.З еталонної інформації знімається відбиток за допомогою хеш-функції. Далі відбиток порівнюється із фрагментами аналізованої інформації. Недоліком є ​​те, що при використанні хеш-функції технологія працює тільки на точні збіги. Існують алгоритми, що дозволяють незначні зміни аналізованої інформації порівняно з еталонною (трохи більше 20%-30%). Ці алгоритми закриті розробниками систем захисту від витоків.

Системи захисту від внутрішніх загроз також характеризуються відповідністю додаткових вимог (критеріїв належності до систем захисту від витоків). Основні вимоги до цього класу систем захисту були висунуті дослідницьким агентством Forrester Research:

 багатоканальність(Здатність здійснення моніторингу декількох каналів витоку даних);

 уніфікований менеджмент(Наявність уніфікованих засобів управління політикою ІБ, можливість аналізу подій по всіх каналах моніторингу зі створенням докладних звітів);

 активний захист(система повинна не тільки виявляти, а й запобігати порушенню ІХ);

 поєднання контентного та контекстного аналізу(в даному випадку до контекстного аналізу крім міток слід відносити аналіз активності користувача та додатків).

Як видно, до поданих вимог не входить перевірка того, хто саме у певний момент працює під поточним обліковим записом.

На сьогоднішній день існує досить багато систем захисту від витоків та продуктів, близьких за функціональністю до них. Основні характеристики та функції деяких рішень (було вирішено взяти 10 найбільш популярних) представлені у таблиці 1.

У систем захисту від витоків, представлених над ринком, відсутня можливість ідентифікації користувача по “типовому портрету роботи у системі”. У існуючі рішення неможливо встановити, хто насправді перебуває за комп'ютером. Для цього необхідно вдаватися до відеоспостереження, що не завжди можливе на практиці.

Перші системи захисту від витоків переважно використовували методи контентної фільтрації. Але їх ефективність виявилася низькою, тому що на практиці такі методи дають досить великий відсоток помилок першого та другого роду. За даними компанії Gartner, у звіті Hype Cycle of Information Security за 2007 рік гранична надійність будь-яких існуючих методів контентної фільтрації становить 80%, а за останні роки істотних змін у бік збільшення ефективності таких алгоритмів не відбулося. Таким чином, максимальна ймовірність правильного розпізнавання конфіденційної інформації за допомогою алгоритмів контентної фільтрації в інформаційному потоці (документі, файлі, трафіку тощо) на сьогоднішній день не перевищує 0.8. І ця ймовірність може бути досягнута при використанні всіх перерахованих підходів до аналізу контенту (регулярні вирази, сигнатури, лінгвістичні методи тощо). Такий показник є низьким (набагато нижчим, ніж заявляються розробником характеристики) і не відповідає вимогам інформаційної безпеки.

Таблиця 1 – Основні функції систем захисту від внутрішніх загроз

назва продукту	контентною фільтрації	контекстної фільтрації (має на увазі- контейнер- ний аналіз)		Шифрування	Критерії канальність, уніфікації рівний менеджмент, активна захист,
Traffic Monitor +	сигнатури, морфологія			захищені контейнери
	морфологія, цифрові відбитки		онтології	контейнери
	цифрові відбитки
	сигнатури, цифрові відбитки			інтеграційно- шифрування
	сигнатури, цифрові відбитки			інтеграційно- шифрування
	сигнатури, цифрові відбитки			інтеграційно- шифрування
Інфосистеми СМАП та СКВТ Дозор Джет	сигнатури, регулярні вирази

Системи захисту від витоку другого покоління використовують контейнерний аналіз. Цей підхід передбачає однозначне визначення конфіденційної інформації в потоці атрибуту файлу (мітці). Але, незважаючи на детермінізм, що здається, така система буде приймати правильне рішення за умови правильної категоризації даних, виробленої нею за допомогою існуючих методів. Але всі існуючі методи категоризації (імовірнісні, лінгвістичні тощо) також ґрунтуються на методах контентної фільтрації (контентного аналізу), які, як було згадано вище, далекі від досконалості. Необхідно передбачати та розробляти процедури розміщення міток на нові та вхідні документи, а також систему протидії перенесення інформації з позначеного контейнера в непомічений та розміщення міток при створенні файлів “з нуля”. Все це дуже складне завдання, до того ж залежне від завдання аналізу контенту. Як видно, концепція детерміністської фільтрації не може застосовуватися окремо від контентної, і методів фільтрації контенту не позбавитися навіть теоретично.

Нове покоління систем захисту від витоків (ІАС РСКД, інформаційно-аналітичні системи режиму секретності конфіденційних даних) обіцяє позбутися недоліків контентних і контекстних методів, використовуючи кожен із них у тому випадку, де він є найефективнішим. Але поєднання двох недосконалих та залежних технологій не може зробити суттєвого покращення.

Висновок.Резюмуючи наведену вище інформацію, можна зробити висновок, що, незважаючи на велику кількість наявних алгоритмів виявлення конфіденційної інформації, всі вони не ефективні. Актуалізація проблеми внутрішніх загроз викликана незахищеністю від них організацій та відсутністю ефективного рішення щодо боротьби з ними. Практично на всіх підприємствах використовуються програмні та/або апаратні засоби захисту, які призначені для боротьби із зовнішніми загрозами (антивіруси, брандмауери, IDS тощо) та досить ефективно з ними борються. Що ж до засобів захисту від внутрішніх загроз (системи захисту від витоків), лише дуже незначна частина підприємств їх використовує (рисунок 4), хоча у цих засобах об'єктивно існує. Ринок інформаційної безпеки ще не може запропонувати повноцінного рішення для ефективного захисту корпоративної інформації, і існуючі рішення не дають достатнього рівня захисту, при цьому їхня вартість висока (приблизно 100 – 500 тис. $ коштує ліцензія на 1000 комп'ютерів).

Малюнок 4. Найпопулярніші засоби ІБ

Необхідно вдосконалювати технології контентної фільтрації, розробляючи нові методи виявлення конфіденційної інформації, концептуально змінюючи підходи її розпізнавання. Доцільно розпізнавати як смислове зміст тексту, а й його авторство . Завдяки ідентифікації автора тексту (при перетині цим текстом периметра організації), набраного користувачем та містить конфіденційну інформацію, стає можливим виявити зловмисника. Даний підхід може бути реалізований під час використання методів контентного аналізу спільно з біометричними методами ідентифікації користувача за клавіатурним почерком. Враховуючи як статичні характеристики тексту (сенс), а й динаміку введення тексту, стає можливим ідентифікація автора тексту з високою ймовірністю.

Персональні дані клієнтів та співробітників, комерційна таємниця, листування та багато іншого – є найважливішою для бізнесу інформацією, доступ та використання якої має бути строго регламентований усередині компанії. На жаль, від шахрайства, змови, використання виробничих потужностей в особистих цілях та промислового шпигунства ніхто не застрахований. Питання захисту внутрішньої інформації повинні включати як розробку документації, процедур регулювання, так і впровадження технічних засобів захисту. Ця програма, розроблена компанією InfoWatch, познайомить слухачів з основними напрямками діяльності щодо забезпечення корпоративного захисту інформації від внутрішніх загроз, нормативно-правовою базою, що регламентує цю діяльність, завданнями щодо збереження інформації, інструментів, технологій та методик їх застосування для досягнення цих цілей. Програма проводиться з використанням технологій компанії в обладнаній для цього лабораторії.

• Режим занятьЗаняття по понеділках (19:00-22:00) та середам (19:00-22:00)
• Документ, що видаєтьсяПосвідчення про підвищення кваліфікації
• Реалізуючий підрозділ
• Напрям підготовки
• Місце проведення занятьм. Москва, вул. Таллінна д. 34 та офіс компанії InfoWatch

Вступ

Цільова група

Документи для прийому

Оригінал та копія паспорта або документа, що замінює його

Оригінал та копія документа про освіту та кваліфікацію або довідка про навчання для осіб, які здобувають вищу освіту

Оригінал та копія документа про зміну прізвища, імені, по батькові (за потреби)

1. Теоретичні засади корпоративного захисту від внутрішніх загроз. Інформація та інформаційні потоки. Внутрішні та зовнішні загрози ІБ. Моделі загроз ІБ. Класифікація порушників корпоративної ІБ. Особливості оцінки збитків.

2. Нормативно-правові аспекти корпоративного захисту внутрішніх загроз.Системи DLP та вимоги щодо інформаційної безпеки. Категорування інформації у РФ. Юридичні питання використання DLP-систем: особиста та сімейна таємниці; таємниця зв'язку; спеціальні технічні засоби. Заходи забезпечення юридичної значущості DLP (Pre-DLP). Огляд практики право застосування під час розслідування інцидентів, пов'язаних із порушеннями режиму внутрішньої інформаційної безпеки (Post-DLP).

3. Адміністративно-організаційні аспекти корпоративного захисту від внутрішніх загроз.Формування процесів та процедур аудиту ІБ. Обстеження корпоративних інформаційних систем Стан корпоративної інформації. Інструменти та технології забезпечення корпоративного захисту від внутрішніх загроз. Критерії ефективності проекту забезпечення корпоративного захисту від внутрішніх загроз. Перешкоди реалізації проектів забезпечення корпоративного захисту від внутрішніх загроз.

4. Захист корпоративної інформації із використанням автоматизованої системи контролю інформаційних потоків. Призначення системи IW Traffic monitor (IW). Контрольовані канали передачі. Архітектура продукту IW TM. Технології аналізу об'єктів, що детектуються. Завдання та принципи роботи додаткових модулів системи IW Device monitor (IW DM) та IW Crawler.

Викладачі

Андрій Зарубін

Керівник відділу навчання та контролю якості сервісу АТ «ІнфоВотч», MBA, SixSigma Black Belt.

Ні для кого не секрет, що в середньому 82% загроз інформаційним ресурсам підприємств походять від дій своїх співробітників, які здійснюються ними або з необережності, або навмисне. За прогнозами експертів, небезпека внутрішніх загроз має тенденцію до зростання і є, як і раніше, однією з найзлободенніших проблем. У разі жорсткої конкурентної обстановки особливо актуальною є завдання збереження конфіденційності даних. Помилково надісланий електронний лист, повідомлення ICQ або документи, що виводяться на друк, можуть містити конфіденційні відомості, не призначені для сторонніх осіб. Комерційна або службова таємниця, персональні дані клієнтів, партнерів або співробітників, а також інші види інформації, що захищається, можуть потрапити в руки до третіх осіб і завдати бізнесу непоправної шкоди. Необхідно вчасно вжити заходів для запобігання ризикам, пов'язаним із витоком конфіденційної інформації.

Вашому бізнесу можуть загрожувати різні ризики, зокрема:

• Фінансові ризики
  Результатом витоку конфіденційних даних може бути ситуація, коли комерційна таємниця стає відомою третім особам. У разі потрапляння такої інформації до рук конкурентів існує висока ймовірність фінансових втрат, які нерідко призводять до банкрутства компанії.
• Правові ризики
  Безконтрольний вихід конфіденційного документа межі корпоративної мережі може бути предметом пильної уваги з боку регулюючих органів. Судові позови та штрафні санкції за порушення норм законодавства, що регулюють захист персональних даних та інших видів конфіденційної інформації, не є рідкісним явищем.
• Репутаційні ризики
  Витік конфіденційних даних може набути широкого розголосу в ЗМІ і призвести до руйнування іміджу компанії в очах її клієнтів і партнерів, спричинивши серйозні фінансові збитки.

Для забезпечення захисту від витоків конфіденційної інформації у будь-якій компанії має бути передбачена DLP-система.

DLP-системи (від англ. Data Loss Prevention) - програмні або програмно-апаратні засоби, призначені для захисту від витоків мережевими та локальними каналами. Передані дані аналізуються щодо їх конфіденційності і розподіляються за певними категоріями (загальнодоступна інформація, персональні дані, комерційна таємниця, інтелектуальна власність та інших.). Якщо в інформаційному потоці детектуються дані конфіденційного характеру, DLP-система виконує одну з таких дій: дозволяє їх передачу, блокує або відправляє на додаткову перевірку фахівця з безпеки у неоднозначних випадках. DLP-системи охоплюють широкий комплекс комунікаційних каналів, дозволяючи відстежувати електронну пошту, служби миттєвих повідомлень та інший інтернет-трафік, принтери, Bluetooth-пристрої, USB-пристрої та інші зовнішні носії.

Існуючі DLP-системи відрізняються набором функціональних можливостей. По-перше, DLP-системи можуть бути активними (виявляють та блокують витік даних) та пасивними (виявляють витік даних та надсилають сповіщення про інцидент). В даний час акцентується на активних DLP-системах, основне завдання яких - запобігання витоку даних в режимі реального часу, а не виявлення її постфактум. Для таких DLP-систем можна за бажання налаштувати режим моніторингу, що дозволяє не втручатися у бізнес-процеси та спрямовувати повідомлення про інцидент фахівця з безпеки. По-друге, DLP-системи можуть вирішувати низку додаткових завдань, пов'язаних із контролем дій співробітників, їх робочого часу та використання корпоративних ресурсів.

Вагомий плюс DLP-систем полягає в тому, що вони дозволяють зберігати безперервність бізнес-процесів, практично не впливаючи на кінцевих користувачів. Завдяки всім вищезгаданим можливостям DLP-системи зараз — одне з найбільш популярних рішень для забезпечення інформаційної безпеки бізнесу.

Правильне впровадження та налаштування DLP-системи – окреме складне питання. Тут не можна обійтися без грамотного консалтингу. Висококваліфіковані спеціалісти компанії «Інфозахист» допоможуть з вибором рішення, що відповідає специфіці Вашого підприємства.

Сучасний ринок DLP — один із найшвидше зростаючих, що яскраво демонструє високий попит на подібні системи захисту. Розробники DLP-рішень постійно розвивають та вдосконалюють нові ефективні технології для боротьби з витоком даних.

Компанія «Інфозахист» готова запропонувати широкий вибір передових рішень провідних розробників для захисту від внутрішніх загроз.

«Захист від внутрішніх загроз на підприємствах зв'язку»

Вступ

1.Найгучніші інсайдерські інциденти в галузі телекомунікацій

2.Внутрішні порушники

3.Закони у сфері захисту від внутрішніх загроз

3.1.Правове та нормативне регулювання

3.2.Сертифікація за міжнародними стандартами

4.Статистичні дослідження

5.Методи запобігання внутрішнім витокам

Висновок

Список використаної літератури

ВСТУП

Актуальність теми зумовлена ​​тим, що у зв'язку з масовим характером надання послуг зв'язку у базах даних телекомунікаційних компаній можуть бути акумульовані записи мільйонів та десятків мільйонів громадян. Саме вони і потребують найсерйознішого захисту. Як показала практика, внаслідок нехтування небезпекою витоку бізнес ризикує витратити сотні мільйонів доларів на PR-кампанії, судові витрати та нові засоби захисту персональної інформації клієнтів.

Специфіка захисту у телекомунікаційних компаніях проявляється у характері тих даних, які потрібно захищати. Вся інформація зберігається в базах даних, що знаходяться в ІТ-інфраструктурі оператора. Крадіжка загрожує відразу кількома негативними наслідками. По-перше, це може вдарити по репутації компанії, що проявляється у відтоку існуючих клієнтів та труднощі у залученні нових. По-друге, фірма порушує вимоги закону, що може призвести до відкликання ліцензії, судових витрат, додаткової шкоди для іміджу.

Метою роботи є вивчення захисту від внутрішніх загроз на підприємствах зв'язку.

Завданнями роботи є:

Розгляд найгучніших інсайдерських інцидентів у сфері телекомунікацій;

Аналіз внутрішніх порушників;

Вивчення законів у сфері захисту від внутрішніх загроз: правове та нормативне регулювання та сертифікація за міжнародними стандартами;

Вивчення статистичних досліджень;

Розгляд методів запобігання внутрішнім витокам.

Робота складається із п'яти розділів.

У першому розділі розглядаються найгучніші інсайдерські інциденти в галузі телекомунікацій, у другому розділі розглядаються внутрішні порушники, у третій главі аналізуються законодавча база в галузі захисту від внутрішніх загроз, у четвертому розділі розглядаються статистичні дослідження, у п'ятому розділі наводяться методи запобігання внутрішнім витокам.

У висновку містяться висновки щодо проведеного дослідження.

1. Найгучніші інсайдерські інциденти в

галузі телекомунікацій

Реальні інциденти є наочною ілюстрацією всієї серйозності загрози від інсайдерів. Нехтування цією небезпекою у 2006 р. призвело до великого скандалу в США. Журналісти за $90 купили список вхідних та вихідних викликів колишнього кандидата в президенти США, генерала Уеслі Кларка, та американська громадськість із подивом виявила, що телефонні записи, по-перше, взагалі не захищені законом, а по-друге, дуже погано захищені операторами мобільної. зв'язку.

У січні 2007р. інформаційні агентства повідомили про один «неочевидний» витік. В Інтернеті з'явилася база даних користувачів мобільного зв'язку від «Корбіна телеком»: прізвища, номери телефонів, гарантійні внески майже 40 тис. абонентів, у тому числі кілька топ-менеджерів компанії. Коментарі «Корбіни» певною мірою заспокоїли клієнтів. Найімовірніше, під виглядом нової бази, пропонувалася інформація 4-річної давності. Тоді програміст-інсайдер справді виклав у вільний доступ відомості про абонентів компанії, і за цей час інформація майже повністю втратила свою актуальність.

До десятки найгучніших інсайдерських інцидентів увійшла крадіжка клієнтської бази японського стільникового оператора KDDI. Під загрозою розкриття інформації про значний витік даних інсайдери вимагали $90 тис. у японської корпорації KDDI - другого за величиною оператора стільникового зв'язку в країні. Щоб продемонструвати обґрунтованість своїх погроз, у травні 2006 р. шантажисти пред'явили представникам KDDI компакт-диски та USB-флешки з приватними даними, підкинувши їх на прохідну. Проте менеджмент компанії проігнорував вимоги злочинців та звернувся до правоохоронних органів. Протягом двох тижнів поліцейські контролювали переговори шантажистів та KDDI, а потім заарештували підозрюваних. Розслідування показало, що до рук шантажистів справді потрапила база приватних відомостей про 4 млн. клієнтів KDDI. Кожен запис бази містив ім'я, стать, дату народження, телефони, поштові адреси кожного клієнта. Всі ці дані ідеально підходять для крадіжки особистості. Топ-менеджмент упевнений, що один із службовців спеціально скопіював відомості та виніс їх за межі компанії.

Загалом понад 200 працівників мали доступ до вкрадених даних.

Не менш гучний інцидент стався ближче до Росії: витік бази даних білоруського оператора стільникового Velcom. Журналісти придбали текстовий файл з інформацією про номери телефонів та ПІБ 2 млн. його абонентів. При цьому преса зазначає, що бази даних Velcom регулярно стають надбанням громадськості: з 2002 р. вийшло щонайменше шість варіантів, причому щоразу інформація доповнювалася. Тим часом бази даних МТС у білоруському Інтернеті, як і раніше, відсутні. Зіткнувшись із хвилею критики, Velcom заявила, що білоруські закони не захищають персональні дані громадян, а отже, жодних юридичних претензій до Velcom бути не може. Оператор звинуватив у витоку банк, якому було передано базу даних клієнтів «для можливості перевірки працівниками [банку] правильності зазначених реквізитів під час оплати послуг зв'язку». Після цього Velcom «розглядає можливість подання позову про захист ділової репутації». До чого приведе розгляд, покаже час, але поки інсайдери занадто часто уникають відповідальності.

Жовтень 2006 р. Інсайдери з індійського телекому AcmeTelePower вкрали результати інноваційних розробок та передали їх фірмі-конкуренту LamdaPrivateLimited. За оцінками Ernst & Young, прямі фінансові збитки Acme склали $116 млн. Цікаво, що інтелектуальна власність «вибігла» звичайнісіньким способом – електронною поштою. Після цього компанія AcmeTelePower збирається взагалі перенести свій бізнес із Індії до Австралії.

2. внутрішні порушники

Дуже багато організацій проводили дослідження у сфері внутрішніх витоків. Найбільші та відомі - дослідження Uncertainty of Data Breach Detection, проведеного Ponemon Institute; Дослідження західних аналітиків: CSI/FBIComputerCrimeandSecuritySurvey. Таблиця 1 ілюструє одне з таких досліджень.

Табл. 1. Найнебезпечніші загрози ІБ щодо сукупних збитків у доларах

Загрози	Збитки (у доларах)
Віруси	$ 15 691 460
Неавторизований доступ	$ 10 617 000
Крадіжка ноутбуків	$ 6 642 560
Витік інформації	$ 6 034 000
Відмова в обслуговуванні	$ 2 992 010
Фінансове шахрайство	$ 2 556 900
Зловживання мережею чи поштовими інсайдерами	$ 1 849 810
Телеком-шахрайство	$ 1 262 410
Зомбі-мережі в організації	$ 923 700
Злам системи ззовні	$ 758 000
Фішинг (від імені організації)	$ 647 510
Зловживання бездротовою мережею	$ 469 010
Зловживання інтернет-пейджерами інсайдерами	$ 291 510
Зловживання публічними веб-додатками	$ 269 500
Саботаж даних та мереж	$ 260 00

Можна додати лише, що в коментарях щодо обсягу шкоди аналітики FBI та Інституту комп'ютерної безпеки скептично ставляться до того, що респонденти змогли більш-менш точно визначити обсяг збитків у зв'язку з витоком персональних даних або комерційних секретів. Такі інциденти мають багато довгострокових негативних наслідків. Наприклад, погіршення громадської думки, зниження репутації та скорочення клієнтської бази. Все це відбувається поступово і займає тижні та місяці. А для виявлення збитків у вигляді недоотриманого внаслідок витоку прибутку потрібно щонайменше рік. Отже, внутрішня структура фінансових втрат через загрози ІБ не піддається точному визначенню.

Загалом захист інформації в організаціях включає :

· Сукупність комп'ютерів, пов'язаних між собою в мережу;

· канали зв'язку, реалізовані довільними каналами передачі, якими фізично реалізується мережу логічних зв'язків;

· обмін конфіденційною інформацією всередині мережі у суворій відповідності до допустимих логічних зв'язків

· Інтегрований багаторівневий захист від несанкціонованого доступу та зовнішнього впливу

· Жорстке централізоване завдання структури логічних зв'язків та розмежування доступу всередині мережі

· Незалежність логічної структури мережі від типів каналів передачі.

Більшість компаній вже давно збудували захист від зовнішніх загроз, і тепер їм потрібно захистити тили. Серед внутрішніх загроз можна виділити кілька найпоширеніших способів заподіяння шкоди:

· Збереження або обробка конфіденційної інформації в системі, не призначеної для цього;

· Спроби обійти або зламати систему безпеки або аудиту без авторизації (крім випадків тестування системи безпеки або подібного дослідження);

· Інші порушення правил та процедур внутрішньої безпеки мережі.

Існує кілька шляхів витоку конфіденційної інформації:

o поштовий сервер (електронна пошта);

o веб-сервер (відкриті поштові системи);

o принтер (друк документів);

o FDD, CD, USB drive (копіювання на носії).

Перш ніж переходити до аналітичних викладок, необхідно відповісти на запитання, що ж називається внутрішньою загрозою. Важливість цього визначення посилюється ще й тим, що саботаж – лише частина внутрішніх загроз, слід розрізняти саботажників та, наприклад, інсайдерів, які «зливають» конфіденційну інформацію конкурентам.

Корпоративний саботаж - це шкідницькі по відношенню до компанії дії, вчинені інсайдерами внаслідок ураженого самолюбства, бажання помститися, люті та будь-яких інших емоційних причин. Зауважимо, що під ємним терміном «інсайдер» розуміються колишні та нинішні співробітники підприємства, а також службовці-контрактники.

Корпоративні диверсії завжди відбуваються з емоційних, часом нераціональних спонукань. Саботажник ніколи не керується бажанням заробити, не переслідує фінансової вигоди. Цим, власне, саботаж і відрізняється від інших загроз інсайдерів.

Дослідження Секретної служби США встановило, що у 98% випадків диверсантом є мужчина.Однако ці мотиви є наслідки більш ранніх подій, які вивели службовця з рівноваги (Табл. 2). За даними аналітиків, у більшості випадків саботажу передує неприємний інцидент на роботі чи серія таких інцидентів.

Табл. 2 Події, що передують саботажу

Джерело РЄ RT

Багато саботажників на момент здійснення диверсії є вже колишніми співробітниками компанії-жертви, які зберегли доступ до її інформаційних ресурсів з якихось причин (ймовірно, помилки адміністратора). Зауважимо, що це майже половина всіх випадків.

Як показало дослідження CERT, практично всі корпоративні диверсанти є фахівцями, які так чи інакше пов'язані з інформаційними технологіями.

Табл. 3 Портрет типового саботажника

Джерело РЄ RT

Таким чином, з найдостовірніших рис саботажника можна виділити лише дві: це чоловік, співробітник технічного департаменту. Дев'ять із десяти диверсій здійснюються людьми, які так чи інакше пов'язані з інформаційними технологіями. На думку експертів компанії InfoWatch, розробника систем захисту конфіденційної інформації від інсайдерів, причина такої професійної приналежності полягає у психологічних особливостях цих службовців. Докладніше розібратися в проблемі дозволять два приклади з життя, що найяскравіше ілюструють типові риси характеру IT-професіоналів.

«Я працював у середній за величиною компанії, яка займається розробкою програмного забезпечення. При доступі до основних серверів я мав привілеї адміністратора. Тільки щоб розім'яти свій розум, я обмірковував, як можна використовувати цей доступ зловмисно, і розробив наступний план. По-перше, зламати систему резервного копіювання... По-друге, почекати рік чи довше. По-третє, стерти всю інформацію на серверах, включаючи зламана програмне забезпечення для шифрування/дешифрування резервних даних. Таким чином, у підприємства залишаться лише зашифровані резервні копії (без ключа). По-четверте, запропонувати компанії купити ключі, які вдалося здобути ще на першому кроці. Якщо фірма відмовиться, втратить роки своєї роботи. Це, звичайно, лише гіпотетичний план. Я не намагався втілити його в життя, тому не знаю, спрацював би він чи ні…», - Філіес Купіо (Filias Cupio). «Більшість фахівців з інформаційних технологій, яких я знаю, навіть хлопці-початківці, відразу ж при вступі на посаду насамперед встановлюють програму прихованого управління (rootkit) в корпоративну систему. Це рефлекс. Хлопці не хочуть нікому нашкодити і не будують шкідливих планів, їм просто потрібний надійний доступ до системи, щоб можна було спокійно працювати з дому чи коледжу», - Бен.

Глибоке психологічне підґрунтя акту саботажу часто призводить до того, що розсерджений службовець загрожує начальству чи товаришам по службі. Іноді він навіть ділиться своїми думками з кимось із колег. Іншими словами, інформація про підготовку диверсії є не тільки у саботажника. Аналітики підрахували, що в 31% випадків відомостями про плани диверсанта мають інші люди. З них 64% – колеги, 21% – друзі, 14% – члени сім'ї, а ще 14% – спільники.

У 47% випадків диверсанти здійснюють підготовчі дії (наприклад, крадуть резервні копії конфіденційних даних). У 27% - конструюють та перевіряють механізм атаки (готують логічну бомбу в корпоративній мережі, додаткові приховані входи до системи тощо). При цьому в 37% випадків активність співробітників можна помітити: із цієї кількості 67% підготовчих дій помітні в режимі online, 11% – offline, 22% – обох одразу.

Слід також врахувати, що переважна більшість атак здійснюється саботажниками у неробочий час та за допомогою віддаленого доступу до корпоративної мережі.

3. Закони у сфері захисту від внутрішніх загроз

Правове та нормативне регулювання

Специфіка сектора телекомунікацій (проти іншими галузями) проявляється у питаннях нормативного регулювання. По-перше, компанії цієї галузі часто орієнтовані на надання послуг фізичним особам, тому акумулюють у своїй корпоративній мережі величезні обсяги персональних даних абонентів. Звідси пильна увага керівництва департаментів ІТ та ІБ до ФЗ «Про персональні дані», що висуває цілу низку вимог щодо безпеки приватних відомостей громадян. . По-друге, телеком недавно обзавівся власним стандартом під назвою «Базовий рівень інформаційної безпеки операторів зв'язку». Він є мінімальним набором рекомендацій, реалізація яких має гарантувати певний рівень ІБ комунікаційних послуг, дозволяючи забезпечити баланс інтересів операторів, користувачів та держави. Розробка цього нормативу обумовлена ​​розвитком телекомунікаційної галузі: оператори зв'язку змушені об'єднувати свої мережі, щоб надавати необхідний набір послуг, проте самі оператори не знають, з ким вони мають справу і кому вони можуть довіряти, щоб уникнути загроз ІБ. Деякі положення цього документа безпосередньо стосуються внутрішніх ризиків ІБ та проблем збереження персональних даних. Наприклад, оператору рекомендується «забезпечувати конфіденційність переданої та/або збереженої інформації систем керування та автоматизованих систем розрахунку за послуги зв'язку (білінгу), відомостей про абонентів (персональних даних фізичних осіб) та надання їм послуг зв'язку, що стали відомими операторам зв'язку в силу виконання договорів про надання послуг зв'язку». Від компаній вимагають вести журнали реєстрації подій ІБ та зберігати їх згідно з термінами позовної давності (у Росії – 3 роки). Більше того, «для фільтрації потоку первинних подій рекомендується застосовувати технічні засоби кореляції подій, які оптимізують записи у журналах інцидентів з інформаційної безпеки». Не можна залишити без уваги пункт, який свідчить: «Оператору, який допустив втрату баз даних абонентів (клієнтів) інших (взаємодіючих) операторів, рекомендується інформувати останніх про це в найкоротші терміни». Таким чином, російський сектор телекомунікацій поступово наближається до передового досвіду – у США та ЄС компанії вже давно несуть відповідальність за витік приватних даних і за законом зобов'язані повідомити постраждалих про витік. Згодом така норма має з'явитися й у Росії.

Щоправда, стверджувати, що нормативне регулювання відіграє визначальну роль у секторі телекомунікацій, поки що не можна. Проте керівництву вже сьогодні слід задуматися про відповідність ІТ та ІБ існуючим стандартам і законам на той випадок, якщо наглядові органи почнуть нарешті діяти. Крім того, великі телекомунікаційні компанії, акції котируються на біржах, зобов'язані задовольняти вимогам фондових ринків. У Росії, наприклад, це необов'язковий Кодекс корпоративної поведінки ФСФР (Федеральна служба з фінансових ринків), у Британії – Об'єднаний кодекс корпоративного управління (напівобов'язковий), а США – закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «Про персональні дані» і «Базовий рівень…» представляють безпосередній інтерес російських телекомунікаційних компаній.

ФЗ «Про зв'язок» (ст. 46, п. 1) покладає на оператора такі функції ІБ, як захист споруд зв'язку, засобів зв'язку та інформації, що передається по них від несанкціонованого доступу; забезпечення безпеки функціонування внутрішньої інфраструктури оператора зв'язку.

Ці вимоги необхідно реалізовувати в системі функціонування мережі зв'язку, контролювати їхню працездатність, супроводжувати експлуатацію, готувати і подавати до вищих інстанцій статистичну звітність. Однак, через відсутність координуючих нормативних положень єдиного підходу до забезпечення безпеки інформації не існує. Немає загального підходу і до складу підрозділів ІТ та ІБ. Це, зазвичай, залежить від обсягу виконуваних оператором завдань, а функціональні обов'язки між ІТ і ІБ розподіляються з попереднього досвіду керівників цих підрозділів.

Сертифікація за міжнародними стандартами

Найвідоміша у світі сертифікація – за вимогами стандарту ISO 27001:2005. У Росії на сьогодні офіційно сертифікували свої системи управління інформаційною безпекою (СУІБ) шість компаній; чотири з них працюють у сфері ІТ. Стандарт ISO/IEC27001:2005, випущений British Standards Institute у 2005 р., заснований на найкращих світових практиках. Він чітко визначає ключові процеси, якими необхідно керувати менеджеру, що відповідає за забезпечення ІБ в організації. Відповідно до цього стандарту, заключний етап підтвердження ефективності системи ІБ – проведення незалежної перевірки акредитованим органом із сертифікації. Позитивний висновок такого органу свідчить про ефективне та коректне забезпечення процесів управління ІБ, про позитивний імідж фірми, а для її керівництва є переконливим аргументом, що в ІВ підприємства використовуються сучасні засоби забезпечення ІБ з максимальним рівнем ефективності. Сам процес перевірки зовнішнім органом із сертифікації підвищує ступінь довіри керівництва до ІБ-підрозділів, будучи показником якості та професіоналізму співробітників цієї служби.

Рішення про впровадження СУІБ в організації має ухвалюватися на найвищому рівні управління, в ідеалі – генеральним директором. Без підтримки керівництва такі проекти нерідко приречені на провал, у разі – на неефективне функціонування за умов неприйняття процесів працівниками фірми.

1) У вимогах до політиків визначено необхідність зафіксованого (затвердженого) внутрішніми процедурами підприємства зв'язку політики безпеки, що ґрунтується на кращих практиках оцінки та управління ризиками, що відповідає потребам ділової діяльності та відповідає національному законодавству. Політики безпеки мають бути опубліковані та доведені до відома персоналу оператора зв'язку та зовнішніх учасників (клієнтів, взаємодіючих операторів, інших зацікавлених осіб).

2) У вимогах до функціональності описані вимоги лише до наявних сертифікованих технічних засобів, описуються процедури журналування подій.

3) У вимогах до взаємодії описано порядок ідентифікації своїх клієнтів та інших операторів. У підрозділі вказується необхідність наявності цілодобової служби реагування на інциденти безпеки (або використання такої служби на правах аутсорсингу).

Існує також вимога забезпечення конфіденційності переданої та/або збереженої інформації для систем управління та автоматизованих систем розрахунку за послуги зв'язку (білінгу), відомостей про абонентів (персональних даних фізичних осіб) та послуг зв'язку, що надаються ним. При цьому воно має дотримуватися і в тому випадку, якщо ця інформація стала відома оператору зв'язку через виконання договорів про надання послуг зв'язку.

4. Статисти чеські дослідження

Однією з наймасштабніших та найцікавіших робіт у галузі захисту від внутрішніх загроз виявилося дослідження 275 телекомунікаційних компаній, проведене аналітичним центром InfoWatch. Згідно з його результатами, інсайдерські ризики переважають зовнішні загрози у співвідношенні 6:4. Проаналізуємо структуру цих ризиків та вплив на них різних факторів: засобів захисту інформації, що використовуються, нормативного регулювання та ін.

Список найнебезпечніших внутрішніх загроз інформаційної безпеки (табл. 4) очолили порушення конфіденційності інформації (85%) та спотворення інформації (64%). Обидві ці погрози можна узагальнити поняттям «відплив інформації».

На третій–четвертій позиціях – шахрайство (49%) та саботаж (41%). Цікаво, що в загальногалузевому дослідженні загроза саботажу майже на 15% випереджає ризик шахрайства. Мабуть, через специфіку надання послуг зв'язку шахрайство визнано однією з найнебезпечніших загроз.

Табл. 4 Найнебезпечніші загрози ІБ

Адміністративна робота з персоналом

На думку експертів компанії InfoWatch, найкращий засіб запобігання корпоративному саботажу - профілактичні заходи. Перш за все компаніям потрібно перевіряти рекомендації та місця попередньої роботи найманих службовців. При такому підході керівництво робить ставку на тих співробітників, які взаємодіють із саботажником в офісі, бачать його нервозну поведінку, отримують погрози на свою адресу тощо. Про подібні інциденти слід відразу сповіщати уповноважених осіб.

Наступний метод передбачає використання принципу мінімальних привілеїв та чіткого поділу функцій. Адміністративних повноважень у звичайних офісних службовців не повинно бути. Також зрозуміло, що співробітник, який відповідає за резервні копії, не повинен мати можливості видалити дані в оригінальному джерелі. До того ж обов'язки цього працівника слід поставити інформування начальства у разі, якщо на резервні копії замахнеться якийсь інший службовець. Взагалі проблема захисту резервних копій може бути вирішена створенням їх дублікатів. У зв'язку з тим, що в компанії, як правило, не так багато по-справжньому критичних даних, створення кількох резервних копій є доцільним.

Надзвичайно важливим є момент ефективного керування паролями та обліковими записами.

Найкращим профілактичним заходом можна назвати моніторинг, причому не лише пасивний (журнали подій), а й активний (захист цінної інформації). У цьому випадку завдати реальної шкоди компанії зможе тільки топ-менеджер, оскільки в інших працівників, які мають доступ до цифрових активів фірми, просто не буде права видаляти цінну інформацію. На ринку вже є спеціалізовані рішення для захисту даних від внутрішніх загроз, у тому числі від корпоративного саботажу.

InfoWatch Enterprise Solution

Рішення InfoWatch Enterprise Solution (IES) поставляється російською компанією InfoWatch, розробником систем захисту від інсайдерів. Воно дозволяє забезпечити всебічний контроль над усіма шляхами витоку конфіденційних відомостей: поштовим каналом та веб-трафіком, комунікаційними ресурсами робочих станцій тощо. ) та паливно-енергетичними компаніями (ГідроОГК, Транснефть).

Архітектуру IES можна розділити на дві частини: монітори, що контролюють мережевий трафік, та монітори, що контролюють операції користувача на рівні робочих станцій. Перші встановлюються в корпоративній мережі як шлюзи і фільтрують електронні повідомлення та веб-трафік, а другі розгортаються на персональних комп'ютерах та ноутбуках та відстежують операції на рівні операційної системи. Мережеві монітори IWM та IMM також можуть бути реалізовані у вигляді апаратного пристрою – InfoWatch Security Appliance. Таким чином, замовнику пропонується на вибір або програмне, або апаратне виконання фільтрів пошти та веб-трафіку. Переваги такого підходу найкраще виявляються при захисті складної обчислювальної мережі, що охоплює територіально розподілені філії.

До моніторів рівня робочої станції відносяться Info-Watch Net Monitor (INM) та InfoWatch Device Monitor (IDM). Модуль INM відстежує операції з файлами (читання, зміна, копіювання, друк та ін.), контролює роботу користувача в Microsoft Office та Adobe Acrobat та ретельно протоколює всі дії з конфіденційними документами.

Вся ця функціональність логічно доповнена можливостями модуля IDM, що контролює звернення до змінних накопичувачів, приводів, портів (COM, LPT, USB, FireWire), бездротових мереж (Wi-Fi, Bluetooth, IrDA) тощо.

Крім того, компоненти INM і IDM можуть працювати на ноутбуках, при цьому адміністратор безпеки має можливість задати спеціальні політики, що діють на період автономної роботи співробітника. Під час наступного підключення до корпоративної мережі монітори відразу повідомлять офіцера безпеки, якщо користувач спробував порушити встановлені правила під час віддаленої роботи.

Усі монітори, що входять до складу IES, здатні блокувати витік у режимі реального часу і відразу сповіщати про інцидент офіцера безпеки. Управління рішенням здійснюється через центральну консоль, що дозволяє налаштовувати корпоративні політики. Також передбачено автоматизоване робоче місце офіцера безпеки, за допомогою якого спеціальний службовець може швидко та адекватно реагувати на інциденти. Таким чином комплексне рішення IES адресує всі аспекти захисту конфіденційної інформації від інсайдерів.

Lumigent Entegra та LogExplorer

Продукти компанії Lumigent Entegra та Log Explorer служать для пасивного захисту інформації, що зберігається у базах даних. Вони дозволяють здійснювати аудит баз даних та відновлювати інформацію в них.

Продукт Entegra стежить за діями користувачів під час роботи з базами даних та здійснює аудит самих баз. Він дозволяє визначити, хто, коли і як переглядав або змінював записи в базі даних, а також змінював структуру або права користувачів для доступу до неї. Варто зауважити, що продукт не в змозі запобігти будь-якому шкідливому впливу, він лише може надіслати інформацію про цю операцію для запису в журнал. Log Explorer веде надлишковий журнал усіх вироблених з базою даних транзакцій, що дозволяє у разі будь-яких проблем провести аналіз та аудит скоєних операцій та відновити втрачені чи змінені записи без використання резервної копії. Однак про відновлення насправді не йдеться, Log Explorer дозволяє здійснювати відкат транзакцій. Таким чином, цей модуль не в змозі запобігти витоку, але може знизити ризик спотворення записів.

PC Acme

Продукт PC Activity Monitor (Acme) дозволяє здійснювати пасивний моніторинг операцій користувача лише на рівні робочої станції. Рішення складається з двох частин: засоби централізованого управління та численні агенти, що впроваджуються у робочі станції по всій організації. За допомогою першої компоненти продукту можна централізовано розподілити агенти по всій корпоративній мережі, а потім керувати ними. Агенти є програмними модулями, які дуже глибоко впроваджуються в Windows 2000 або Windows XP. Розробники повідомляють, що агенти розміщуються в ядрі операційної системи, і користувачеві практично неможливо нелегально видалити їх звідти або відключити. Самі агенти ретельно протоколюють всі дії користувачів: запуск програм, натискання клавіш і т. д. Можна сказати, що журнал подій, що виходить на виході, за ступенем своєї деталізації нагадує результати невсипущого відеоспостереження за екраном комп'ютера. Однак отримуваний журнал, природно, представлений у текстовому вигляді. Центральна консоль управління дозволяє збирати запротоколовані дані на єдиний комп'ютер і аналізувати їх там. Однак на цьому етапі можуть виникнути складнощі. По-перше, офіцеру безпеки доводиться вручну аналізувати сотні тисяч записів про ті чи інші системні події, щоб виділити ті, які є порушенням політики ІТ-безпеки, призвели до витоку тощо. Але навіть якщо офіцеру безпеки вдасться виявити факт витоку, то він все одно вже не зможе її запобігти. Таким чином, PC Acme підходить для пасивного моніторингу всіх дій користувача на рівні робочої станції.

Proofpoint Messaging Security

Апаратне рішення Proofpoint дозволяє забезпечити повний контроль над електронною поштою. За допомогою цього пристрою можна перевірити повідомлення на віруси та спам, запобігти нецільовому використанню поштових ресурсів та витоку конфіденційної інформації в електронних листах. Захист від витоку конфіденційних даних побудовано з урахуванням механізму контентної фільтрації. Якщо в переданому повідомленні знаходиться конфіденційна інформація, то продукт може заблокувати витік. Рішення Proofpoint є класичним прикладом продукту, призначеного захисту одного конкретного каналу передачі – електронної пошти. Такий продукт може бути використаний у тих випадках, коли основною функціональністю є фільтрація спаму та виявлення вірусів, а запобігання витокам - лише приємне доповнення.

Як ловлять інсайдерів

Приклад перемоги над інсайдерами продемонструвала у середині лютого 2006 р. російська компанія LETA IT-company. Завдяки грамотному підходу до внутрішньої ІТ-безпеки фірмі вдалося знешкодити інсайдера, викритого у зловживанні службовим становищем. Як показали результати внутрішнього розслідування, один із менеджерів по роботі з клієнтами намагався проводити контракти на постачання програмного забезпечення не через свого законного роботодавця, а через ним створену підставну компанію. Зловживання було оперативно та завчасно виявлено за допомогою InfoWatch Mail Monitor.

ВИСНОВОК

Таким чином, у США та ЄС компанії вже давно несуть відповідальність за витік приватних даних і за законом зобов'язані повідомити постраждалих про витік. Сподіваємося, що згодом така норма з'явиться й у Росії. Вже можна назвати позитивні тенденції. Число організацій, що захистили себе від витоків, безперервно зростає і ще збільшуватиметься.

Організації починають добре усвідомлювати небезпеку зростання загроз, пов'язаних із власним персоналом, хоча мало вживають необхідних заходів для захисту. До списків своїх пріоритетних завдань не всі включили навчання та підвищення кваліфікації співробітників у сфері ІБ, регулярну оцінку роботи своїх постачальників IT-послуг з метою контролю за дотриманням ними політики ІБ, покладаючись виключно на довіру. Лише деякі розглядають сьогодні ІБ як одне з пріоритетних завдань керівництва.

У міру розвитку бізнес-моделей організацій у напрямку децентралізації деякі функції делегуються зовнішнім підрядникам, отже, все важче контролювати захищеність своєї інформації та оцінювати рівень ризиків. Компанії можуть делегувати виконання роботи, але з делегувати відповідальність за безпеку.

Недостатня увага з боку вищого керівництва, нерегулярне проведення оцінки ризиків, а також брак або повна відсутність інвестицій у роботи зі зниження ризиків, пов'язаних з людським фактором (некоректна поведінка співробітників, помилка, порушення встановлених правил чи стандартів). Основна увага, як і раніше, приділяється лише таким зовнішнім загрозам, як віруси, а серйозність внутрішніх загроз недооцінюється: є готовність купувати технологічні засоби (міжмережові екрани, антивірусний захист тощо), але немає бажання вирішувати кадрові проблеми безпеки.

Багато інцидентів за участю працівників залишаються не виявленими. На думку авторів досліджень, телекомунікаційні компанії можуть і повинні змінити свій погляд на ІБ тільки як на статтю витрат на ведення бізнесу: ставитись до неї як до одного із способів підвищення конкурентоспроможності та збереження вартісного потенціалу компанії.

Низка великих компаній підпадає під вимоги різних нормативних актів, які зобов'язують захищати приватні відомості. Загалом очікується, що попит на рішення щодо захисту від інсайдерів та витоків стабільно зростатиме як мінімум протягом найближчих п'яти років.

Список ВИКОРИСТАНОЇ літератури

1. InfoWatch. Новини. Як непросто визначити витік - Корбіна телеком. 2007 р.

2. Сбіба В.Ю, Курбатов В.А. Посібник із захисту від внутрішніх загроз інформаційної безпеки. СПб: Пітер, 2008.

3. "КНС ІНФОТЕКС" http://home.tula.net/insider/001b.htm.

4. Зенкін, Д. Інсайдери в 75 разів небезпечніші за хакерів. С-News. аналітика. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Частка, А. CitCity. Інсайдери наступають. http://citcity.ru/14874/

6. InfoWatch: Внутрішні загрози: перед загальною небезпекою. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Частка, А. Саботаж у корпоративному середовищі. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Базовий рівень інформаційної безпеки операторів зв'язку. [В Інтернеті] http://www.ccin.ru/treb_baz_u.doc.

9. Частка А. Безпека телекомів. http://citcity.ru/15562

10. Частка А.В. Внутрішні загрози ІБ у телекомунікаціях. 2007 р. http://www.iks-navigator.ru/vision/456848.html.

11. Костров, Д.В. Інформаційна безпека у рекомендаціях, вимогах, стандартах. 2008 р.

http://www.iks-navigator.ru/vision/2390062.html.

12. Вісник зв'язку: Захист від інсайдерів у телекомунікаційних компаніях.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Чужий серед своїх: протокол засідання круглого столу. Вісник зв'язку. - №7. 2006 r. http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Дуже багато організацій проводили дослідження у сфері внутрішніх витоків. Найбільші та відомі - дослідження Uncertainty of Data Breach Detection, проведеного Ponemon Institute; дослідження західних аналітиків: CSI/FBI Computer Crime and Security Survey. Таблиця 1 ілюструє одне з таких досліджень.

Табл. 1. Найнебезпечніші загрози ІБ щодо сукупних збитків у доларах

Загрози	Збитки (у доларах)
Крадіжка ноутбуків
Витік інформації
Відмова в обслуговуванні
Фінансове шахрайство
Зловживання мережею чи поштовими інсайдерами
Телеком-шахрайство
Зомбі-мережі в організації
Злам системи ззовні
Фішинг (від імені організації)
Зловживання бездротовою мережею
Зловживання інтернет-пейджерами інсайдерами
Зловживання публічними веб-додатками
Саботаж даних та мереж

Можна додати лише, що у коментарях щодо обсягу збитків аналітики FBI та Інституту комп'ютерної безпеки скептично ставляться до того, що респонденти змогли більш-менш точно визначити обсяг збитків у зв'язку з витоком персональних даних чи комерційних секретів. Такі інциденти мають багато довгострокових негативних наслідків. Наприклад, погіршення громадської думки, зниження репутації та скорочення клієнтської бази. Все це відбувається поступово і займає тижні та місяці. А для виявлення збитків у вигляді недоотриманого внаслідок витоку прибутку потрібно щонайменше рік. Отже, внутрішня структура фінансових втрат через загрози ІБ не піддається точному визначенню.

Загалом захист інформації в організаціях включає :

· Сукупність комп'ютерів, пов'язаних між собою в мережу;

· канали зв'язку, реалізовані довільними каналами передачі, якими фізично реалізується мережу логічних зв'язків;

· обмін конфіденційною інформацією всередині мережі у суворій відповідності до допустимих логічних зв'язків

· Інтегрований багаторівневий захист від несанкціонованого доступу та зовнішнього впливу

· Жорстке централізоване завдання структури логічних зв'язків та розмежування доступу всередині мережі

· Незалежність логічної структури мережі від типів каналів передачі.

Більшість компаній вже давно збудували захист від зовнішніх загроз, і тепер їм потрібно захистити тили. Серед внутрішніх загроз можна виділити кілька найпоширеніших способів заподіяння шкоди:

· Збереження або обробка конфіденційної інформації в системі, не призначеної для цього;

· Спроби обійти або зламати систему безпеки або аудиту без авторизації (крім випадків тестування системи безпеки або подібного дослідження);

· Інші порушення правил та процедур внутрішньої безпеки мережі.

Існує кілька шляхів витоку конфіденційної інформації:

o поштовий сервер (електронна пошта);

o веб-сервер (відкриті поштові системи);

o принтер (друк документів);

o FDD, CD, USB drive (копіювання на носії).

Перш ніж переходити до аналітичних викладок, необхідно відповісти на запитання, що ж називається внутрішньою загрозою. Важливість цього визначення посилюється ще й тим, що саботаж - лише частина внутрішніх загроз, слід розрізняти саботажників і, наприклад, інсайдерів, які «зливають» конфіденційну інформацію конкурентам.

Корпоративний саботаж - це шкідницькі по відношенню до компанії дії, вчинені інсайдерами внаслідок ураженого самолюбства, бажання помститися, люті та будь-яких інших емоційних причин. Зауважимо, що під ємним терміном «інсайдер» розуміються колишні та нинішні співробітники підприємства, а також службовці-контрактники.

Корпоративні диверсії завжди відбуваються з емоційних, часом нераціональних спонукань. Саботажник ніколи не керується бажанням заробити, не переслідує фінансової вигоди. Цим, власне, саботаж і відрізняється від інших загроз інсайдерів.

Дослідження Секретної служби США встановило, що у 98% випадків диверсантом є чоловік. Однак ці мотиви є наслідками більш ранніх подій, які вивели службовця з рівноваги (Табл. 2). За даними аналітиків, у більшості випадків саботажу передує неприємний інцидент на роботі чи серія таких інцидентів.

Табл. 2 Події, що передують саботажу

Джерело СЕRT

Багато саботажників на момент здійснення диверсії є вже колишніми співробітниками компанії-жертви, які зберегли доступ до її інформаційних ресурсів з якихось причин (ймовірно, помилки адміністратора). Зауважимо, що це майже половина всіх випадків.

Як показало дослідження CERT, практично всі корпоративні диверсанти є фахівцями, які так чи інакше пов'язані з інформаційними технологіями.

Табл. 3 Портрет типового саботажника

Джерело СЕRT

Таким чином, з найдостовірніших рис саботажника можна виділити лише дві: це чоловік, співробітник технічного департаменту. Дев'ять із десяти диверсій здійснюються людьми, які так чи інакше пов'язані з інформаційними технологіями. На думку експертів компанії InfoWatch, розробника систем захисту конфіденційної інформації від інсайдерів, причина такої професійної приналежності полягає у психологічних особливостях цих службовців. Докладніше розібратися в проблемі дозволять два приклади з життя, що найяскравіше ілюструють типові риси характеру IT-професіоналів.

«Я працював у середній за величиною компанії, яка займається розробкою програмного забезпечення. При доступі до основних серверів я мав привілеї адміністратора. Тільки щоб розім'яти свій розум, я обмірковував, як можна використовувати цей доступ зловмисно, і розробив наступний план. По-перше, зламати систему резервного копіювання... По-друге, почекати рік чи довше. По-третє, стерти всю інформацію на серверах, включаючи зламана програмне забезпечення для шифрування/дешифрування резервних даних. Таким чином, у підприємства залишаться лише зашифровані резервні копії (без ключа). По-четверте, запропонувати компанії купити ключі, які вдалося здобути ще на першому кроці. Якщо фірма відмовиться, втратить роки своєї роботи. Це, звичайно, лише гіпотетичний план. Я не намагався втілити його в життя, тому не знаю, спрацював би він чи ні…», - Філіес Купіо (Filias Cupio). «Більшість фахівців з інформаційних технологій, яких я знаю, навіть хлопці-початківці, відразу ж при вступі на посаду насамперед встановлюють програму прихованого управління (rootkit) в корпоративну систему. Це рефлекс. Хлопці не хочуть нікому нашкодити і не будують шкідливих планів, їм просто потрібний надійний доступ до системи, щоб можна було спокійно працювати з дому чи коледжу», - Бен.

Глибоке психологічне підґрунтя акту саботажу часто призводить до того, що розсерджений службовець загрожує начальству чи товаришам по службі. Іноді він навіть ділиться своїми думками з кимось із колег. Іншими словами, інформація про підготовку диверсії є не тільки у саботажника. Аналітики підрахували, що в 31% випадків відомостями про плани диверсанта мають інші люди. З них 64% - колеги, 21% - друзі, 14% - члени сім'ї, а ще 14% - спільники.

У 47% випадків диверсанти здійснюють підготовчі дії (наприклад, крадуть резервні копії конфіденційних даних). У 27% - конструюють та перевіряють механізм атаки (готують логічну бомбу в корпоративній мережі, додаткові приховані входи до системи тощо). При цьому в 37% випадків активність співробітників можна помітити: з цієї кількості 67% підготовчих дій помітні в режимі online, 11% - offline, 22% - обох одночасно.

Слід також врахувати, що переважна більшість атак здійснюється саботажниками у неробочий час та за допомогою віддаленого доступу до корпоративної мережі.