В мире не существует ни программной, ни аппаратной технологии, которая смогла бы защитить компанию от атак изнутри. Наилучшей технологией защиты информации от инсайдера является здоровая атмосфера в коллективе.
 Игорь Воронцов: “Ущерб от внутренней атаки во много раз больше, чем даже от структурированной внешней атаки” |
Своими взглядами на этот вопрос делятся Игорь Воронцов (CCNA, CCD), руководитель отдела технической защиты информации компании ProNET (www.pronet.ua), и Владимир Илибман (CCSP, INFOSEC Professional), сотрудник службы защиты информации АТЗТ “Атлас” (www.atlas.kiev.ua).
PCWeek/UE: Как вы оцениваете степень опасности, исходящей от ошибочных и злонамеренных действий инсайдеров?
В. И.: В настоящее время объективной статистической информации о степени опасности внутренних угроз для информационно-вычислительных ресурсов украинских предприятий нет. Основная причина этого кроется в том, что в IT-подразделениях большинства предприятий опасность внутренних угроз либо недооценивается, либо эти угрозы просто некому распознавать в силу отсутствия должной квалификации и опыта. Если все же инцидент происходит, представители организации стараются не выносить сор из избы. В Украине наиболее открытой в этом смысле является банковская сфера. По крайней мере, большинство получивших огласку злонамеренных действий украинских инсайдеров имели место именно в ней.
И. В.: К счастью, в настоящее время доля инсайдерских атак в информационном пространстве Украины все еще невелика. Связано это, как ни странно, с низким уровнем знаний пользователей и все еще невысокой степенью распространения информационных технологий.
Для того чтобы детально разобраться в этом вопросе, необходимо классифицировать как атакуемые объекты, так и атакующих субъектов.
Атакуемые объекты в целом можно разделить на три большие категории:
1. Крупные предприятия и организации. Как правило, они имеют собственный персонал, занимающийся исключительно защитой информации. Здесь автоматизированы многие бизнес-процессы, и потеря, разглашение, ознакомление посторонних с важной или конфиденциальной информацией может привести к существенным финансовым потерям.
2. Средние предприятия. Зачастую роль администратора безопасности выполняют системные администраторы. Автоматизированы некоторые бизнес-процессы, как правило — документооборот и финансовая часть. Тут риски, связанные с нарушением информационной безопасности, все еще велики, но существенных финансовых потерь они повлечь не смогут. Вполне вероятен достаточно длительный восстановительный период после серьезных атак.
 Владимир Илибман: “По мере внедрения в компаниях систем электронного документооборота доля технологических угроз будет возрастать” |
Атакующих можно разделить на 4 категории:
1. Неграмотные пользователи. Не ставят перед собой цели специально атаковать информационную инфраструктуру. Не имеют знаний и мотивации для проведения успешной атаки.
2. Любопытные пользователи. Не имеют достаточных специальных знаний. Не знают или знают недостаточно хорошо информационную инфраструктуру. Мотивация одна — любопытство.
3. Обиженные сотрудники. Как правило, знают многое об организации. Мотивация достаточно серьезная — месть.
4. Шпионы. Специально внедренные в организацию шпионы целенаправленно занимаются сбором информации. Знают достаточно много. Мотив — деньги.
Кроме этого, сами атаки по направленности можно разделить на структурированные и неструктурированные. Структурированные атаки имеют конкретную цель и преследуют определенную выгоду. Неструктурированные атаки цели не имеют и скорее являются результатом неграмотных действий пользователей или администраторов.
Рассматривая данную классификацию как базу для создания матрицы угроз, можно увидеть, что наиболее опасные ситуации возникают при стечении таких обстоятельств: обиженный сотрудник — любое предприятие, шпион — небольшое предприятие, неграмотный пользователь — небольшое предприятие.
Соответственно, наиболее существенные, в смысле ущерба, атаки могут предпринять обиженные сотрудники на всех типах предприятий и организаций. Следующее место занимают любопытные пользователи, запустившие по неосторожности неизвестный файл, и шпионы.
Неграмотные действия пользователей и системных администраторов можно свести к минимуму путем адекватной настройки оборудования и приложений.
Подводя итог вышеизложенному, можно сказать, что доля инсайдерских атак в Украине пока еще не так велика, как в мировой практике, но ущерб от успешной атаки может существенно повлиять на бизнес. Стоит помнить о том, что ущерб от внутренней атаки во много раз больше, чем даже от структурированной внешней атаки.
PCWeek/UE: Каково, по вашему мнению, распределение угроз в “инсайдерской” области между: ошибочными и злонамеренными действиями; технологическими и нетехнологическими (вынос информации, устное разглашение) составляющими проблемы?
И. В.: Наиболее опасными с точки зрения ущерба являются злонамеренные действия. Злонамеренные атаки проводятся аккуратнее и быстрее, чем неструктурированные. Кроме того, очень трудно отследить все векторы, по которым может произойти структурированная атака. Угрозы как таковые относятся к ресурсам или бизнес-процессам и не зависят от того, структурированная эта атака или нет. Вопрос только в ущербе и дальнейшей судьбе информации.
Если атака с применением технических средств не удается, используются методы социального влияния, которые почти всегда эффективнее, чем технические средства. При этом можно считать, что наибольшее число ошибок, которые привели к утечке информации, эксплуатации уязвимости и ощутимому ущербу, относится к неправильному или нецелевому использованию вычислительной техники, съемных носителей, копировальных аппаратов, ресурсов интернет и т.д.
Согласно оценкам российской InfoWatch, по степени потенциальной опасности — как при злонамеренном, так и ошибочном использовании ИТ-ресурсов персоналом компании — первое место занимает электронная почта, за ней следуют мобильные накопители, web-почта и форумы, интернет-пейджеры.
От этого невозможно полностью защититься, но уменьшить риск можно путем создания политики информационной безопасности, правил и инструкций, обучения пользователей. По данным ряда исследовательских компаний, один доллар, вложенный в обучение пользователя, приносит 33 доллара прибыли!
В. И.: В нашей практике наиболее часто встречаются риски, связанные с ошибочными действиями персонала. Хотя количество злонамеренных действий меньше в процентном отношении, по величине нанесенного ущерба (финансового, морального, ущерба репутации) и величине резонанса урон от умышленных действий сравним либо даже превосходит размеры ущерба от случайных ошибок сотрудников.
Способ реализации угроз, технологический либо нетехнологический, часто зависит от преобладающего способа обработки и хранения информации в компании. По мере внедрения в большинстве компаний систем электронного документооборота доля технологических угроз будет возрастать.
PCWeek/UE: Какими вы видите технологиче-ские и организационные средства предотвращения утечки информации?
И. В.: Для тех, кому небезразлична судьба информационной системы, предлагается семь шагов:
1. Осознать необходимость защиты информации.
2. Провести аудит информационной системы.
3. На основании аналитического документа подготовить руководство предприятия к необходимости преобразований.
4. Добиться необходимого финансирования.
5. Создать политику безопасности.
6. Построить систему защиты.
7. Постоянно наблюдать и совершенствовать систему защиты информации.
Следует помнить, что невозможно построить систему защиты, не имея четкого плана. Кроме того, технические средства не могут предотвратить 100% угроз и исключить уязвимости. То, что мы не можем защитить с помощью технических средств, мы должны обезопасить в организационной части системы защиты.
В. И.: Основой организационных мер защиты от утечек являются регулярные инструктажи персонала по вопросам информационной безопасности, назначение ответственных за информационную безопасность. Излишне говорить, что любые организационные меры должны базироваться на принципах действующей политики безопасности компании.
Технологические средства сводятся к пассивному либо к активному мониторингу действий пользователей компьютерной системы. В качестве удачного примера можно привести новый продукт LAN-Console [workstation] от компании ViewPoint Technology Group, который позволяет отслеживать и эффективно противодействовать попыткам пользователей реализовать утечку информации.
PCWeek/UE: Кого и чему, помимо технологий, следует обучать в компании, чтобы избежать критических утечек информации?
И. В.: Обучать надо администраторов системы, чтобы избежать ошибок в конфигурации. Обучать надо администраторов безопасности, чтобы иметь грамотных специалистов, которые могут подсказать администратору системы, где он не прав. Обучать надо пользователей — во избежание ошибочных действий. И помнить, что обычный пользователь забывает то, чему его учили, примерно на 50% за 6—9 месяцев. Соответственно, необходимо планировать регулярные тренинги всех категорий пользователей и администраторов информационной системы.
В. И.: Проблема — в том, что обучение сотрудников технологиям никак не поможет в случае нарушений, возможность совершения которых допускается должностными инструкциями и обязанностями. Более того, глубокое понимание технологий при отсутствии организационного барьера на пути утечек информации лишь поможет потенциальному нарушителю. Поэтому со всеми сотрудниками на регулярной основе должен проводиться инструктаж, который включает ознакомление с:
- основными положениями действующей политики безопасности;
- должностными инструкциями по части обеспечения информационной безопасности;
- классификацией обрабатываемой информации по степени конфиденциальности;
- требованиями к работе с конфиденциальной информацией.
Кроме того, должна быть определена ответственность в случае нарушения доведенных до сведения сотрудника требований.
PCWeek/UE: Приведите, пожалуйста, примеры критических ситуаций из вашей практики.
И. В.: Пример нецелевого использования ресурса, неграмотного пользователя и ошибки администратора.
Позвонил нам сотрудник дружественной компании. Компания небольшая, и по совместительству этот человек работает еще и системным администратором. На их почтовом сервере внезапно закончиялось место на диске. Еще вчера было около 20 гигабайт, а сегодня — нет места. Приехали, разобрались. Оказывается, на почтовом сервере не было установлено ограничение максимального размера письма.
Коммерческий директор, предположив, что любое письмо доходит максимум за 2—3 минуты, решил отослать в 5 часов вечера особо понравившиеся ему фильмы. Полагая, что задержка в передаче 20 файлов по 600—700 мегабайт на почтовый сервер обусловлена проблемами с давно не модернизированной сетью, о чем ему говорили на прошлой неделе, он спокойно отправился домой. А утром администратор обнаружил, что “исчезли” 20 гигабайт дискового пространства. Почта, “как оказалось”, не передается мгновенно, и почтовый спул “съел” весь диск.
Пример социального воздействия на сотрудника для взлома сети.
При проведении аудита сети была поставлена задача провести тест на проникновение извне (penetration test). Все технические методы и средства потерпели неудачу — сеть компании оказалась надежно защищена от вторжений. Приняли решение попробовать метод социальной инженерии. Сотрудник компании-аудитора завел роман с сотрудницей финансовой службы. Письма, сообщения по ICQ, встречи, цветы… По прошествии недели с начала знакомства девушке приходит письмо с открыткой, якобы находящейся в исполняемом файле. Вместе с открыткой девушка получила и программу-троянца.
PCWeek/UE: Как следует влиять на сотрудников компании, чтобы сформировать у них совестливое отношение к вопросам защиты корпоративной информации?
И. В.: Разумная политика руководства в отношении информационной безопасности. Введение политики безопасности, правил, инструкций позволит сотрудникам чувствовать себя увереннее. Если пользователь четко знает, что можно делать и за что он может понести заслуженное наказание, а администратор системы вместе с администратором безопасности установили грамотные привилегии, то все сотрудники просто и без всякого беспокойства выполняют свои обязанности.
В. И.: Ответ на этот вопрос лежит скорее в области поиска путей формирования здорового психологического климата в коллективе, налаженного и предсказуемого механизма стимулирования и наказания сотрудников. К сожалению, в условиях жесткой рыночной конкуренции коллектив с такими характеристиками можно встретить не часто. Хотя именно перечисленные аспекты влияют на выработку и поддержание стабильной лояльности персонала.
К прямым обязанностям кадровой службы работодателя и штатного психолога относится работа по выявлению потенциальных нарушителей из числа претендентов. Как показывает практика, от частоты проводимых тренингов по вопросам информационной безопасности зависит выработка подсознательно внимательного отношения даже у неквалифицированного в IT-вопросах персонала к нестандартному поведению ПО и отдельных сотрудников, выполняющих несвойственные им действия. Благодаря таким тренингам возможна и выработка модели поведения рядовых сотрудников в случае выявления ими экстраординарных ситуаций.
PCWeek/UE: О чем следует помнить при подготовке и реализации мер защиты от “инсайдерских атак”?
И. В.: О соответствии мер и средств защиты — действующему законодательству. Чтобы не возникло проблем ни с сотрудниками, права которых нарушены, ни с компанией, с которой они судятся. К примеру, если используется система мониторинга корпоративной почты, необходимо, чтобы пользователь еще при поступлении на работу подписал соглашение о том, что его почта подлежит периодической перлюстрации.
