“Аська” — цветок на моги­ле рабочего времени. Так порой говорят о программе обмена мгновенными сообщениями ICQ. Но отнюдь не досужая болтовня является главной угрозой со стороны ICQ-подобных клиентов — большие опасения специалистов в области ИБ вызывают бреши, которые подобные программы создают в системе корпоративной безопасности. Об угрозах использования IM-клиентов на рабочем месте и пойдет речь в этой статье.

Рис. 1.

 
Программы обмена мгновенными сообщениями (instant messages, IM) весьма полезны как средства коммуникации в организациях различного калибра, поскольку делают связь более быстрой и дешевой. Но обладая неоспоримыми достоинствами, IM-клиенты несут ряд угроз для корпоративной сети.

Откуда исходят угрозы

Перечень рисков, которые сопровождают использование ICQ, значителен. И их количество все растет. Как сообщает компания Akonix Systems, в августе число угроз через IM-программы даже удвоилось по сравнению с июлем. Так чем же опасна ICQ в корпоративной среде? Прежде всего это банальное нецелевое использование рабочего времени, тем более если доступ к электронной почте ограничен, а развлекательные сайты перекрыты фильтром. По данным американской аналитической компании Global Market Insite (GMI), около 71% работников ежедневно отвлекаются на общение по личным вопросам через интернет-пейджеры. Согласно данным компании InfoWatch и информационного портала SecurityLab.ru, примерно 87,2% офисных работников (см. рис. 1) используют IM-программы. И не только по рабочим вопросам (см. рис. 2). Эксперты говорят, что, регулярно отвлекаясь на мигающее окно “аськи”, сотрудник не может сосредоточиться на работе, быстрее устает.

Увеличивается и угроза со стороны зловредных программных кодов, поскольку люди используют множество разнообразных IM-клиентов. Самые распространенные веб-пейджеры — ICQ, Miranda, QIP. Авторы других подобных программ не всегда уделяют должное внимание безопасности. Чтобы привлечь больше пользователей, акцент делают на удобстве интерфейса и всяческих украшательствах.

Еще одна угроза со стороны IM-программ — это спам. Через веб-пейджеры ежедневно приходит большое количество нежелательных сообщений — реклама, “нигерийские” послания, “письма счастья”, порнорассылка, приглашения поучаствовать в каких-либо финансовых пирамидах и прочий мусор.

Сами по себе получаемые текстовые сообщения не опасны, это не вредоносный код, который автоматически исполнится на компьютере адресата при получении. Надо заставить человека зайти на специально созданную веб-страницу, содержащую модули-вирусы. Либо установить трояна под видом полезного плагина к IM-программе в надежде на то, что пользователь его запустит.

Пара слов о фишинге. Неискушенного пользователя несложно заманить на страницу, в содержании которой спрятан вирус. Многим участникам IM-сетей ежедневно приходит по нескольку сообщений вроде такого: “Приветик! Я выложила свои новые фотки с отдыха. Смотри здесь...”; или: “Проголосуй, поддержи своего любимого артиста. Жми сейчас...”. Конечно, бывалый интернетчик проигнорирует подобные сообщения и ни за что не согласится путешествовать по сомнительным ссылкам. Но масса начинающих или жадных до зрелищ и развлечений пользователей запустит ссылку, даже не дочитав сообщение до конца. Еще опаснее письма с уже зомбированных компьютеров либо с украденных UIN’ов из списка контактов: ведь когда ссылка приходит со знакомого адреса, бдительность притупляется.

Рис. 2.

Но самую большую угрозу создают инсайдеры, которые через IM-клиенты целенаправленно (а порой и непреднамеренно) разглашают конфиденциальную информацию. Согласно недавнему исследованию InfoWatch и SecurityLab.ru, 24,5% офисных служащих признались, что передают по “аське” закрытые сведения. Еще 15,8% работников сомневаются, передают они информацию ограниченного доступа или нет. Получается, что масса работников не может отличить общедоступные данные от закрытых.

В результате примерно половина сотрудников не заботится о сохранности корпоративной тайны. При этом у каждого своя мотивация. Разумеется, зловредных инсайдеров не так уж и много, большая часть людей “сливает” информацию по глупости. Кроме того, беспечные “асечники” не знают о возможных последствиях — протоколы обмена IM-клиентов очень легко перехватить.

Как бороться с угрозами от IM

Запрещать “аську” нецелесообразно и неэффективно. Прежде всего организация сразу лишится коммуникационных преимуществ, связь станет дороже. Перекрывать выход в Интернет IM-клиентам можно для отдельных категорий сотрудников, тем, кому по должностным обязанностям ICQ не нужна. Но и эта мера не всегда бывает эффективной. Ведь существуют различные обходные пути, прокси-серверы, сервис icq2go и пр. С IM-программами надо не бороться, а контролировать их. От администраторов сетей требуется хорошая квалификация, чтобы они могли правильно разграничить доступ к IM-сервисам для различных категорий служащих. ICQ должна работать, но работать эффективно.

Один из самых простых, но вместе с тем эффективных методов — это работа с персоналом. Только лишь регламента недостаточно. Не так много людей внимательно изучают бумаги с нормативами. А если и прочитают, то скоро забудут. Тем не менее определенная политика использования в компании IM-сетей должна быть сформирована. Доводить сущность документа до сотрудников следует и вербально — на совещаниях, собраниях и тренингах. Контроль над выполнением политики можно возложить непосредственно на начальников подразделений.

На Западе убытки организаций от внутренних инцидентов составляют десятки и даже сотни миллионов долларов. Огромные суммы предприятия выплачивают в качестве штрафов надзорным органам, компенсаций клиентам, гонораров адвокатам. Кроме того, стабильно высоким остается ущерб репутации.

Но чтобы остановить злонамеренного инсайдера, требуется электронная система слежения. Существует разнообразное программное обеспечение для перехвата ICQ-трафика. Даже неопытный администратор способен установить программу-снифер и читать сообщения пользователей. Можно выделить специального человека из службы безопасности. Но если в организации более пяти ICQ-пользователей, специалист не справится со своей задачей. Кроме того, такой способ практически исключает возможность блокировать передачу сведений в реальном времени. Поэтому стоит обратить внимание на профессиональные системы защиты от утечек. Они комплексны и закрывают не один тип IM-сетей, а весь спектр потенциальных угроз, включающий электронную почту, веб-навигацию, мобильные носители. В грубом приближении чем крупнее компания, тем выгоднее внедрение комплексных решений. Цена в несколько сот тысяч долларов может оказаться вполне оправданной, ведь потери крупных компаний от утечек информации идут на миллионы. По статистике организации, которые имеют информационные бреши, каждый год страдают от нескольких инцидентов.