Пять мифов об инсайде или в каждом мифе есть доля мифа

Сколько копий было сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Часто компании попросту не осознают все возможные последствия для бизнеса, когда речь заходит об угрозе утечки информации. А многие руководители попросту не знают, кто такие инсайдеры или продолжают верить в собственную мифическую безопасность.

Миф первый: большинство внутренних утечек информации происходят преднамеренно.

Анализируя статистику различных вендоров за последние несколько лет, можно увидеть, что из года в год количество случайных утечек растёт. На сегодняшний день их доля в среднем варьируется в районе 45%, сравнявшись с долей умышленных «сливов». Причин несколько. Это и увеличение количества каналов, по которым теперь передаётся информация, и рост объёмов электронной документации. И конечно же нельзя обойти стороной человеческий фактор. Исследователи на этот счёт солидарны: на сегодняшний день самое слабое звено в системе безопасности компании – её собственные сотрудники. Случалось ли вам отправить сообщение в аське «не в то окно»? А опечататься при написании электронного ящика? Насколько серьёзной подобная проблема может быть для крупной корпорации?

Последний вопрос заинтересовал двух исследователей из Godai Group, которые решились на радикальный эксперимент. Они зарегистрировали 30 доменов «с опечатками» (к примеру не goldbank.com, а golsbank.com – буквы «d» и «s» находятся рядом на клавиатуре, поэтому легко «промахнуться») и развернули на них почтовые сервера. Итог удивил даже самих экспертов – за 6 месяцев на «поддельных» доменах скопилось 20 ГБ писем (120 000 штук), отправленных компаниям из списка Fortune 500. Примерно 1% из этих писем содержат конфиденциальную информацию — логины и пароли сотрудников, информацию по сделкам, внутренним расследованиям и т.д.

Это лишь один из примеров реальной утечки по неосторожности. Часто сотрудники подвергают риску важную для их компании информацию просто ради собственного удобства. Как пример, многие часто выгружают ценные корпоративные данные на облачные сервисы для удобства работы из дома, а некоторые берут «работу на дом».

В конечном итоге, многие сотрудники, нанося вред компании, делают это непреднамеренно. Скорее всего, персонал организации не намеревается делать что-либо незаконное, он просто не знает, что таким образом наносит урон своему работодателю.

Миф второй: Инсайдерами могут быть только сотрудники организации.

Проверенный факт, что сотрудники компании не являются единственным источником внутренней угрозы утечки информации. Промышленный шпионаж никто не отменял. И хотя этот вид деятельности незаконен, некоторых это не останавливает. К тому же некоторые сведения можно добыть вполне законным путём. Пригласив на собеседование сотрудника конкурентов и задавая специальные наводящие вопросы, можно выяснить технические особенности. К примеру «работали ли Вы с системой «Х», «расскажите, по какому направлению Вы получили последний сертификат» и т.д.

Кроме того, организации, как правило, могут работать с длинной цепочкой компаний извне.  В большинстве случаев, они обмениваются информацией используя облачные сервисы организации. В результате возникает путаница кто и куда должен иметь доступ.

Инцидент, например, может возникнуть если у организации нет возможности как-либо отслеживать поведение своего сотрудника при работе с аутсорсерами или в ходе работы в облачных приложениях. Таким образом просто невозможно узнать сохраняет ли организация свою конфиденциальную информацию или нет. Любая организация должна обезопасить себя от такой ситуации.

Миф третий: защита от инсайдеров в виртуализированной облачной среде ничем не отличается от мер защиты систем в среде физической.

С одной стороны виртуализация, возможно, облегчила жизнь системных администраторов для поддержки инфраструктуры IT технологии, но с другой стороны инсайдерам стало проще похитить информацию.

Эксперты по безопасности уверены, что модель безопасности в виртуальной среде должна быть полностью переосмыслена. Традиционная модель — это защита, организованная извне вовнутрь, когда вокруг инфраструктуры выстраивается периметр, и по мере углубления к центру инфраструктуры уровни защиты повышаются. В виртуальной среде серверы, которые являются ядром ИТ-инфраструктуры, становятся более мобильными, в результате возникает высокомобильная среда приложения, безопасность которого необходимо обеспечивать. В виртуальной среде мы не всегда точно знаем, где именно находятся наши дан­ные, на каком физическом сервере; при этом приложения и данные могут дина­мично перемещаться с сервера на сервер, уходить в облако и возвращаться об­ратно.

Инсайдерам проще атаковать виртуализированную среду чем физическую, так как  получив доступ к ее инфраструктуре, они гарантируют себе доступ ко всем системам.

Важно внимательно контролировать распределение прав доступа сотрудников при работе в виртуализированной среде. В большинстве случаев администраторы такого рода систем наделяются полномочиями, достаточными для кражи конфиденциальной информации, изменения конфигурации или удаления нужной информации.

Миф четвертый: Информацию можно защитить при помощи простейших систем защиты информации

Думается, всем известна поговорка про то, где бывает бесплатный сыр. Отчасти она верна и для бесплатного софта, предназначенного для защиты информации. Во-первых, бесплатные решения чаще всего представляют собой небольшую программу, предназначенную для выполнения одной или нескольких функций. То есть о комплексном подходе не может идти и речи. В то же время неизвестно, сколько таких «заплаток» понадобиться найти и установить, чтобы обеспечить должный уровень защиты. Плюс, нет гарантий, что программы не начнут конфликтовать между собой.

Отдельного упоминания стоит гарантия от недекларированных возможностей. Подобный сертификат можно получить, например, от ФСТЭК, пройдя длительную процедуру проверок. По сути этот сертификат подтверждает, что автор программы не оставил в коде «бэкдоров» и прочих лазеек для несанкционированного доступа. Стоит ли говорить, что у бесплатных решений вряд ли найдётся такой документ? Ситуация с «freeware soft» отлично видна на примере приложений для платформы Android. При установке какого-нибудь «дармового» будильника приложение почему-то требует и доступ к SD-карте, и полный доступ к Интернет и чуть ли не root.

Недостаточная степень защищённости или вредоносное ПО помогают злоумышленникам проникать в информационные системы организации.  Они пользуются любыми лазейками в: FTP, корпоративной электронной почте, файлах или протоколах. Достаточно одной щелки в системе защиты, для того что бы вскрыть информационную систему для хорошо организованной команды преступников.

Существует несколько технологических способов надежно защитить информацию от инсайдеров. Например шифрование, превращающее информацию в бесполезный набор символов для инсайдера или использование надежных систем управления контроля доступа, применяющих технологии строгой многофакторной аутентификации.

Миф пятый: Осуществление контроля за служащими всегда снижает риски утечки информации.

Осуществление контроля за работниками организации вряд ли может считаться панацеей от угрозы инсайдеров. Более того, если факт мониторинга скрывался и вдруг стал известен «общественности», эффект может быть негативным. Как минимум, понизится лояльность работников к компании. Кроме того, предупреждён, значит, вооружён. И если инсайдер знает, с какой системой имеет дела, он наверняка найдёт её слабые стороны и придумает, как обойти.

Также важно помнить, что хоть организации и практикуют различные системы для осуществления контроля за своими сотрудниками, однако при некорректной настройке они бесполезны. К примеру, недавний инцидент с сотрудником «Вымпелкома» показал, что несмотря на установленную в компании «Билайн» систему для предотвращения утечек информации, инсайдер «сливал» архивы с SMS-перепиской высокопоставленных московских чиновников в течение нескольких лет.

Для полной уверенности в развенчании этого мифа приведём ещё один пример-рассуждение. Большинство организаций имеют неправильную систему сохранения log файлов, вследствие чего они не могут выявить произошедший инцидент, а когда это происходит, они не могут выявить нарушителя, так как могут быть настроены на отслеживание статистики короткого промежутка времени.

Резюмируя данную статью, очень важно подчеркнуть, что компании должны быть бдительны, когда дело касается защиты критически важной, секретной информации от действий инсайдеров. Критично не только придерживаться вышеуказанных рекомендаций, но и внедрять современные превентивные технологии для снижения риска инсайда.