21.12.2006

Инсайдер: с такими "друзьями" враги не нужны

Экспресс Электроника, №12/2006, Ника Комарова

Если бы сегодня заинтересованной стороне предложили хорошие деньги за конфиденциальные данные какой-либо компании, ее представители наверняка не стали бы тратить много сил на взлом серверов или атаку закрытого раздела сайта, а постарались найти себе сообщника внутри этой компа-нии - легального сотрудника с законными правами доступа. И окажись он не слишком преданным корпоративным ценностям, жадным до денег или, скажем, обиженным на свое руководство, цель злоумышленников в 90% случа-ев была бы достигнута. Почему? Потому что кто как не инсайдер знает все слабые места в системе защиты дан-ных компании, кто как не он имеет возможность скопировать нужные данные, причем вполне правомерно.

Российский бизнес не первый год сталкивается с утечкой так называемых чувствитель-ных данных. Однако 2005-й стал, пожалуй, рекордсменом по их числу. В феврале вспышкой скандалов сопровождалось предложение появившейся на «черных прилавках» базы данных Центробанка РФ с платежами за апрель 2003 — сен-тябрь 2004 года. В апреле вновь появляется база ЦБ, но уже за IV квартал 2004-го. Всего за $100 ее можно было приоб-рести на трех DVD-дисках. Затем пострадал представитель коммерческого сектора — в октябре за $12 тыс. с сайта www.zahvat.ru предлагали купить БД самого крупного регистратора РФ — компании «НИКойл», которая ведет реестры акционеров «Лукойла», МТС, «Скайлинка» и еще нескольких сотен корпораций национального масштаба. Помимо того предлагалась база Министерства по налогам и сборам с доходами москвичей за 2004 год. Из более свежих примеров — в августе 2006го в Интернете появились предложения купить базу данных российских пользователей потребительских кредитов. Эксперты сочли это либо беспрецедентной по своему масштабу утечкой конфиденциальной информации (речь шла более чем о 700 тыс. записей), либо фальсификацией, направленной на дискредитацию банков. Довершим перечисление примеров случаем, произошедшим в сентябре, когда в продаже появилась очередная база данных о по-требительских кредитах. Пиратский диск «Банковский черный список физлиц: Москва и Московская область» стоил 900 рублей и содержал данные о неблагонадежных заемщиках банка «Первое ОВК», взявших кредиты в 2000–2003 годах. Диск включал данные примерно о 3 тысячах клиентов «Первого ОВК», которые просрочили выплаты по кредитам, полу-ченным от организации. На диске также записаны номера сотовых и домашних телефонов неблагонадежных заемщиков с информацией о паспортных данных некоторых из них и указанием причины и даты занесения в черный список. В краже данных эксперты подозревали бывшую службу безопасности «Первого ОВК», реорганизованную после слияния с Рос-банком.

Заметьте, это лишь малый процент инцидентов, связанных с утечкой чувствительных данных, поскольку в большинстве своем организации, особенно коммерческие, не «выносят сор из избы», предпочитая избегать огласки. Это и понятно, ведь подобного рода антиреклама повлечет за собой недоверие к компании, а, следо-вательно — отток клиентов.

Огласите весь список

Итак, кто такие инсайдеры? Многие компании, особенно те, что занимаются аудитом в области информационной безопасности (ИБ), часто именуют одну из своих услуг «Составление психологиче-ского портрета инсайдера». Мы не будем претендовать на такие тонкости и попробуем отойти от традиционных класси-фикаций. Вот наш вариант:

• «Павлик Морозов» — легальный сотрудник компании, действующий целенаправленно и способный привлекать значительные технические ресурсы (например, вычислительные мощности) для получения дос-тупа к интересующей его информации. При этом он использует и социальную инженерию, и физический доступ к серве-ру и дискам с конфиденциальными данными, и другие возможности, 90% из которых полностью легальны и необходимы для его штатной деятельности. Бороться с «павликами морозовыми» нужно с помощью не только персонализированного доступа и аудита его действий в сети, но и контроля над исходящими информационными потоками.

• «Буратино» — как известно, «буратину» отличает любопытство и стремление сунуть нос не в свое дело. Данный тип инсайдера характеризуется тем, что даже если по роду своей деятельности он не дол-жен иметь доступа к конфиденциальным данным, он все равно, часто из любопытства, желает с ними ознакомиться. Скорее всего, такой человек не станет применять никаких целенаправленных действий по получению доступа к конфи-денциальным данным, ноне преминет воспользоваться ошибками администрирования, например неожиданной возмож-ностью просмотра по сети содержимого диска с финансовой информацией. Но вот если «буратино» захочет поделиться такими данными с кем-либо еще, тогда это может обернуться гораздо более неприятными последствиями для компа-нии.

Избежать ошибок в администрировании сложно, но технологически их можно свести к минимуму благодаря использованию комплексных решений, сочетающих шифрование данных с контролем сетевого доступа. Например, Aladdin, в том числе и для этой цели предлагает использование программно-аппаратного комплекса Secret Disk Server NG на серверах, хранящих и обрабатывающих конфиденциальную информацию. Продукты, выпол-няющие схожие функции, но имеющие свою специфику, есть у SecurIT, ЛАН. Крипто, «Физтехсофт» и т. д.

• «Мальчиш-плохиш» — легальный сотрудник, обладающий правом доступа к самому серверу, но недостаточными полномочиями для доступа к конфиденциальной информации. Такой человек может попы-таться повысить недостаточный для своих целей, несвязанных с работой, уровень полномочий в серверной ОС, скажем, до уровня администратора. После этого «мальчиш-плохиш» скопирует интересующие его файлы (базы данных, храни-лище электронных писем) для их последующего просмотра (вполне возможно, ради интереса или простого удовлетво-рения личных амбиций). Подобные инсайдерские действия были бы невозможны при четком распределении прав досту-па и полномочий, а также аудита действий пользователя в сети.

• «Неуловимый мститель» — это обиженный или увольняемый сотрудник, который мо-жет воспользоваться периодом времени до отзыва администратором его прав доступа к конфиденциальным данным, для их копирования или изменения с целью хоть как-то «отыграться» за свои обиды. И в случае с обиженным сотрудни-ком, опять же, виновным можно считать администратора, поэтому описанный выше способ защиты применим и в данном случае.

• «Серый кардинал» — этим персонажем в ряде случаев является администратор операционной системы, который по умолчанию имеет самый высокий уровень прав доступа. Системный администратор может обратиться по сети к любому диску сервера с помощью так называемых административных сетевых ресурсов вида \\server\diskname$. Более того, именно системный администратор, скорее всего, может вступить в преступный сго-вор с заинтересованной стороной, находящейся вне организации, но регулярно получающей от своего человека ценную информацию.

Это, пожалуй, наиболее сложный тип инсайдера с точки зрения борьбы с ним. Однако при правильном распределении ролей администратора и офицера безопасности, а также при условии проведения ауди-та действий администратора в системе можно добиться хороших результатов.

Золотые правила

Мы вкратце коснулись возможностей по предотвращению действий инсай-деров, а теперь попробуем подробнее рассмотреть методы противодействия.

Персонификация. Чтобы всегда иметь представление о том, «кто стучится в дверь ко мне», доступ ко всем ресурсам компании, в особенности к содержащим критичные для ее деятельности данные (в част-ности, финансовые и бизнес-планы), должен быть персонифицированным, что позволит существенно снизить риск отка-за пользователей от совершенных ими действий.

Аппаратная аутентификация. Сегодня данный метод приобретает все большее распространение, поскольку позволяет отказаться от ненадежной и потенциально слабой аутентификации с помощью логина и пароля, более того, открывает новые возможности в области безопасности для компаний, дорожащих своей репутацией. Строгая аутентификация предполагает два или более дополнительных фактора, в частности:

• нечто, нам известное — PIN-код;• нечто, имеющееся у нас, — то есть какой-то пред-мет, необходимый для процедуры аутентификации (например, USB-ключ или смарт-карта).

Для строгой аутентификации необходимо наличие физического устройства — торена, который подтверждает личность его владельца, что повышает персональную ответственность сотрудника. В настоящее время на рынке представлено множество таких устройств, основанных на разных технологиях и выполненных в различ-ных форм-факторах. Остановимся на этом аспекте подробнее.

Способность одновременно поддерживать аутентификацию пользователей и при этом генерировать и хранить ключевую информацию и другие секретные данные в защищенной памяти является основным критерием эффективного технического средства защиты компьютеров и данных. Современные электронные устройства на основе технологий смарт-карт архитектурно реализованы на базе защищенного микропроцессора, который отвечает за выполнение криптографических операций в самом токене. Такие устройства обеспечивают более надежную защиту данных, исключая использование закрытых ключей в незащищенной компьютерной среде. При этом предпочтительнее USB-интерфейс, поскольку соответствующие разъемы имеются практически на любом компьютере и такие устройства в отличие от смарт-карт не требуют дополнительного считывателя. Более того, токены, базирующиеся на технологиях смарт-карт, можно дополнить RFID-меткой для радиочастотной идентификации, благодаря чему они могут использо-ваться не только для входа в сеть, но и разграничения доступа в помещения.

В России наиболее популярны электронные ключи eToken от компании Aladdin, ruToken производства «Актив» и iKey — от Rainbow Technologies. Каждый из этих производителей поставляет широкую линейку ключей. Отметим, что выбор заказчика чаще всего определяется спецификой бизнеса, финансовой составляющей и степенью важности ИБ для определенной коммерческой структуры. А потому не будем подробно останавливаться на сравнительном анализе ключей — это тема для отдельной статьи.

Аудит всех действий в сети. В обязательном порядке необходимо проводить ау-дит действий пользователей и администраторов в сети. Однако заметим, что штатная система аудита не имеет доста-точных средств защиты, в связи с чем необходима более мощная независимая система, защищающая корпоративную сеть не только снаружи, но и изнутри.

Для более полного и надежного решения проблемы защиты данных администратор безопасности должен иметь возможность проводить мониторинг действий пользователей, в том числе и обладающих правами администратора — к проверке их сетевой активности следует подходить с особой тщательностью. Заметим, что мониторинг необходим и в качестве профилактики, и для снижения рисков утечки информации.

Шифрование данных. Этот аспект безопасности более всего актуален для тех данных, которые представляют особый интерес с точки зрения инсайдера — собственно база данных, отчетность, финансовые показатели, данные аудиторских проверок и др. Шифрование данных — обязательное условие безопасности для ин-формации, хранящейся на ноутбуках топ-менеджмента. Как известно, за последнее время процент краж мобильных ком-пьютеров, а, следовательно, утечка информации по этому каналу резко возросли. Пожалуй, не будем подробно останав-ливаться на средствах шифрования данных. Отметим лишь, что важными критериями являются: возможность «фоново-го» шифрования, незаметного для пользователя, возможность подключения внешних крипто алгоритмов (о «самопис-ной» защите лучше просто забыть) и реализация посекторного шифрования (благодаря чему в любой момент можно приостановить или даже полностью отменить шифрование при гарантированном сохранении всех данных). Особое вни-мание стоит уделить возможностям резервного копирования и восстановления ключей шифрования в файл и/или из него или в память электронного ключа и/или из нее.

Для защиты данных, хранящихся и обрабатываемых на серверах, предпочтение следу-ет отдать комплексным системам, использующим технологию многопоточного шифрования, что позволяет оптимально использовать имеющиеся на сервере вычислительные мощности, особенно на многопроцессорных серверах.

Постоянная работа с персоналом. Этот последний пункт отнюдь не является таковым по значимости. Многие руководители полагаются на мощную техническую базу, забывая о том, что самое слабое звено в системе защиты — человек. Эффективная система информационной безопасности должна в равной степени сочетать и адекватный технологический потенциал, и перманентную работу с персоналом. В пределах организации можно снизить риски умышленного или случайного несанкционированного доступа путем внедрения политики безопасности. Подобная политика должна описывать поведение сотрудников в сети Интернет, работу с доверенными и не доверенными источни-ками, правила скачивания файлов, заполнения форм (особенно тех, где требуются пароли или реквизиты сотрудников) и др. Не стоит игнорировать и такой простой, но действенный способ, как публичный «разбор полетов». В случае инциден-та или хотя бы регулярно повторяющихся попыток превышения полномочий по скачиванию чувствительной корпоратив-ной информации или каких-либо других нарушений, необходимо прилюдно разбирать такого рода происшествия, а в отдельных случаях — и накладывать санкции.

Хорошей практикой считается и приложение к трудовому договору при поступлении на работу, посвященное информационной безопасности в организации, а также правам и обязанностям с ней связанным. При обновлении такого «кодекса чести» каждый сотрудник вновь обязан подписываться под перечисленными корпора-тивными правилами. Вообще, наиболее дисциплинирующим и практичным выходом для организации работы с персона-лом по соблюдению правил информационной безопасности, является регулярное проведение внутрикорпоративных мероприятий по строго определенным датам. К ним могут относиться тренинги и анализ новых сетевых угроз (например, разбор полученных фишинг-писем, рекомендации по распознаванию фальсифицированных сайтов, способы «обучения» спам-фильтров и т. д.).

«Психологическое оружие» на предпри-ятии

Итак, достойным противником любой внутренней угрозе является эффек-тивная политика информационной безопасности, причем не та, что пылится в шкафу у администратора, а реально рабо-тающий, удобный и понятный для сотрудников с разной степенью квалификации документ. Это особенно важно, напри-мер, для секретаря, который в 90% случаев не будет задумываться о том, что не стоит покидать свое рабочее место в присутствии постороннего, и вполне может оставить свой компьютер с открытыми на нем документами без присмотра. Но если по этому поводу в политике безопасности содержится четкое и однозначное правило, будьте уверены — секре-тарь останется на своем месте или, по крайней мере, заблокирует компьютер.

Сотрудники компаний должны понимать степень ответственности, которую они берут на себя, ставя свою подпись под строкой «с политикой информационной безопасности ознакомлен», и принимать неотвра-тимость того, что нарушитель будет найден. С этой точки зрения использование некоего отчуждаемого носителя, кото-рый не просто соотносится с пользователем, но и который пользователь сам соотносит с собой, принимая как личную вещь, представляется наиболее эффективным. И не только с технологической, но и с психологической точки зрения, что гораздо более важно для предотвращения внутренних угроз. Во-первых, сотрудник воспринимает такое устройство как свою собственность, использовать которую может только он. Во-вторых, ежедневно проходя процедуру аутентификации при доступе в сеть, он отдает себе отчет в том, что с этой минуты все действия, производимые «от имени» этого токена — его действия. В-третьих, в случае нарушений, несанкционированной активности или атаки, произведенной с исполь-зованием этого аппаратного устройства, виновным будет признан именно он — владелец данного токена. Согласитесь, это хорошая мотивация для того, чтобы не превышать свои полномочия и не совершать противоправных действий в сети.

В заключение отметим, что повышение личной ответственности пользователя, возмож-ность выявления виновного и доказательство его причастности к тому или иному неправомерному действию в рамках служебного расследования и есть тот самый психологический барьер на пути совершения неправомерного действия. Осознание этого — важный шаг по снижению, а подчас и полному предотвращению внутренних угроз информационной безопасности. Поэтому если вы задумываетесь о профилактике инсайдерских действий, прежде всего, задумайтесь о том, как добиться ответственного отношения к корпоративным ценностям, основной из которых является информация.