Проблема "человеческого фактора" при защите корпоративной информации
С обеспечением информационной безопасности большинство из нас сталкивалось еще в школе, загораживая тетрадку с решением задачки от одноклассников. Если для соседа цена кражи информации была пятерка в дневнике, а для отличника средством защиты являлся локоть, то в бизнесе порядки совершенно другие — это возможные убытки, благополучие и доброе имя фирмы, жизнь людей и многое другое.
Среди возможных последствий несанкционированного доступа к корпоративной информации можно отметить два главных: Раскрытие или подмена коммерческой информации может привести к серьезным убыткам. Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, котировки акций и прочее.
По данным Бюро юридической статистики (Bureau of Justice Statistics), еще три года назад потери от информационного мошенничества в США превысили все традиционные способы вместе взятые. Аналитическая фирма Aberdeen Group в Бостоне прогнозирует 100% рост в год числа случаев нарушения информационной безопасности. На первом месте среди данных преступлений, по данным Национальной Лиги Потребителей (National Consumers League), находится кража информации о кредитных карточках и счетах клиентов. К сожалению, не убереглась от этих проблем и Россия.
Руководители предприятий и владельцы бизнеса должны постоянно помнить о проблеме информационной безопасности, правильно оценивать риски и применять наиболее эффективные средства защиты.
По данным Гартнер Групп (Gartner Group), информационные угрозы распределяются следующим образом:
Ошибки персонала 55%
Проблемы электропитания, бедствия 20%
Нечестные сотрудники 10%
Обиженные сотрудники 9%
Вирусы 4%
Внешние нападения 2%
Если доли угроз, приходящиеся на обиженных и нечестных сотрудников, объединить с ошибками персонала, то так называемая проблема «человеческого фактора» составит 74% и будет главной. Начальник отдела «К» по борьбе с компьютерными преступлениями и незаконным оборотом радиоэлектронных и специальных технических средств ГУВД Нижегородской области Андрей Топориков в интервью газете «Покровка,7» отметил:
«Наиболее уязвимое звено в системе обеспечения информационной безопасности — человек. Можно затратить на техническую защиту данных большое количество материальных средств, но в случае несоблюдения элементарных правил внутренней безопасности, внутренней дисциплины персонала компании надо быть готовым к тому, что конфиденциальная информация предприятия может быть похищена и использована. Приходится констатировать, что у сотрудников большинства предприятий не укоренилось в мозгах, что утечка информации, которая из-за них происходит, их противоправные действия могут иметь для них самые серьезные последствия».
Классическая схема системы защиты информации, в том числе защита периметра сети и системы разграничения доступа, не предотвращают возможности злонамеренных действий со стороны собственных сотрудников организации. Если у сотрудника есть доступ к сети, то можно в обход защитных механизмов, реализованных в системном и прикладном программном обеспечении, получить доступ к конфиденциальным данным, таким как базы клиентов и состояние их счетов, финансовые показатели и аналитическая отчетность, списки учредителей и т. п. При большом числе пользователей в системе практически невозможно отследить действия злоумышленника и персонализировать ответственность за эти действия; ряд сотрудников может работать от имени одного и того же пользователя. Подобное обстоятельство, а самое главное, уверенность в безнаказанности за совершенные действия побуждает человека к совершению преступления.
Недавно компании Oracle и Aladdin продемонстрировали рынку решение по обеспечению безопасности данных с использованием смарт-карт технологий.
В корпоративных информационных системах, использующих систему управления базами данных (СУБД) Oracle, существенно повышена безопасность за счет использования на клиентских станциях аппаратных средств усиленной аутентификации в виде USB-ключей или смарт-карт eToken. еТокеn — персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. eToken выпускается в форм-факторах USB-ключа или смарт-карты, имеет сертификаты совместимости с продуктами ведущих мировых производителей — Cisco Systems, Check Point, Computer Associates, Entrust, Microsoft, IBM, RSA, SAP AG.
Компания Aladdin, используя заложенные в СУБД Oracle возможности защиты информации, разработала программное обеспечение для рабочих станций, которое позволяет использовать eToken для аутентификации пользователя, шифрования передаваемой по сети информации, хранения сертификатов пользователей и подробного аудита действий всех работающих в системе.
При аутентификации пользователь решает две задачи:
- сообщает, что это он, подсоединяя eToken к компьютеру;
- доказывает, что это он, вводя PIN-код.
Только после этого компьютер готов к работе, а пользователь получает доступ к строго определенным разделам информации. Конфиденциальность передаваемой по сети информации обеспечивается криптографическими алгоритмами протокола SSL (Secure Sockets Layer).
При такой организации действий очень трудно решиться украсть информацию из системы, поскольку в ней невозможно работать под чужим именем, и все действия пользователя персонализируются и протоколируются (исключен фактор безнаказанности).
Отличительной особенностью предлагаемого решения является совместимость с любым программным обеспечением, используемым пользователем.
Как известно, в быту человек пытается найти любому предмету несколько применений. Так и в этом случае, пластиковую карту со встроенным чипом для проведения двухфакторной аутентификации пользователей можно использовать еще и для физического доступа на территорию компании, приклеив фотографию, и для доступа в помещение, нанеся на нее радиометку (RFID). Примеры этому тоже есть на рынке.
Единая карта «Три в одном» для:
- визуальной идентификации;
- контроля и управления доступом (проксимити-карта);
- аутентификации при доступе к информационным ресурсам (смарт-карта).
Таким образом, сотрудник получает доступ на территорию компании, в разрешенные для посещения данным сотрудником здания и помещения, а также доступ к необходимым для работы разделам информации. Обратная цепочка аналогичная. Сотрудник не может выйти из комнаты, не вынув карту из считывателя компьютера. Одновременно с этим компьютер блокируется и становится недоступным соседу. При этом очень важным обстоятельством является возможность подробного аудита всех действий сотрудника за любой период времени.