В аутсайдеры из-за инсайдера
Комментарий Шахнозы Салмановой, директора по маркетингу Aladdin
Журнал Sales Bussines провел разбор Case Study по выялению источника утечки информации, предложив участникам обсуждения типичную «производственную» историю одной компании. Основная задача участников - определить кто именно «увёл» информацию за пределы компании и как в дальнейм бороться с такой угрозой. С полной версией материала можно ознакомиться на сайте www.salespro.ru.
Шахноза Саламанова: «59% работников хотя бы однажды похищали закрытую информацию»
Да, руководство «Гендрева» может считать чудом то, что компания смогла дорасти до крупного дистрибьютора, допуская грубейшие ошибки в области информационной безопасности (ИБ) и тем самым подвергая себя риску практически на каждом шагу.
А вот Сергея Ивановича врядли можно назвать параноиком: в вопросе обеспечения защиты корпоративной информации, как правило, содержащей коммерческую тайну и персональные данные сотрудников, «пересмотреть» невозможно. А вот недосмотреть – вполне. Ситуацию с Псенко уже можно считать первым тревожным звонком. Но не для бдительного начальника охраны, а для руководства компании. Дело ведь не в том, что товарищ взял домой корпоративную технику, а в том, какого рода информация хранится и обрабатывается в её системном и других разделах. Речь идёт о базах данных компании? Прекрасно, лучшего способа для утечки этой информации при обработке дома, в «недоверенной» среде (особенно, если имеет место подключение к локальной сети) просто не найти.
В беспечном отношении к защите критически важных для бизнеса и репутации данных, Баллонов упрекнул свое начальство совершенно справедливо. Ответ на вопрос: откуда у посторонних лиц информация о внутренних сделках с объемами поставок и прочими деталями, на самом деле заслуживает пристального внимания. В круг наиболее вероятных подозреваемых смело можно включать, как минимум, следующих лиц.
Системный администратор всея сети. Ни для кого не секрет, что системный администратор в компаниях с незрелым подходом к вопросам защиты корпоративных информационных ресурсов («Гендрево» - типичный пример) нередко наделён абсолютной властью в вопросах доступа к базам данных, внесения модификаций, копирования, пересылки документов. Ему доверяют «починить» ноутбук финансового директора, он же может восстановить забытые пароли или случайно уничтоженные документы. Именно он является наиболее опасным инсайдером и наиболее желанным сообщником для передачи данных «на сторону».
«Очень крупный дистрибьютор» по идее не должен был ограничиваться наличием в штате начальника охраны и системного администратора. Если оставить за кадром идеальную структуру, в которой мирно сосуществуют служба информационной безопасности и ИТ-направление, то уж без совмещения этих функций хотя бы в одном лице «крупному дистрибьютору» сегодня не обойтись. Кроме того, технологически ограничить доступ по сети администратора (равно как и любого другого сотрудника или группы) к любым данным, не предназначенным для профильной деятельности не так сложно. На рынке ИБ немало продуктов, которые реализуют шифрование информации, хранящейся на ПК, на съемных носителях, на серверах, и обеспечивают доступ к ней только авторизованным пользователям.
Секретарь – находка для шпиона. Обида секретарши на отъем таможенных документов шефом – тоже весьма показательна. Работа с персоналом является ничуть не менее важной составляющей разумно организованной системы информационной безопасности, чем технологии защиты конфиденциальных данных и разграничение доступа. Об этом в своей книге писал легендарный хакер Кевин Митник: «…истинно эффективный метод снижения угрозы [информационной безопасности] заключается в использовании технологий защиты, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включает обучение и тренировку сотрудников». Без проведения регулярных работ с персоналом, наличие самых высокотехнологичных систем защиты будет похоже на оснащение стеклянных дверей амбарными замками.
Уволенный сотрудник: «взять то, что плохо лежит». А плохо «лежит» в «Гендреве», судя по всему, конфиденциальная информация. В глаза обиженного сотрудника «конфиденциалка» представляет собой некую «информационную заначку», которой можно будет воспользоваться на новом рабочем месте. Не случайно в начале года аналитики Ponemon Institute опубликовали результаты исследования утечек в корпоративной среде. В ходе исследования выяснилось, что 59% работников компаний хотя бы однажды похищали какую-либо закрытую информацию, касающуюся бизнеса компании. Чаще всего сотрудников интересуют детальные списки клиентов компании, а также различные финансовые данные.
Кругом одни враги, причем из числа штатных, лояльных сотрудников. Это не паранойя, такой вариант тоже вполне реален в случае с «Гендревом». Как известно, компьютер, имеющий выход в Интернет, потенциально представляет серьезную угрозу для целостности и сохранности конфиденциальных данных. Вредоносные программы новой генерации («шпионы», трояны, «черви») работают адресно. Они создаются специально для того, чтобы незаметно для пользователя собирать различную информацию о нем или о компании, в которой он работает, и автоматически отправлять ее своему «хозяину». «Шпионы» проникают в компьютер пользователя при посещении каких-либо Web-ресурсов, при открытии неблагонадежного письма, подключении инфицированной «флэшки» и т.п. Абсолютно незаметно для классических антивирусов, не совершая никаких разрушительных действий в отношении компьютерных систем, они превращают ПК пользователя в часть бот-сети, используемой для рассылки спама или распаределенных атак. Цель может быть и более «скромной». Сегодня разработка программ-шпионов для осуществления заказной атаки в отношении отдельного банка или отдельного должностного лица, имеющего критически важную информацию, приносит их создателям весьма серьезный доход. Предложение подобных услуг можно встретить в Интернете, а их цена уже стала доступна широкому кругу потребителей. Для борьбы с такой Web-«заразой» используются комплексы, включающие проактивные механизмы обнаружения вредоносного кода, многоуровненвую контентную фильтрацию, различные технологии детектирования и блокировки вредоносного кода. Однако, судя по всему, ни о подобных угрозах информационной безопасности, ни о технологиях защиты от них в «Гендреве» даже не предполагали.
Сухой остаток таков: директору Нелькину необходимо всё же прислушаться к доводам «хитроумного разведчика» Баллонова и осознать, что для красноречивого сравнения информационной системы «Гендрева» с протекающей трубой есть все основания. Подойти к вопросу обеспечения ИБ необходимо, исходя из оценки информационных рисков и модели нарушителя, представляющего наибольшую угрозу для компании. Для этих целей лучше пригласить профессионалов в области информационной безопасности и, по итогам аудита, делать соответствующие выводы, применять технические и организационные меры.