19.06.2009

В аутсайдеры из-за инсайдера

Людмила Медведева, Sales Bussines<br />
Комментарий Шахнозы Салмановой, директора по маркетингу Aladdin

Журнал Sales Bussines провел разбор Case Study по выялению источника утечки информации, предложив участникам обсуждения типичную «производственную» историю одной компании. Основная задача участников - определить кто именно «увёл» информацию за пределы компании и как в дальнейм бороться с такой угрозой. С полной версией материала можно ознакомиться на сайте www.salespro.ru.


Шахноза Саламанова: «59% работников хотя бы однажды похищали закрытую информацию»

Да, руководство «Гендрева» может считать чудом то, что компания смогла дорасти до крупного дистрибьютора, допуская грубейшие ошибки в области информационной безопасности (ИБ) и тем самым подвергая себя риску практически на каждом шагу.

А вот Сергея Ивановича врядли можно назвать параноиком: в вопросе обеспечения защиты корпоративной информации, как правило, содержащей коммерческую тайну и персональные данные сотрудников, «пересмотреть» невозможно. А вот недосмотреть – вполне. Ситуацию с Псенко уже можно считать первым тревожным звонком. Но не для бдительного начальника охраны, а для руководства компании. Дело ведь не в том, что товарищ взял домой корпоративную технику, а в том, какого рода информация хранится и обрабатывается в её системном и других разделах. Речь идёт о базах данных компании? Прекрасно, лучшего способа для утечки этой информации при обработке дома, в «недоверенной» среде (особенно, если имеет место подключение к локальной сети) просто не найти.

В беспечном отношении к защите критически важных для бизнеса и репутации данных, Баллонов упрекнул свое начальство совершенно справедливо. Ответ на вопрос: откуда у посторонних лиц информация о внутренних сделках с объемами поставок и прочими деталями, на самом деле заслуживает пристального внимания. В круг наиболее вероятных подозреваемых смело можно включать, как минимум, следующих лиц.


Системный администратор всея сети. Ни для кого не секрет, что системный администратор в компаниях с незрелым подходом к вопросам защиты корпоративных информационных ресурсов («Гендрево» - типичный пример) нередко наделён абсолютной властью в вопросах доступа к базам данных, внесения модификаций, копирования, пересылки документов. Ему доверяют «починить» ноутбук финансового директора, он же может восстановить забытые пароли или случайно уничтоженные документы. Именно он является наиболее опасным инсайдером и наиболее желанным сообщником для передачи данных «на сторону».

«Очень крупный дистрибьютор» по идее не должен был ограничиваться наличием в штате начальника охраны и системного администратора. Если оставить за кадром идеальную структуру, в которой мирно сосуществуют служба информационной безопасности и ИТ-направление, то уж без совмещения этих функций хотя бы в одном лице «крупному дистрибьютору» сегодня не обойтись. Кроме того, технологически ограничить доступ по сети администратора (равно как и любого другого сотрудника или группы) к любым данным, не предназначенным для профильной деятельности не так сложно. На рынке ИБ немало продуктов, которые реализуют шифрование информации, хранящейся на ПК, на съемных носителях, на серверах, и обеспечивают доступ к ней только авторизованным пользователям.


Секретарь – находка для шпиона. Обида секретарши на отъем таможенных документов шефом – тоже весьма показательна. Работа с персоналом является ничуть не менее важной составляющей разумно организованной системы информационной безопасности, чем технологии защиты конфиденциальных данных и разграничение доступа. Об этом в своей книге писал легендарный хакер Кевин Митник: «…истинно эффективный метод снижения угрозы [информационной безопасности] заключается в использовании технологий защиты, комбинированных с политикой безопасности, которая устанавливает правила поведения служащих, а также включает обучение и тренировку сотрудников». Без проведения регулярных работ с персоналом, наличие самых высокотехнологичных систем защиты будет похоже на оснащение стеклянных дверей амбарными замками.


Уволенный сотрудник: «взять то, что плохо лежит». А плохо «лежит» в «Гендреве», судя по всему, конфиденциальная информация. В глаза обиженного сотрудника «конфиденциалка» представляет собой некую «информационную заначку», которой можно будет воспользоваться на новом рабочем месте. Не случайно в начале года аналитики Ponemon Institute опубликовали результаты исследования утечек в корпоративной среде. В ходе исследования выяснилось, что 59% работников компаний хотя бы однажды похищали какую-либо закрытую информацию, касающуюся бизнеса компании. Чаще всего сотрудников интересуют детальные списки клиентов компании, а также различные финансовые данные.


Кругом одни враги, причем из числа штатных, лояльных сотрудников. Это не паранойя, такой вариант тоже вполне реален в случае с «Гендревом». Как известно, компьютер, имеющий выход в Интернет, потенциально представляет серьезную угрозу для целостности и сохранности конфиденциальных данных. Вредоносные программы новой генерации («шпионы», трояны, «черви») работают адресно. Они создаются специально для того, чтобы незаметно для пользователя собирать различную информацию о нем или о компании, в которой он работает, и автоматически отправлять ее своему «хозяину». «Шпионы» проникают в компьютер пользователя при посещении каких-либо Web-ресурсов, при открытии неблагонадежного письма, подключении инфицированной «флэшки» и т.п. Абсолютно незаметно для классических антивирусов, не совершая никаких разрушительных действий в отношении компьютерных систем, они превращают ПК пользователя в часть бот-сети, используемой для рассылки спама или распаределенных атак. Цель может быть и более «скромной». Сегодня разработка программ-шпионов для осуществления заказной атаки в отношении отдельного банка или отдельного должностного лица, имеющего критически важную информацию, приносит их создателям весьма серьезный доход. Предложение подобных услуг можно встретить в Интернете, а их цена уже стала доступна широкому кругу потребителей. Для борьбы с такой Web-«заразой» используются комплексы, включающие проактивные механизмы обнаружения вредоносного кода, многоуровненвую контентную фильтрацию, различные технологии детектирования и блокировки вредоносного кода. Однако, судя по всему, ни о подобных угрозах информационной безопасности, ни о технологиях защиты от них в «Гендреве» даже не предполагали.


Сухой остаток таков: директору Нелькину необходимо всё же прислушаться к доводам «хитроумного разведчика» Баллонова и осознать, что для красноречивого сравнения информационной системы «Гендрева» с протекающей трубой есть все основания. Подойти к вопросу обеспечения ИБ необходимо, исходя из оценки информационных рисков и модели нарушителя, представляющего наибольшую угрозу для компании. Для этих целей лучше пригласить профессионалов в области информационной безопасности и, по итогам аудита, делать соответствующие выводы, применять технические и организационные меры.