RSS
Сотрудники - самое слабое место в информационной безопасности фирмы
Сложные и дорогие системы безопасности оказываются бесполезными из-за пресловутого человеческого фактора. Как защититься от своих же собственных сотрудников? Какие способы использовать?
Несколько реальных случаев.
Директор компании жалуется на хакеров, которые постоянно воруют коммерческую информацию из корпоративной компьютерной сети, что приводит к убыткам.
Анализ состояния корпоративной компьютерной сети показал отсутствие реальных атак на фирму. Дальнейший анализ общей системы безопасности фирмы позволил найти "хакера" - системный администратор, он же курьер, он же племянник директора, за небольшое вознаграждение копировал и передавал конкурентам интересующую их информацию.
От организации отделилась группа сотрудников, создала новую фирму в аналогичной сфере деятельности, и заказчики, в том числе и вновь появившиеся, стали постоянно уходить к конкуренту.
Анализ состояния информационной безопасности фирмы показал, что отсутствие контроля количества печатаемых на принтере накладных позволило кладовщику за вознаграждение передавать копии документов с реквизитами заказчиков конкурентам.
В фирму поступила информация из правоохранительных органов об осуществлении ряда незаконных платежей с использованием внешнего IP-адреса фирмы. Подобная ситуация могла привести к изъятию серверов и приостановке бизнес-процесса.
Однако грамотная настройка оборудования и программного обеспечения позволила сделать быстрый и документированный анализ системных журналов и показать отсутствие незаконных действий со стороны сотрудников фирмы.
Представленные примеры показывают важность информационного обеспечения фирмы и необходимость его защиты.
Нужно понять, что безопасность фирмы, ее экономическая и информационная безопасность не красивые словосочетания, а требования бизнеса, без которых успешная экономическая деятельность невозможна.
Известно, что информация представляет собой весьма ценный продукт и, естественно, нуждается в определенной защите. Защита информации обеспечивает соблюдение:
- конфиденциальности, т.е. защиту от несанкционированного доступа;
- целостности, т.е. защиту от несанкционированного изменения;
- доступности, т.е. защиту от несанкционированного удержания информации и ресурсов.
Политика информационной безопасности - составная часть общей политики безопасности предприятия. Прежде чем приступать к мероприятиям по обеспечению информационной безопасности, необходимо определить: что защищать, от кого и как. Для этого производится обследование объекта защиты, после чего составляется специальный пакет документов, называемый "Политика информационной безопасности предприятия".
В процессе подготовки пакета документов производится категорирование информации, разграничение доступа к информации, определяются ответственные за информацию и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. Инструкции в обязательном порядке должны быть разъяснены тому лицу или группе лиц, для которых они написаны, поскольку слабым местом защиты информации в большинстве случаев является банальная неосведомленность сотрудников. Как правило, особое внимание уделяется требованиям к специалистам компьютерной сети и хранилищ данных, а также "Аварийному плану" - документу, описывающему, что делать, кому, как и в какой последовательности, если реализуется одна из угроз, а также содержащему описание процесса восстановления нормальной деятельности компании.
Важно обратить внимание на то, что использование нелицензионного программного обеспечения может привести как к неприятностям с обладателями авторского права, так и к внедрению вредоносного программного обеспечения в корпоративную компьютерную сеть.
Кому доверять, а кого проверять?
Вопросы кадровой политики, проверки персонала, доверия персоналу однозначно связаны как с общей безопасностью компании, так и с сохранностью конфиденциальной информации. В процессе подбора кадров необходимо обратить особое внимание на отбор специалистов, обеспечивающих работу компьютерной сети и отдельных ее подсистем. Важно отметить, что эти специалисты в состоянии отслеживать и копировать практически все информационные потоки фирмы, и в случае нелояльности данных специалистов к руководству или к владельцам предприятия может возникнуть ситуация, способная привести к серьезным убыткам и даже краху фирмы.
Алексей Раевский, генеральный директор компании SECURIT
Проблема внутренних угроз является сейчас наиболее актуальной. Большинство утечек, сообщения о которых регулярно появляются на первых полосах изданий, происходят в результате действий легальных пользователей. Между тем действия таких пользователей намного сложнее контролировать, и, как следствие, утечки, вызванные этими действиями, сложнее предотвратить. Различные исследования, проводимые на Западе, также говорят о том, что угроза инсайдеров уверенно выходит на лидирующие позиции как по количеству инцидентов, так и по размерам ущерба.
Для борьбы с утечками сейчас применяются системы класса DLP - data leak prevention. Такие системы анализируют данные, передаваемые за пределы локальной сети компании, и в случае попытки передачи данных ограниченного использования блокируют передачу. Даже на поверхностный взгляд видно, как много существует возможных каналов утечки в современной организации. Во-первых, это корпоративная электронная почта, которую имеют даже самые консервативные организации. Во-вторых, практически у каждого есть почтовые ящики на бесплатных серверах электронной почты, таких как Mail.Ru, которые тоже могут использоваться для передачи конфиденциальных данных. В-третьих, это популярные социальные сети - "Вконтакте", "Одноклассники" и т.д. В-четвертых, интернет-пейджеры, через которые можно передавать файлы, - ICQ, Skype и т.д.
Как видим, производители DLP-систем должны приложить немало усилий, чтобы реализовать контроль такого широкого спектра потенциальных каналов утечки. Кроме интернет-каналов не следует забывать и про возможность использования портов и устройств, подключаемых к компьютерам пользователей. Понятно, что, если любой желающий может принести на работу и беспрепятственно подключить к своему компьютеру флэшку или MP3-плеер, никакой контроль интернет-каналов не помешает человеку вынести все доступные ему данные.
Важным вопросом, возникающим при рассмотрении DLP-систем, является технология обнаружения конфиденциальной информации. Действительно, как определить, является ли передаваемый по электронной почте документ списком клиентов с персональными данными, или строго конфиденциальным планом развития, или безобидным договором о закупке офисных принадлежностей? Можно обязать сотрудников помечать документы ограниченного доступа специальным грифом - например, "конфиденциально". Система DLP будет проверять наличие этого слова и блокировать передачу документа, если оно там встретится. Однако такой подход требует от пользователей высокой концентрации и дисциплины, и если бы можно было на это рассчитывать, то количество утечек сократилось бы на 90 - 95%. К сожалению, большинство утечек происходит как раз из-за невнимательности пользователей.
На помощь приходят более прогрессивные технологии, в которых уже присутствуют элементы искусственного интеллекта, например цифровые отпечатки документов. В этом случае системе достаточно указать место, где хранятся конфиденциальные документы, она их проанализирует и сможет впоследствии среагировать, когда по Сети будет передаваться один или несколько таких документов, целиком или по частям. Еще, к примеру, существует метод поиска данных, имеющих определенную структуру. Он хорошо подходит для тех случаев, когда надо заблокировать передачу, например, номеров счетов, кредитных карт, паспортов и т.д., то есть важно не содержимое, а формат. Как правило, DLP-системы реализуют несколько (до десяти) различных технологий определения конфиденциальной информации, и их совместное применение позволяет повысить точность работы системы.
Еще одной важной возможностью, предлагаемой DLP-системами, является архивирование всей информации, проходящей через систему за пределы локальной сети. Такой архив, естественно, при условии его периодического анализа позволяет понять, что происходит в компании, чем занимаются сотрудники, и в конечном итоге является мощным инструментом как в кадровой работе, так и в деле обеспечения информационной безопасности.
Таким образом, несмотря на то что проблема защиты от внутренних угроз появилась не очень давно, ее можно эффективно решать уже сейчас. Грамотное использование современных DLP-систем позволяет существенно сократить риск утечек конфиденциальной информации и персональных данных и избежать множества проблем с недовольными клиентами, инвесторами, руководством и регулирующими органами.
А.Игнатенко
Заместитель генерального директора ЗАО "Специальная Информационная Служба"
А.Раевский
Генеральный директор компании SECURIT
Несколько реальных случаев.
Директор компании жалуется на хакеров, которые постоянно воруют коммерческую информацию из корпоративной компьютерной сети, что приводит к убыткам.
Анализ состояния корпоративной компьютерной сети показал отсутствие реальных атак на фирму. Дальнейший анализ общей системы безопасности фирмы позволил найти "хакера" - системный администратор, он же курьер, он же племянник директора, за небольшое вознаграждение копировал и передавал конкурентам интересующую их информацию.
От организации отделилась группа сотрудников, создала новую фирму в аналогичной сфере деятельности, и заказчики, в том числе и вновь появившиеся, стали постоянно уходить к конкуренту.
Анализ состояния информационной безопасности фирмы показал, что отсутствие контроля количества печатаемых на принтере накладных позволило кладовщику за вознаграждение передавать копии документов с реквизитами заказчиков конкурентам.
В фирму поступила информация из правоохранительных органов об осуществлении ряда незаконных платежей с использованием внешнего IP-адреса фирмы. Подобная ситуация могла привести к изъятию серверов и приостановке бизнес-процесса.
Однако грамотная настройка оборудования и программного обеспечения позволила сделать быстрый и документированный анализ системных журналов и показать отсутствие незаконных действий со стороны сотрудников фирмы.
Представленные примеры показывают важность информационного обеспечения фирмы и необходимость его защиты.
Нужно понять, что безопасность фирмы, ее экономическая и информационная безопасность не красивые словосочетания, а требования бизнеса, без которых успешная экономическая деятельность невозможна.
Известно, что информация представляет собой весьма ценный продукт и, естественно, нуждается в определенной защите. Защита информации обеспечивает соблюдение:
- конфиденциальности, т.е. защиту от несанкционированного доступа;
- целостности, т.е. защиту от несанкционированного изменения;
- доступности, т.е. защиту от несанкционированного удержания информации и ресурсов.
Политика информационной безопасности - составная часть общей политики безопасности предприятия. Прежде чем приступать к мероприятиям по обеспечению информационной безопасности, необходимо определить: что защищать, от кого и как. Для этого производится обследование объекта защиты, после чего составляется специальный пакет документов, называемый "Политика информационной безопасности предприятия".
В процессе подготовки пакета документов производится категорирование информации, разграничение доступа к информации, определяются ответственные за информацию и ее сохранность. Подготовленные инструкции и документы отражают порядок использования оборудования, программного обеспечения, паролей, ключей доступа, внешних носителей, средств связи, банковских программ, копирования и уничтожения документов и носителей и др. Инструкции в обязательном порядке должны быть разъяснены тому лицу или группе лиц, для которых они написаны, поскольку слабым местом защиты информации в большинстве случаев является банальная неосведомленность сотрудников. Как правило, особое внимание уделяется требованиям к специалистам компьютерной сети и хранилищ данных, а также "Аварийному плану" - документу, описывающему, что делать, кому, как и в какой последовательности, если реализуется одна из угроз, а также содержащему описание процесса восстановления нормальной деятельности компании.
Важно обратить внимание на то, что использование нелицензионного программного обеспечения может привести как к неприятностям с обладателями авторского права, так и к внедрению вредоносного программного обеспечения в корпоративную компьютерную сеть.
Кому доверять, а кого проверять?
Вопросы кадровой политики, проверки персонала, доверия персоналу однозначно связаны как с общей безопасностью компании, так и с сохранностью конфиденциальной информации. В процессе подбора кадров необходимо обратить особое внимание на отбор специалистов, обеспечивающих работу компьютерной сети и отдельных ее подсистем. Важно отметить, что эти специалисты в состоянии отслеживать и копировать практически все информационные потоки фирмы, и в случае нелояльности данных специалистов к руководству или к владельцам предприятия может возникнуть ситуация, способная привести к серьезным убыткам и даже краху фирмы.
Алексей Раевский, генеральный директор компании SECURIT
Проблема внутренних угроз является сейчас наиболее актуальной. Большинство утечек, сообщения о которых регулярно появляются на первых полосах изданий, происходят в результате действий легальных пользователей. Между тем действия таких пользователей намного сложнее контролировать, и, как следствие, утечки, вызванные этими действиями, сложнее предотвратить. Различные исследования, проводимые на Западе, также говорят о том, что угроза инсайдеров уверенно выходит на лидирующие позиции как по количеству инцидентов, так и по размерам ущерба.
Для борьбы с утечками сейчас применяются системы класса DLP - data leak prevention. Такие системы анализируют данные, передаваемые за пределы локальной сети компании, и в случае попытки передачи данных ограниченного использования блокируют передачу. Даже на поверхностный взгляд видно, как много существует возможных каналов утечки в современной организации. Во-первых, это корпоративная электронная почта, которую имеют даже самые консервативные организации. Во-вторых, практически у каждого есть почтовые ящики на бесплатных серверах электронной почты, таких как Mail.Ru, которые тоже могут использоваться для передачи конфиденциальных данных. В-третьих, это популярные социальные сети - "Вконтакте", "Одноклассники" и т.д. В-четвертых, интернет-пейджеры, через которые можно передавать файлы, - ICQ, Skype и т.д.
Как видим, производители DLP-систем должны приложить немало усилий, чтобы реализовать контроль такого широкого спектра потенциальных каналов утечки. Кроме интернет-каналов не следует забывать и про возможность использования портов и устройств, подключаемых к компьютерам пользователей. Понятно, что, если любой желающий может принести на работу и беспрепятственно подключить к своему компьютеру флэшку или MP3-плеер, никакой контроль интернет-каналов не помешает человеку вынести все доступные ему данные.
Важным вопросом, возникающим при рассмотрении DLP-систем, является технология обнаружения конфиденциальной информации. Действительно, как определить, является ли передаваемый по электронной почте документ списком клиентов с персональными данными, или строго конфиденциальным планом развития, или безобидным договором о закупке офисных принадлежностей? Можно обязать сотрудников помечать документы ограниченного доступа специальным грифом - например, "конфиденциально". Система DLP будет проверять наличие этого слова и блокировать передачу документа, если оно там встретится. Однако такой подход требует от пользователей высокой концентрации и дисциплины, и если бы можно было на это рассчитывать, то количество утечек сократилось бы на 90 - 95%. К сожалению, большинство утечек происходит как раз из-за невнимательности пользователей.
На помощь приходят более прогрессивные технологии, в которых уже присутствуют элементы искусственного интеллекта, например цифровые отпечатки документов. В этом случае системе достаточно указать место, где хранятся конфиденциальные документы, она их проанализирует и сможет впоследствии среагировать, когда по Сети будет передаваться один или несколько таких документов, целиком или по частям. Еще, к примеру, существует метод поиска данных, имеющих определенную структуру. Он хорошо подходит для тех случаев, когда надо заблокировать передачу, например, номеров счетов, кредитных карт, паспортов и т.д., то есть важно не содержимое, а формат. Как правило, DLP-системы реализуют несколько (до десяти) различных технологий определения конфиденциальной информации, и их совместное применение позволяет повысить точность работы системы.
Еще одной важной возможностью, предлагаемой DLP-системами, является архивирование всей информации, проходящей через систему за пределы локальной сети. Такой архив, естественно, при условии его периодического анализа позволяет понять, что происходит в компании, чем занимаются сотрудники, и в конечном итоге является мощным инструментом как в кадровой работе, так и в деле обеспечения информационной безопасности.
Таким образом, несмотря на то что проблема защиты от внутренних угроз появилась не очень давно, ее можно эффективно решать уже сейчас. Грамотное использование современных DLP-систем позволяет существенно сократить риск утечек конфиденциальной информации и персональных данных и избежать множества проблем с недовольными клиентами, инвесторами, руководством и регулирующими органами.
А.Игнатенко
Заместитель генерального директора ЗАО "Специальная Информационная Служба"
А.Раевский
Генеральный директор компании SECURIT
Другие новости по теме:
Обеспечение непрерывности обеспечения it безопасности Средства защиты информации от утечки из информационных систем Евфрат Безопасность и Защита персональных данных FAQ: аудит информационной безопасности Почему утраченная корпоративная информация становится "бесценной" Комплексная информационная защита персональных данных