Защита от своих

pic

Многолетняя практика работы в области защиты государственных и коммерческих секретов убеждает в том, что абсолютное большинство инцидентов, связанных с потерей конфиденциальной информации, происходящих на предприятии (организации), так и остаются невыявленными. О них просто никто не догадывается.

Информационная безопасность предприятия, инсайдеры, хакеры, сетевые вирусы — все это популярные по нынешним временам понятия. Мы слышим их сплошь и рядом в той или иной интерпретации. Несмотря на то, что данная тема очень молода (лишь с середины 80-х годов об этом заговорили более или менее серьезно), ей уже посвящены многочисленные тома книг весьма именитых и наоборот совершенно не известных авторов, которые учат нас, от кого конкретно и как надо защищать свою информацию.

Идея написания статьи возникла именно из-за однотипности представленных на сегодняшний день материалов по данной тематике. Однотипность, на мой взгляд, выражается в методологии доведения самой информации до читателя. Несомненно, умных мыслей изложено в них немало, и они являются хорошим подспорьем любому заинтересованному специалисту, но все же…

Так, практически невозможно найти материалы, рассказывающие о трудностях, возникающих у руководителей предприятия и службы безопасности при построении системы защиты корпоративной сети предприятия (организации), описывающих реальные картины происходящих в этот период процессов. И, наконец, самое главное — нет материалов, которые учили бы как предупреждать неизбежные в этих случаях ошибки, строить взаимоотношения с сотрудниками, работающими в корпоративной сети, оптимально выбирать средства и методы защиты, позволяющие эффективно защищать принадлежащую вам информацию.

Чем определяется эффективность работы подразделения информационной безопасности да и всей службы
безопасности в целом? Количеством раскрытых и расследованных инцидентов, суммами остановленных финансовых потерь, а, может быть, количеством выявленных внутренних (инсайдеров) или внешних (аутсайдеров) врагов? Уверен, что, вероятно, очень немногие из числа уважаемых читателей дадут сейчас убедительный ответ на этот вопрос.

Когда мы имеем дело с явным фактом кражи резервных копий магнитных носителей информации или потерей данных вследствие событий техногенного характера, тут уже все факты, как говорится, налицо. Были диски и вот их уже нет, была информация на корпоративном сервере и вот она стерта. Такие случаи осязаемы и видны даже непрофессионалу. А вот как быть в случаях, если конфиденциальная информация как хранилась в компьютере в виде нескольких файлов, так и лежит там. Если мы ее видим, значит ли это, что информация не была уже кем-то похищена (например, сделана копия на дискету или произведена ее распечатка на принтере) и собственно инцидент уже имел место? Можем ли мы предположить, что кто-то случайно, а может намеренно сделал одну (а может и значительно больше) копий этих файлов и, предположим, отправил их по вашей же корпоративной почте конкурентам или вынес в кармане, скопированными на диск, или просто не распечатал на ближайшем сетевом принтере? Эти вопросы часто остаются без ответа, да и не задаются ни директором, ни самими работниками службы безопасности. И только когда вдруг в средствах массовой информации или еще хуже — у конкурентов появляется конфиденциальная информация из упомянутых выше файлов, все начинают судорожно искать злодея, закрывать все мыслимые и немыслимые каналы утечки, ну и, конечно, показывать коллегам, что работники службы безопасности тоже не зря кушают свой хлеб и уже вот-вот раскроют этот вопиющий инцидент.

Тем не менее, поверьте, дорогие друзья, даже у вас все обстоит именно так! Просто вы об этом не знаете. А в дальнейшем внезапно по неизвестной для вас причине в последний момент вдруг сорвется выгодная сделка, хороший VIP-клиент без объяснения причин вдруг уйдет к ближайшему конкуренту, какая-либо услуга постепенно станет нерентабельной. Да мало ли что еще может произойти. Только вряд ли вы свяжете некоторые, в сущности, малозначительные по отдельности события в единую цепочку последствий утраты небольшого количества конфиденциальной информации.

Технологическая революция породила инсайдеров
В появлении внутренних врагов — инсайдеров первоначально «виновата» технологическая революция. Все, что раньше лежало в шкафах и сейфах, сейчас может легко поместиться на нескольких магнитных дисках, а уж скопировать с них нужную информацию и вынести за пределы родного предприятия и вовсе минутное дело.

Нелегко устоять перед соблазном взять то, что свободно лежит на сервере, ведь это может пригодиться на новом месте работы. А если есть человек, который согласен заплатить за эту информацию? Это может показаться странным для руководителя. Но большинство его подчиненных искренне считают, что им не доплачивают за выполняемую работу (в ряде случаев, кстати, это действительно так). А раз это так, то надо взять самому и компенсировать эти досадные недоразумения, допущенные руководством. Поверьте, угрызений совести инсайдеры почти никогда не испытывают (они ведь свое берут), большинство из них довольствуется малым. Но малым для одного — понятие относительное, когда речь идет о достаточно большом предприятии (организации), на котором, предположим, каждый пятый-шестой сотрудник регулярно пользуется информацией в корыстных целях.

Согласно отчету Global Business Security Index Report 2005, публикуемому компанией IBM ежегодно, именно внутренние угрозы, исходящие от собственных сотрудников компаний, будут являться одной из самых опасных угроз.

Вы никогда не сталкивались с тем, что сотрудник пополняет свои телефонные счета и счета своих друзей деньгами компании? Или зарабатывает в сети Интернет, используя трафик и ресурсы вашей компании? Или продает пароли и коды к выпускаемым вашей компанией карточкам IP-телефонии? Вполне вероятно, что столкнетесь, вероятно также, что узнаете об этом, когда будет слишком поздно для того, чтобы вернуть украденные в компании деньги и утраченный положительный имидж.

Образно говоря, всех инсайдеров следует разделить на несколько основных групп, представленных на схеме 1.

pic

Взглянем на них подробнее. Итак, первую группу представляют сотрудники, умышленно совершающие противоправные действия (под противоправными будем понимать все действия, противоречащие кодексу этики, политики безопасности и другим принятым внутренним документам).

Это наиболее опасная группа, поскольку именно сотрудники, входящие в нее, как правило, заранее планируют свои действия и соответственно тщательно готовятся к ним. В свою очередь, группа делится на две составляющие: сотрудников, ищущих возможность обогатиться за счет предприятия (организации), и сотрудников, вынашивающих планы мести как руководству предприятия (организации) за нанесенные несправедливые обиды или неоцененный талант, так и своим же более удачливым коллегам. В первом случае предприятию грозят финансовые потери и потеря имиджа в глазах клиентов, во втором возможны уже более крупные финансовые потери и морально-этические конфликты внутри предприятия.

Вторая группа объединяет сотрудников, неумышленно совершающих противоправные действия. Ущерб от инсайдеров этой группы может быть колоссальным и, как правило, непредсказуемым.

Большей частью в эту группу попадают все же не пользователи, а администраторы корпоративной сети и администраторы отдельных серверов, из любопытства пытающиеся изменить настройки или ненамеренно вследствие своей лени не устанавливающие критически важные заплатки к программному обеспечению (ПО), а то и крайне необходимое для работы серверов ПО.

Третья группа — сотрудники, сочувствующие совершаемым противоправным действиям. Эта группа, конечно же, не так опасна в нанесении убытков компании, как рассмотренные первые две. Они сами ничего не воруют и не думают о своей выгоде. Их главная опасность заключается в равнодушии к происходящим вокруг них событиям противоправного характера, а то и ставшим возможными просто с молчаливого их согласия. В группу могут входить, в принципе, любые сотрудники компании, администраторы, пользователи сети. Они видят и понимают, что их коллега за соседним столом занимается воровством и получением личной выгоды за счет ресурсов компании, но молчат, не останавливают его сами и не сообщают в службу безопасности.

Возникает резонный вопрос, как же бороться с инсайдерами, нужно ли это вообще? Ответ на него может быть один — бороться с инсайдерами нужно, используя дифференцированные подходы и оптимально необходимые средства, причем в каждом конкретном случае, в каждой отдельно взятой компании или на предприятии они могут оказаться разными в зависимости от специфики их деятельности. Однако максимальная эффективность проводимых мероприятий может быть достигнута только благодаря вдумчивому и разумному подходу к поставленным задачам при четком понимании желаемых конечных целей.

Методы борьбы
Конкретные методы борьбы и ее практические аспекты в разных организациях могут существенно отличаться, но все они направлены по существу на одну главную цель — максимально возможное сокращение числа предпосылок к инсайдерству и полное исключение ситуаций, приводящих к нему. Чтобы понять, какие конкретно методы могут использоваться, нужно, прежде всего, выявить предпосылки инсайдерства и оценить исходную ситуацию.

Разберем эти предпосылки на примере схемы 2, раскрывающей причины, порождающие инсайдеров.
Итак, инсайдеры процветают в организации, когда в ней: во-первых, работники имеют необоснованные привилегии к ресурсам корпоративной информационной сети.

pic

Например, могут просматривать папки и находящиеся в них файлы, не имеющие отношения к выполнению их непосредственных обязанностей, при желании копировать их и выносить копии порой очень важных документов за пределы организации. Следует понимать, что инсайдер — это не только человек, который преследует личную выгоду или достижение каких-либо личных целей, инсайдером можно назвать и человека, который из любопытства может просматривать доступные ему чужие папки в сети, а потом делиться их содержимым с друзьями и знакомыми.

Так, например, представьте резонанс, который был вызван событием, когда некий сотрудник нашел в открытой сетевой папке одного из бухгалтеров своей компании файлы с начислением заработной платы начальникам различного уровня.

Первое, что он сделал, это сравнил их зарплаты со своей, а потом разослал всем знакомым работникам, среди которых оказались и начальники подразделений, получающие зарплату куда меньше указанной в скопированных файлах. Выяснилось, к примеру, что начальник одного отдела получал зарплату в два раза меньшую, чем начальник соседнего отдела. Обиды на руководство за низкую оценку своего труда надолго затаились в сердцах десятков сотрудников организации.

Во-вторых, работник не дорожит тем, что он имеет (престижность, стабильность, гордость за выполняемую работу и принадлежность к коллективу, стремление приносить пользу и прибыль организации). Обычно большая текучесть кадров — верный признак существования у вас рассмат-риваемой предпосылки.

Если в организации работник знает, что в любом случае (есть прибыль, нет прибыли) он получит все доступные по его должности привилегии, то никогда не будет напрягаться на работе, как бы вы этого не хотели. А зачем? Вы же должны ему отдать все, что положено, а если будет мало, то он и сам возьмет… на работе.

В-третьих, отсутствие работающей системы материального стимулирования, когда работник при желании может зарабатывать больше, принося при этом прибыль своей организации, также порождает инсайдеров. Если сотрудник понимает, что как бы он ни старался, сколько бы времени он не проводил на работе — все равно получит только свою фиксированную ставку, но при этом денег ему не хватает, то рано или поздно он придет к мысли о нахождении дополнительных источников дохода. Причем необязательно, что это будет вторая работа, можно с успехом все делать и на основной работе. И тогда, то, что могло стать достоянием вашей организации, уйдет в другую, то, что принадлежало только вам, станет уже не только вашим, ну и т.д. в том же духе.

В-четвертых, отсутствие анализа поведения сотрудников (необязательно эта функция возлагается на службу безопасности) и отсутствие системы разумного контроля за их действиями. Многие сотрудники используют оборудование своего рабочего места для получения личной выгоды. У вас за спиной сидят люди, зарабатывающие вполне реальные деньги, но не для вашей организации. Вы уверены, что ваш дизайнер делает в рабочее время порученную ему работу, а не выполняет заказ конкурентов или другой личный заказ? Вы уверены, что ваш агент, уходя на деловую встречу, работает в ваших интересах, а не отдаст заказ другой компании, где намерен получить свои проценты? Вы уверены, что ваш администратор не зарабатывает в Интернете, пользуясь доступом к нему из вашей сети?

В-пятых, отсутствие работы, направленной на сплочение коллектива, и отсутствие нормальной доверительной связи подчиненный — начальник. Слишком часто, к сожалению, руководство организаций недооценивает значимость этой работы. Многочисленные тренинги под руководством опытных преподавателей-психологов не приносят желаемых результатов. Послушали, поиграли в игры и… разошлись — работать надо. Я не имею сейчас в виду корпоративные вечеринки и собрания, они безусловно нужны, но это лишь часть необходимой работы.

В-шестых, отсутствие организации пропускного режима и контроля доступа. Очень многие подразумевают под этой работой наличие охранника, который проверяет на входе и выходе содержимое выносимых пакетов или в дополнение к нему автоматическую простейшую систему контроля доступа. Зачастую, система пропускного режима и контроля доступа настолько формальна или напротив заорганизована, что и позволяет беспрепятственно инсайдерам проносить в обе стороны все что угодно.

Итак, какие же методы борьбы, с точки зрения руководителя организации, можно назвать наиболее актуальными? Их уже можно перечислить.

• Создание реально работающих организационно-распорядительных документов, регламентирующих доступ к сведениям, составляющим коммерческую тайну, конфиденциальным и служебным сведениям, в том числе представленным и в электронном виде. Сотрудники должны ознакомиться с такими документами и подписать их. Потребуется также эффективно работающая система контроля за выполнением всеми сотрудниками этих документов. Страх перед возможным наказанием остановит большую часть из потенциальных инсайдеров.

• Создание эффективной системы защиты информации. Под этим подразумевается следующее: приглашение грамотного консультанта (компанию, специализирующуюся в данной области), который сможет проанализировать защиту вашей сети (прежде всего изнутри), оптимизировать ее, максимально затруднить возможность несанкционированного доступа к информации. И самое главное — не отделаться от вас простым отчетом и рекомендациями, а помочь вам создать реальную работающую систему, таких профессионалов в нашей стране единицы.

• Создание эффективной системы пропускного режима и контроля доступа. Именно системы, а не присутствие охранника. Для него должна быть разработана четкая и понятная инструкция по действиям в любых ситуациях и от которой он не должен отступать ни на шаг. Помните, как только охранник начинает предпринимать самостоятельные действия, они могут привести к очень серьезным последствиям. Возможно, так же, как и в предыдущем случае, вам потребуется помощь высококвалифицированного профессионала, постарайтесь найти такого.

• Создание системы, направленной на повышение у ваших сотрудников чувства ответственности и гордости за выполняемую ими работу. Это означает не только брать от них, но и отдавать им, действовать по принципу: «Вы — компании и компания — вам». Это должно стать одной из основных задач вашей службы по управлению персоналом.

• Максимально возможное вовлечение сотрудников в производственный процесс получения прибыли с прямой зависимостью премиальной части зарплаты от личных показателей сотрудника. Это также означает, что если сотрудник приложил на работе максимум своих усилий — он не должен остаться без материального поощрения, даже если в конечном итоге прибыль не была получена по независящим от него причинам.

Конечно, всегда и везде могут появиться сотрудники, которые целенаправленно будут охотиться за важной информацией с целью наживы, или нечистые на руку сотрудники, пытающиеся наживаться на планируемых ими финансовых махинациях и других материальных ценностях, принадлежащих вам. Это уже настоящие преступники. Однако таких людей, к счастью, не так много, и выявлять их — прямая задача вашей службы безопасности. Перечисленные в статье методы позволят существенно затруднить противоправные действия этих людей и практически полностью исключить или свести к минимуму действия обычных инсайдеров в вашей компании.

Orphus system