Эти утверждения — не из области «продажи страха», в чем часто упрекают специалистов по информационной безопасности. Инциденты, связанные с кражей или утечкой данных, происходят, к сожалению, регулярно, и об этом нередко становится известно, иногда даже широко. И что самое скверное, в периоды экономических неурядиц такого рода случаи учащаются. О трёх таких инцидентах, нанесших пострадавшим организациям значительный прямой ущерб, было рассказано на отраслевой конференции Business Information Security Summit ‘2014.
Переманить клиента
Сильнее всех пострадала страховая компания, у которой было украдено 100 тысяч записей о безаварийных клиентах автострахования; общий ущерб составил 100 миллионов долларов. Не надо долго рассказывать о том, насколько ценны такого рода данные для автостраховщиков. Ведь именно эти клиенты приносят основной доход, соответственно разные компании пытаются друг у друга переманивать их, предлагая чуть лучшие условия. И многие клиенты охотно идут на это, особенно если речь идет об индивидуальных предпринимателях или компаниях среднего и малого бизнеса. Но страховщики, как видно, не всегда действуют законными методами, чтобы получить такую информацию. Обычно исполнитель кражи выбирается из числа нелояльных сотрудников, например, решивших сменить место работы. Но даже если этот исполнитель получает какое-то вознаграждение за свои специфические услуги, оно будет намного меньше суммы ущерба. В результате что-то взыскать с прямого виновника, если даже он и будет разоблачен, абсолютно невозможно.
Высокотехнологический обсчет
А этот случай более интересен с технической точки зрения. В одной крупной розничной компании злоумышленники внесли изменения в кассовую систему, в результате чего с покупателей взимались лишние деньги, которые переправлялись на счет мошенников. При этом речь шла о совсем небольших суммах, не превышавших двух рублей с одного покупателя. Но за счет больших объемов общая сумма скопилась весьма приличная, в несколько сот миллионов рублей. Да и действовать мошенникам удавалось довольно долго, так как непосредственно у компании ничего украдено не было, а покупатели факта обсчета банально не замечали, так как величина его не превышала 0,1% от стоимости покупки.
Можно возразить, что данный случай не относится к B2Bбизнесу напрямую. Однако никто не даст гарантию того, что точно такую же схему не применят на электронной торговой площадке или в системе продаж производственной либо дистрибьюторской компании. Вполне возможно, что где-то такая схема уже запущена и мошенники спокойно подсчитывают свои доходы. Тем более, что при существенно больших объемах сделок на рынке B2B никто не заметит, что с каждой продажи несколько сот рублей уходит куда-то на сторону. Как отметил Рустем Хайретдинов, основатель компании Appercut Technology, такого рода случаи не редкость и далеко не всегда они связаны со злонамеренной активностью. Это могут быть просто ошибки в ПО, которые, увы, неизбежны.
Надо сказать, данные махинации — один из старейших видов мошенничества с использованием ИТ. Первый подобного рода инцидент имел место без малого полвека назад в Германии. Тогда программист внес изменения в систему обработки платежей за поставки продукции, так что сумма округлялась до целой марки и шла по назначению, в то время как остаток в пфеннигах поступал на личный счет злоумышленника. За несколько месяцев его доход составил более полумиллиона марок. Причем выявлен факт мошенничества был абсолютно случайно.
И снова кража данных
И замыкает тройку лидеров еще один инцидент, связанный с кражей данных. На этот раз речь идет о технической документации по месторождению углеводородов, похищенной в одной из нефтесервисных компаний и проданной конкурентам. Прямой ущерб составил 10 млн. долл. И опять же совершил кражу нелояльный сотрудник, действовавший по прямому заказу конкурентов.
Почему так происходит?
Как видно, два из трех случаев связаны с деятельностью внутренних нарушителей. Они имели вполне легитимный доступ к информации и прекрасно сознавали, какую ценность она представляет. А на это накладываются еще два фактора, которые усиливают соблазн реализовать возможность кражи данных. Во-первых — ситуация в экономике. Стагнация, плавно переходящая в стагфляцию, для обычного человека означает, что его доходы перестают расти, и появляется желание поднять их, иногда не слишком законным образом. Причем подобный соблазн возникает не только у сотрудников компании-жертвы, но и у работников фирм, которые привлекаются для выполнения тех или иных задач: аутсорсинговых операторов, всяческого рода подрядчиков и прочих. Согласно статистике компании InfoWatch, именно работники внешних поставщиков услуг заняли второе место по объему утечек информации, став виновниками 8,5% всех инцидентов.
Во-вторых, многие работники считают накопленные ими данные о клиентах и заказчиках своей личной собственностью, которой они имеют полное право распоряжаться. И очень часто работодатели идут у них на поводу. Чтобы убедиться в этом, достаточно открыть любую газету, где есть объявления о поиске и предложении работы. С большой долей вероятности на первом месте среди востребованных вакансий там окажутся специалисты по продажам со своей базой клиентов. Того же самого нередко требуют и от страховых агентов. Так что не стоит удивляться, если страховой агент при смене работы не будет считать чем-то предосудительным переманивание в новую компанию и своих клиентов. К слову, данная ситуация сильно мешает не только сохранности корпоративных данных, но и внедрению многих систем автоматизации бизнеса, в частности CRM. Сотрудники просто саботируют внесение туда данных о своих покупателях и заказчиках.
Однако второй случай — дело более сложное. Тут имела место таргетированная атака на компанию. Ситуация с таким видом мошенничества в последнее время крайне осложнилась, и злоумышленники соответствующим инструментарием активно пользуются. Тем более, что за ними вполне могут стоять конкуренты, а в ряде случаев спецслужбы или хактивисты. Впрочем, все, что связано с таргетированными атаками, — тема для отдельного разговора, и мы к ней обязательно вернемся.
Что делать?
Всё зависит от того, насколько велик потенциальный ущерб от возможной кражи информации. И если он действительно велик, то есть смысл задуматься о внедрении специальной системы. Возможно, не одной. Так, например, средства защиты от утечек информации (DLP) неплохо помогают от действий внутренних злоумышленников. Тем более, что на рынок выходит новое их поколение, базирующееся на поведенческом анализе и позволяющее быстро выявлять любые отклонения, за которыми практически в любом случае стоит нарушение политик ИБ. А также, что очень ценно, можно заблаговременно выявить потенциально нелояльного сотрудника, скажем, активно просматривающего сайты по поиску работы.
Но DLP-системы совершенно бессильны против таргетированных атак. Есть инструменты, позволяющие локализовать практически любые угрозы со стороны внешних злоумышленников, но их внедрение до сих пор является делом долгим и хлопотным, требующим высокой квалификации исполнителя. Появляются и средства, направленные на борьбу с таргетированными атаками, но этот класс ПО еще очень молод и страдает от массы «детских болезней».
Однако многого можно добиться и без внедрения дополнительных систем. Просто для этого нужно приложить несколько больше усилий. Например, получить статистику посещений Web-страниц и выяснить, что кто-то активно посещает те же сайты по поиску работы, можно и путем анализа данных прокси-серверов, которые очень часто применяются для организации доступа в Интернет. Ну а дальше — пользоваться старыми добрыми навыками профилактических бесед. С большой долей вероятности этого будет достаточно.
Набор инструментов под каждый сценарий
Игорь Богачев, руководитель практики инфраструктурных решений компании «Астерос Информационная безопасность» (группа «Астерос»)
Защита от утечек информации – довольно сложная задача и для ее решения нет универсальных рецептов. В каждом случае необходимо искать свой индивидуальный вариант. Набор технических средств защиты и организационных мер разрабатывается как комплекс взаимосвязанных мероприятий. Но какие бы средства защиты вы не выбрали в конечном итоге, важен правильный старт. Прежде чем приступать к защите информации, необходимо идентифицировать конфиденциальную информацию, правильно ее категорировать, а также оценить и определить системы и способы ее обработки, права доступа. Это база, основной шаг, определяющий эффективность всех последующих. Казалось бы, прописная истина, но именно этот первый и самый важный шаг зачастую либо вообще не делается, либо делается некачественно. Проблема усугубляется тем, что эту задачу должен выполнить сам владелец, ни один интегратор не сможет полноценно сделать это за него, а у владельца зачастую не хватает для этого ни компетенций, ни времени.
Далее строить комплексную систему защиты можно на различных продуктах, подходящих под конкретную ситуацию. Арсенал инструментов офицера безопасности сегодня довольно большой и постоянно пополняется. Наряду с классическими средствами защиты за последние несколько лет значительно продвинулись. Такие направления как мониторинг и анализ событий (SIEM), предотвращение утечек (DLP), контроль действий администраторов, анализ исходного кода. Набирают обороты решения по выявлению целенаправленных атак (APT). Кроме технических средств есть еще довольно большой пласт организационных мероприятий, применяемых как самостоятельно, так и совместно с техническими. Однако не надо ждать чудес от внедрения дорогих сложных средств защиты информации (СЗИ), они лишь инструмент, который нужно уметь правильно использовать. После внедрения средств защиты необходимо выстроить вокруг них процесс эксплуатации. Любые СЗИ требуют постоянного присмотра, как небезызвестные игрушки-Тамагочи. Если взять ту же DLP, то ее необходимо постоянного «дообучать» новой конфиденциальной информацией и подстраивать по результатам анализа ложных срабатываний, иначе ее эффективность со временем будет падать.
