Не секрет, что бизнес современных предприятий стремится к централизации.
С одной стороны, такой подход способствует унификации и упрощению доступа к
данным: вся управленческая информация расположена в ЦОД. С другой стороны, увеличивается
вероятность потери информации или неправильного ее применения. Однако если безопасность
внешнего периметра — задача, на сегодняшний день во многом решаемая техническими
средствами (для физической защиты существуют системы охранной и пожарной сигнализации,
для информационной — брандмауэры, антивирусные, антиспамовые средства, биометрическая
идентификация), то есть одна область, о которой вполне можно сказать, что она
плохо изучена, — это защита от «инсайдеров».
Вместе
с тем этот термин все же не вполне корректен. К тому же данным словом называют
совершенно разные категории правонарушителей. В сфере информационной безопасности
«инсайдер» значит одно, на фондовом рынке — совсем другое, а в том, что касается
средств массовой информации, — третье. Юрий Лысенко, начальник отдела информационной
защиты Росевробанка, в своем выступлении на одной из конференций утверждал,
что источников такого рода проблем корректнее называть не «инсайдерами», а «внутренними
злоумышленниками». Тем более, что согласно определению русской Википедии, сам
перечень тех, кого можно причислить к инсайдерам, чрезвычайно узок: это только
первые лица компании и члены их семей. А ими перечень тех, кто имеет доступ
к коммерчески значимой информации, не исчерпывается.
Конфиденциальная информация, разглашение которой по тем или иным причинам нежелательно, имеется в компаниях любого масштаба, от маленьких до самых больших. Практически всегда речь идет об информации экономически значимой, разглашение которой приведет к потере конкурентного преимущества и, следовательно, к финансовому ущербу, часто тоже значительному. С этой точки зрения «конфиденциальная информация» и «коммерческая тайна» являются синонимами. Информация становится конфиденциальной тогда, когда обладание ею несет прямую коммерческую выгоду.
Громкие утечки
Напомним о самых громких утечках в нашей стране. Первым таким случаем стала кража базы данных абонентов сотового оператора «Билайн» в 1996 году. Спустя шесть лет эта история повторилась с МТС, а к тому времени мобильная связь стала уже по-настоящему массовой, так что были затронуты интересы очень и очень многих людей. А в следующем, 2003 году диски с этой базой стали широко продаваться на черном рынке. Каким образом это случилось, до сих пор не предано гласности. Однако сама МТС утверждает, что ей удалось выявить канал утечки и перекрыть его. Судя по тому, что больше база данных абонентов этого оператора на рынке не предлагается, так оно и есть. Справедливости ради стоит отметить, что такие утечки случаются и в других странах. Например, в 2006-м база данных абонентов была украдена у KDDI — второго по величине сотового оператора Японии. Своровавшие эту информацию сотрудники пытались шантажировать руководство компании, но были арестованы. В этом же году произошла очередная утечка базы данных абонентов у крупнейшего белорусского оператора Velcom.
Несколько позже «утекла» информация о выплатах налога на доходы физических лиц по Москве и Московской области. Естественно, по сумме выплаченных налогов легко определить доходы любого человека. О том, какую ценность представляет такая информация для всяческого рода криминальных элементов, долго распространяться нет смысла. В 2005 году произошла утечка данных о проводках расчетно-кассовых центров Центробанка. Никаких подробностей опять же не известно. В последующем рынок наводнили многочисленные подделки, якобы содержащие информацию о банковских проводках, где за образец была взята украденная база данных. В уходящем году многие банки стали получать предложения приобрести базу данных, где якобы аккумулированы сведения о более чем 700 тыс. заемщиков, бравших кредиты на покупку товаров в крупнейших розничных сетях. Впрочем, судя по всему, это была фальсификация, и базы данных у тех, кто ее предлагает, на самом деле нет. Однако база данных о более чем 3 тыс. недобросовестных заемщиков банка «Первое ОВК» все же появилась на черном рынке.
В мире по итогам 2005 года абсолютно все опрошенные банки фиксировали факты утечки информации. И в 72% случаев они приводили к потерям на сумму более миллиона долларов. Почти половина утечек — 49% — происходила, по мнению опрошенных банков, через своих сотрудников. Годом ранее этот показатель был на уровне 35%.
Но помимо прямых потерь имеют место и косвенные, связанные с падением капитализации компаний и отказом от заключения контрактов. И они могут на порядки превышать прямые. Так, например, у американской компании ChoicePoint, которая допустила утечку информации о 145 тыс. граждан США, прямые потери от устранения последствий данного инцидента составили около 10 млн. долл. А потери от снижения курса акций составили уже 60 млн. долл. Кроме того, были разорваны контракты на сумму более чем 800 млн. долл.
В России, по данным опроса InfoWatch, с утечками информации в 2005 году не сталкивались 31% опрошенных. Угрозу нарушения конфиденциальности указали абсолютно все участники опроса. А кража информации уже в 2004 году стала, по мнению опрошенных, главной угрозой, в то время как занимающие второе-третье место вирусные (включая и прочее вредоносное ПО) и хакерские атаки указывают менее половины респондентов.
Не менее значим фактор снижения доверия клиентов и партнеров, хотя в этом случае перевести ущерб в денежную форму трудно. За примером далеко ходить не надо: когда в 2002 году у МТС «утекла» база данных абонентов, многие ее клиенты перешли к другим операторам. Особенно фактор доверия важен для банков, финансовых и страховых компаний. Очень многие контракты и соглашения имеют пункт о соблюдении конфиденциальности, согласно которому та или иная информация не должна предаваться широкой огласке. Естественно, нарушение данных требований ведет ко всевозможным санкциям вплоть до разрыва договора. И, наконец, есть целый ряд статей Уголовного кодекса, предусматривающих ответственность как за халатность в соблюдении норм информационной безопасности, так и за разглашение сведений, составляющих коммерческую тайну.
Проблема же состоит в том, что хотя в принципе предприятия понимают необходимость комплексной защиты, на деле они далеко не всегда применяют весь спектр решений и организационных мер... Так, зачастую сотрудники бывают наделены правами локальных администраторов своих же рабочих компьютеров, копии данных хранятся на локальных ПК, переносятся на домашние компьютеры и ноутбуки посредством сменных носителей для использования вне пределов офиса. И объясняется это тем, что в ином случае бизнес компании попросту остановится.
Все эти технологии и организационные меры необходимы для того, чтобы уберечь важную информацию, относящуюся к коммерческой тайне, от изменения, уничтожения и утечки. Но если от изменения или уничтожения можно защититься технологическими средствами, например резервированием и дублированием, то в случае утечки процесс, как правило, необратим. На Западе такие проблемы могут приводить даже к полной остановке бизнеса. В нашей стране подобные происшествия (несмотря на то, что на черный рынок периодически попадают клиентские базы данных операторов связи, финансовых компаний, госучреждений) к катастрофическим последствиям не приводят. Во многом это связано с тем, что у нас пока в принципе невозможно то, что называют «кражей личности», когда, используя чужие личные данные, можно совершать всевозможные сделки.
Хотя нельзя исключить, что к моменту выхода этого номера из печати первый громкий прецедент, связанный с потерей бизнеса вследствие утечки информации, уже произойдет. Все началось в сентябре 2006 года, когда на черном рынке появилась база данных хостинг-провайдера Valuehost, где содержались пароли к более чем 100 тыс. интернет-сайтов, расположенных на этой площадке. Положение усугубили весьма неуклюжие действия администрации компании. А массовое заражение более чем 450 сайтов на этой площадке крайне опасной троянской программой Psyme, случившееся 1 декабря, похоже, будет иметь и вовсе фатальные последствия. Так что скандал на момент написания этих строк еще весьма далек от своего завершения, и его итогом, по мнению директора по маркетингу фирмы InfoWatch Дениса Зенкина, вполне может стать уход Valuehost из бизнеса.
Как уходит информация
Основной канал утечки информации на сегодня — электронная почта (рис. 1). На него приходится до 90% всех инцидентов. Действительно, все очень просто, даже банально: запустил программу, набрал адрес, прикрепил файл, и дело, можно сказать, уже сделано. К примеру, Юрий Лысенко утверждал, что в его практике было несколько случаев, когда информация уходила к конкурентам именно таким образом. Причем однажды из-за передачи всей информации конкурентам пошли насмарку результаты многомесячной работы нескольких департаментов банка над новой услугой. Авторитетное агентство Gartner по итогам 2005 года оценивало общую сумму ущерба от утечек информации по электронной почте в 24 млрд. долл. Однако есть тенденция к некоторому снижению использования данного канала, что связывают с внедрением систем мониторинга.
Рис. 1. Основные каналы утечки
информации
Все
более популярными у злоумышленников становятся различные мобильные устройства.
Сюда относятся ноутбуки, КПК, коммуникаторы, мобильные телефоны, флэш-накопители,
мультимедийные плейеры, цифровые фотоальбомы — одним словом, всё то, куда можно
записать какие-либо произвольные данные. Такие аппараты имеют очень многие,
и факт их подключения к рабочему компьютеру не является чем-то из ряда вон выходящим
и не вызывает никаких подозрений. И для многих организаций это стало форменной
бедой, поскольку очень часто техперсонал идет на поводу у сотрудников и открывает
порты для подключения такого рода устройств с тем, например, чтобы записать
мелодии в плейер (КПК, телефон). Тем более, что многие злоумышленники наслышаны
о средствах перехвата электронной почты и предпочитают пользоваться именно такими
устройствами. Это надежнее и быстрее. Так что в последнее время этот канал утечек
делит первое место с электронной почтой, а под данным InfoWatch даже лидирует.
Следующий способ — через интернет-пейджеры, например ICQ. Такими средствами
также пользуются очень многие, в том числе и на рабочем месте. Действительно,
это удобно для общения между сотрудниками внутри организации, равно как и с
вкладчиками, партнерами, покупателями, заказчиками. Интернет-пейджеры опасны
еще и тем, что часто протоколы, по которым ведётся обмен информацией, не имеют
защиты от перехвата с помощью всевозможных хакерских инструментов, которыми
могут воспользоваться и конкуренты. Плюс ко всему очень многие из них позволяют
передавать любые файлы. Но тем не менее при запрете пользоваться такого рода
ПО часто возникает сопротивление персонала и непонимание со стороны руководства.
На Западе данный канал утечек не слишком распространен, но у нас он весьма и
весьма популярен среди злоумышленников и занимает третье место, причем с относительно
небольшим отрывом.
Появляются и новые каналы утечки. Это, например, приложения IP-телефонии. К тому же многие софтофоны, в частности, Skype последних версий поддерживают не только голосовой разговор и видеоконференции, но и передачу файлов. Этот канал весьма перспективен для злоумышленников, поскольку передаваемая информация кодируется и поэтому системы мониторинга интернет-трафика бессильны выявить сам факт такой передачи, не говоря уже о том, чтобы его предотвратить.
Важным каналом для передачи информации является и исходящий Web-трафик. Если даже в компании действует система мониторинга корпоративной почты с контролем сигнатур, блокировкой по ключевым словам, адресатам, типам пересылаемых файлов и т. д., злоумышленник может воспользоваться бесплатным сервисом с Web-интерфейсом, например Mail.RU. Однако корпоративные политики безопасности нередко запрещают доступ к такого рода почтовым службам. Есть также серверы обмена файлами. Наиболее известен среди них Rapidshare и его «зеркала», есть и российские Slil.RU, Zalil.RU и тому подобные. Доступ туда многие компании тоже закрывают. Все чаще для утечек используются блоги, большинство которых до сих пор открыто. Доступ к дневнику можно открыть только для «друзей», отнеся к их числу себя самого и представителей конкурента, которые и должны получить передаваемую информацию. Если доступ к блогам закрыт, информация может уходить через публичные форумы, причем часто совершенно неожиданные. Например, тот же Юрий Лысенко приводил пример, как для «слива» информации использовался форум на сайте, посвященном подбору нянь и домработниц. Несколько лет назад именно так произошло с одним из мобильных операторов, когда сотрудник разместил на таком форуме информацию о новой услуге, запуск которой только еще планировался. В результате за день до предполагавшегося запуска данного сервиса точно такой же был предложен конкурентами. Причем в этом случае не было никакого злого умысла, сотрудник элементарно проболтался. Но все равно длительная подготовительная работа пошла насмарку. Точно так же через форумы обычно происходит «слив» различной негативной информации, обнародование которой может серьезно сказаться на имидже компании, а это опять же финансовые потери. С этим сталкивались очень и очень многие.
Однако только этими каналами возможности злоумышленников не исчерпываются. Как видно из рис. 1, довольно заметную долю занимает использование фототехники, копировальных и печатающих устройств, хотя эта доля все же имеет явную тенденцию к снижению.
Инсайдер поневоле
Благодаря возросшему уровню ИТ-знаний сотрудников, способных самостоятельно решать множество проблем от перезагрузки ПК до подключения и настройки дополнительных устройств к USB-портам, они свободно могут обращаться и с устройствами, поддерживающими беспроводную связь (сотовую, Wi-Fi и т. д.). Однако большая самостоятельность уже является нарушением основных принципов комплексной информационной безопасности. Все эти действия должны выполняться уполномоченными ИТ-специалистами, например, системными администраторами. Причем доступ к информации всех без исключения должен осуществляться в соответствии с корпоративными политиками и регламентами, с которыми каждый принимаемый на работу сотрудник соглашается, подписывая контракт.
Сотрудники, узурпировавшие излишнюю самостоятельность, являются потенциальными «инсайдерами-нарушителями». Всех нарушителей можно разделить на несколько групп. Первая — это манипулируемые сотрудники. Таковыми становятся, например, секретари, к которым обращается персонал других подразделений с просьбой переслать какую-то информацию на сторонний почтовый адрес. Такая ситуация может даже не противоречить интересам дела: корпоративная почта действительно время от времени «падает», требуемая информация нужна для работы и причин для отказа нет. Однако выполнение подобных просьб, что называется, прямым и явным образом нарушает корпоративные стандарты безопасности. Вторая категория — это «обиженные». Они становятся мелкими пакостниками, желающими досадить компании — что-то стереть, что-то «забыть» сделать и т. п. Нелояльные сотрудники — это третья категория нарушителей. Они стараются получить инструменты, знания и навыки для перехода в другую компанию, а потому придумывают способы имитации проблем и получения информации, которая им совершенно не нужна. И наиболее опасная категория — внедренные сотрудники: если такой человек ставит своей целью раздобыть секретную коммерческую информацию, то он, как правило, ее получает.
Как защититься
от «инсайдеров»?
По эмпирическим данным российской компании InfoWatch, стоимость защиты может
составлять от 50 до 800 долл. за рабочее место. Нижняя планка означает установку
технических средств контроля доступа, верхняя — полную защиту, включая обучение.
Как видно из рис. 2, до сих пор средства защиты от утечки данных имеют чрезвычайно
малое распространение. Хотя нельзя не отметить заметный рост по целому ряду
других направлений, кроме VPN. В том числе и того, что относится к средствам
контроля доступа и системам защиты от несанкционированного доступа к информации,
внедрение которых также закрывает целый ряд возможностей для внутренних злоумышленников.
Причем хотелось бы особо отметить, что в 2005 году использование IDS/IPS стало
по-настоящему массовым. Ну и особая статья — антивирусное ПО, которое используют
все опрошенные компании без исключения.
Рис. 2. Используемые средства
информационной безопасности
Безопасность
может быть неполной из-за нежелания ИТ-руководства сразу внедрять комплексные
средства безопасности — в случае лоскутной защиты всегда остается возможность
кражи данных. Однако сам класс средств борьбы с утечками информации еще крайне
молод и не всегда поддерживает необходимую функциональность. Например, использование
символов латинского алфавита вместо кириллицы позволяет легко обойти заслоны,
которые выставляют системы контроля электронной почты и Web-трафика. Отсутствуют
и по-настоящему комплексные системы, включающие в себя все средства защиты одновременно.
Отмечается и масса других детских болезней, в частности недостаточная масштабируемость,
завышенные аппаратные требования, плохая совместимость с другим используемым
на данном предприятии ПО. Так что приходится приобретать плохо связанные между
собой или не связанные вовсе программные и программно-аппаратные средства. В
результате, по данным InfoWatch, доля тех, кто основным препятствием для внедрения
таких систем считает их отсутствие (сюда же скорее всего следует отнести и тех,
кто не доволен функциональностью имеющихся) все еще весьма велика. Именно эта
причина, как видно из рис. 3, лидирует, причем с немалым отрывом. Однако это
вдвое меньше, чем годом ранее, что дает повод для некоторого оптимизма.
Рис. 3. Основные препятствия
для внедрения средств защиты от утечек
информации
Но
при этом начнет расти удельный вес других факторов, в частности такой застарелой
проблемы, как дефицит персонала. Плюс ко всему в ряде случаев применение средств
защиты может вступать в противоречие с законодательством, в том числе и российским.
В Британии и Австралии это уже стало серьезной проблемой, поскольку любой контроль
за электронной почтой там фактически запрещен. У нас, как видно из рис. 3, на
нее также указывают, хотя она занимает одно из последних мест по значимости.
Однако в потенциале юридические коллизии могут доставить массу сложностей руководству
компаний и сотрудникам служб информационной безопасности, которые оказываются
между молотом и наковальней разных статей уголовного кодекса. С одной стороны,
закон требует защиты коммерческой тайны, с другой — охраняет тайну переписки
и частной жизни. Конечно, определенные лазейки находят, например, требуя, чтобы
сотрудники подписывали уведомление о согласии на контроль их электронной переписки,
но все же нельзя исключать, что такая практика может быть признана незаконной.
