Охота на «засланного казачка»
Промышленный шпионаж в России не относится к распространенным средствам конкурентной борьбы. На самом деле большая часть потерь важной информации происходит из-за ошибок, невнимательности и некомпетентности сотрудников компаний. Защищаться же от профессиональных шпионов, внедренных в компанию, по умолчанию, возможно. Вопрос лишь в цене.
Согласно отчету Ассоциации специалистов по борьбе с профессиональным мошенничеством и злоупотреблениями (ACFE), компании в США теряют по этим причинам порядка 5% оборота, что, по прогнозам на 2006 год, составит около $652 млрд. Риск потери информации возрастает при внедрении средств автоматизации предприятий. В России основным заказчиком систем защиты информации является государство – 70% заказов исходит от госструктур. Из частных компаний вопросами безопасности всерьез озадачиваются пока только крупнейшие.
Зона риска
Долгое время большинство компаний делали ставку на защиту от промышленного шпионажа. Вместе с тем опасность утечки информации через собственных сотрудников очень четко осознавалась уже несколько лет назад. «Например, специалисты банковской сферы, ответственные за безопасность, давно выявили «баланс» между внешними и внутренними угрозами. Оказалось, что большая часть опасностей – примерно 65% – находится именно внутри организации», – констатирует Андрей Петухов, директор департамента систем информационной безопасности компании «АйТи».
«Мы подписываем бумаги о неразглашении имен наших клиентов. Посмотрите топ-200 российских банков и топ-100 крупнейших компаний России: многие из них были или остаются нашими клиентами, а большинство хотя бы один раз обращались к нам по вопросам защиты информации, – говорит заместитель директора по консалтингу компании «Информзащита» Максим Эмм. – Около 10% из них сообщают о фактах утечки или подозрениях на этот счет, но, так как компании неохотно признаются о наличии «дыр» в защите, можно предполагать, что больше 50% наших клиентов пострадали от инсайдеров».
По словам Андрея Петухова, одна из основных причин, сдерживавших до недавнего времени развитие защиты от внутренних угроз, в том, что компании считали неправильным выносить на широкое обсуждение случаи утечки информации или сбоев в работе информсистем по вине собственных сотрудников. Такие истории могут серьезно пошатнуть авторитет фирмы со всеми вытекающими финансовыми последствиями. Согласно данным аналитических исследований, в официальных опросах на вопрос о том, реализовывались ли угрозы в области информационной безопасности из-за действий персонала, утвердительно отвечают не более 20% компаний. В приватных беседах или в ходе ИТ-аудита систем информационной безопасности выясняется, что пострадавшими оказываются около 80% организаций. По данным же компании «Информзащита», количество обращений с просьбой защитить информацию от утечки выросло на 100% относительно прошлого года. Инсайдеры являются весьма серьезным источником угроз, однако возможности для того, чтобы эти угрозы претворились в жизнь, создают сами компании. Как это происходит?
Петухов поясняет, что в соответствии с принятой политикой информационной безопасности в компании ограничиваются полномочия пользователя, его доступ к информации. Это ограничение, как правило, строится не на тщательном многофакторном анализе, а на достаточно простых и прямолинейных соображениях. Поэтому сотрудникам зачастую предоставляются избыточные полномочия, иначе говоря, из опасения запретить необходимое разрешается лишнее. Например, согласно стандарту рабочего места, операционисту банка предоставляют право не только просматривать содержимое счетов, но и копировать их. Очевидно, что эта функция избыточна. «Реальные границы полномочий каждого сотрудника очень причудливы, а средства информационной защиты часто не позволяют учесть всех нюансов. И именно в этом пространстве между минимально необходимыми и реально предоставленными полномочиями и возникают внутренние угрозы. Большинство сотрудников вполне лояльны к своей компании и не обращают собственные полномочия ей во вред. Однако часть персонала сознательно или бессознательно становятся злоумышленниками», – говорит Петухов.
В целом всех «вредителей» условно можно разделить на две категории. Первая – это сотрудники, которые становятся источником утечки информации либо причинами сбоев ИТ-систем из самых благих побуждений. Ситуации, когда человек берет работу на дом, выводит информацию на внешний носитель, а затем теряет его, отнюдь не редки. «Вспоминается курьезный случай, произошедший в одном из крупных банков. Накануне праздника сотрудник случайно на несколько часов вывел из строя почтовый сервер, потому что решил разослать поздравительные открытки всем коллегам и знакомым», – вспоминает Андрей Петухов.
Сложнее обстоит дело с нарушителями, которые сознательно стремятся нанести вред родной компании. Зачастую это люди с уязвленным самолюбием, достоинства которых, по их мнению, не оценили. Они готовы пойти на то, чтобы оставить свой «след в истории» другим способом. В зону риска также попадают сотрудники, увольняющиеся в результате конфликта. Они стараются уйти, хлопнув дверью, и наиболее «талантливым» удается нанести ощутимый вред ненавистной фирме.
Обретение баланса
Современный рынок предлагает довольно широкий спектр средств для защиты информации – от традиционных до экспериментальных. По словам специалистов, в настоящее время активно разрабатываются методики, предназначенные для оценки потенциальной опасности, исходящей от персонала организации. Они базируются на социальной психологии и данных психофизиологических исследований. В результате их применения можно получить профиль лояльности каждого сотрудника. «Этот способ очень эффективен при небольших финансовых затратах, но методика персонифицированной защиты от внутренних угроз – дело будущего. В большинстве компаний вместо персонального профиля пока создаются профили групповые, на основе должностных обязанностей той или иной категории сотрудников», – говорит Андрей Петухов. В компании-интеграторе средств защиты информации «Информзащита» собственная служба безопасности практически отсутствует. Лучший способ оградиться от утечки важных данных – не пустить потенциального шпиона в компанию. Ставка делается на проверку предыдущей истории человека, общение с прошлыми руководителями, тщательное изучение всех фактов жизни будущего сотрудника. Часто своим клиентам «Информзащита» рекомендует полиграф.
Но до сих пор многие компании считают, что для защиты достаточно установить несколько дорогих серверов и какой-то один программный пакет. «Часто к нам обращаются компании с просьбой установить ту или иную программу в надежде, что это существенно снизит их риски, – отмечает Максим Эмм. – В действительности это невозможно. Какой-то одной меры, чтобы полностью обезопасить себя от инсайдеров, не существует. Зато применение комплексных методов защиты снижает риск утечки информации до долей процента. Ограничиться лишь установкой аппаратных и программных средств не получится. Без продуманной системы процедур и политики безопасности эффективность «железок» равна нулю».
«Конечно, комплексное решение InfoWatch нельзя считать панацеей от инсайдеров и утечек. Однако в совокупности с организационными мероприятиями наши продукты позволяют минимизировать риски утечки и искажения конфиденциальной информации», – соглашается директор по маркетингу компании InfoWatch Денис Зенкин. Показательно, что InfoWatch зафиксировала трехкратный рост продаж своих решений по сравнению с прошлым годом. Зенкин приводит несколько примеров из практики компании. По его словам, один из стратегических клиентов, с которым фирма сотрудничает уже больше года, за 12 месяцев эксплуатации InfoWatch Enterprise Solution смог блокировать 11 серьезных утечек. «Другой пример – когда наш потенциальный клиент из финансового сектора выразил сомнения в эффективности решения и поэтому внедрил его только в одном из офисов для контроля над одной лишь электронной почтой. Всего за 3 недели тестовой эксплуатации удалось предотвратить утечку, последствия которой перекрывают стоимость решения в несколько раз. В результате клиент перешел из разряда потенциальных в категорию постоянных», – говорит Зенкин. Как показательный пример он приводит фирму LETA, которая смогла выявить инсайдера, пытавшегося проводить поставки продуктов не через своего работодателя, а через подставную фирму. Этот инцидент был предан широкой огласке. Однако Зенкин констатирует: «Несмотря на то что система InfoWatch Enterprise Solution позволяет эффективно предотвращать утечки, против специально внедренного инсайдера с целым набором шпионских инструментов она вряд ли поможет».
Стремление к объективности
И тем не менее от «засланных казачков» необходимо как-то защищаться. Первое, что необходимо делать в этом направлении, – структурировать информацию по степени важности как минимум на 3 – 4 типа и разделить пользователей на группы с разными правами доступа к ней. Важно также разработать адекватную политику безопасности, фактически создать документ с правилами обращения с информацией, с накопителями данных, техническими устройствами, позволяющими записывать звук, фотографировать или переносить информацию. Часто компании не понимают, какие данные представляют наибольшую ценность, какая утечка в действительности может привести к убыткам. Важно в первую очередь определиться в этом, самостоятельно или наняв внешних профессионалов. Далеко не все компании имеют в штате специалиста, ответственного за сохранность данных. Услуга аутсорсинга информационной безопасности дешевле содержания такого сотрудника, что очень важно для среднего бизнеса. Кстати, многие из таких фирм владеют конфиденциальными сведениями, например, персональными данными своих клиентов. И если на открытом рынке время от времени появляются базы данных крупных предприятий, то завладеть не защищаемыми сведениями компании средней руки – не столь сложная задача. Кроме того, серьезным аргументом в пользу привлечения аутсорсера является его объективность: можно быть уверенным, что он будет непредвзято отслеживать действия всех нарушителей и сообщать о них, несмотря на их статус внутри компании.
Важно, чтобы конфиденциальные данные в принципе можно было защитить. Иногда для обеспечения такой возможности необходима реструктуризация всего рабочего процесса. «Например, если взять базу ГИБДД, которая продается на каждом углу, то ее защитить практически невозможно, потому что она находится на каждом компьютере каждого гаишника, – рассказывает Максим Эмм. – Приходится сталкиваться с нежеланием перестраиваться под новые правила как раз со стороны высшего руководства, имеющего доступ к самой конфиденциальной информации». Когда информация разделена по степени конфиденциальности, необходимо определиться, кто и какие действия имеет право с ней совершать. Здесь, по данным компании «АйТи», эффективно применяются способы аппаратного ограничения доступа к информационной системе. В том числе и терминальные технологии. При обращении «через терминал» пользователь не может скрыть ни одного своего шага в работе с информационной системой. Как один из путей защиты данных может использоваться внутреннее разграничение информационного пространства.
«Сейчас защита строится в основном по границе между корпоративной информационной системой и Интернетом, – говорит Андрей Петухов. – Тогда как всю внутреннюю среду необходимо делить на подпространства, между которыми следует установить такие же средства защиты. Соответственно риски будут реализованы уже не в масштабах всей системы, а в пределах определенного ее участка. Средства сегментирования совсем недавно появились на российском рынке, на сегодняшний день они представлены продуктами компаний Range Networks и Sistola».
Премодерация глупости
Андрей Демонов, системный администратор компании «Симба», занимающей порядка 15% оптового рынка детских игрушек, в офисе которой работают более 300 сотрудников, предпочитает использовать комбинированные средства защиты и контроля прав доступа. Некоторые из них представляют собой самостоятельно созданные программные продукты, другие – распространенные решения типа EmDaemon, Starr, ServControl в качестве надстройки на файервол. Также используются скрытые метки для конфиденциальных файлов отчетов из баз данных компании, которые сигнализируют обо всем: кто и что делает с этим документом. Пару раз таким образом были выявлены случаи отправки вовне данных из клиентской базы.
Компания «Симба» раньше использовала премодерацию почты, был нанят специальный человек, который просматривал все исходящие письма. Но от этого решили отказаться по причине высоких затрат. К тому же с ростом компании стало сложно разбираться в том, кто какую информацию имеет право отправлять и куда. Потребовался бы огромный документ, описывающий все эти процессы. «Самое эффективное – разрешать как можно меньше, например, давать право использовать корпоративную почту только внутри компании. Также у нас полностью запрещены любые накопители данных, имеются ограничения на просмотр веб-страниц, программно запрещены любые бесплатные почтовые серверы, – говорит Андрей Демонов. – Конечно, мы не следим за принтерами и не сканируем весь трафик, на это потребовалось бы потратить слишком много человеческих ресурсов».
В некоторых компаниях настолько увлекаются подобными средствами, что это становится, мягко говоря, нецелесообразно. «Встречаются клиенты, у которых даже электронную почту сначала секретари распечатывают и только потом приносят адресату в офисе, но с такими мы не работаем, это уже паранойя», – сообщает Максим Эмм.
ИТ-директор сотового ритейлера «Беталинк» Андрей Ксенофонтов применяет минимум средств контроля. В «Беталинке», утверждает он, не используется ничего, кроме структурирования информации по степени важности и разделения прав доступа к ней. Системы тотального контроля за действиями пользователя, по его мнению, ничего, кроме огромных архивов данных, не дают. «На прежнем месте работы мы использовали все средства контроля: запись телефонных переговоров за неделю, звонков с/на телефоны из черных списков. Сканировался весь интернет-трафик, использовалась премодерация писем до отправки, даже велись keylogs, контролирующие все нажатия клавиш, и все равно информация утекала, – рассказывает Ксенофонтов. – Но такие средства помогают предотвратить утечку по глупости, например, в моей практике был случай, когда девушка начала делать диплом по MBA с реальными цифрами по своей компании, никого об этом не известив. Обнаружилось это с помощью премодерации. Обычно сотрудников, попавшихся на таких ошибках, увольняют. В этом случае увольнение было бы слишком строгим решением, так что ее просто лишили зарплаты».
Еще один случай из его практики – когда во время августовского кризиса на мобильном рынке в прошлом году были задержки в выплате зарплаты в компании. В это время один сотрудник отправил через телефон по GPRS письмо на все адреса «Беталинка» с текстом о том, как все плохо. «Отправителя так и не нашли, – вспоминает Ксенофонтов. – «Билайн» не открывает GPRS-логи, но если бы была потеряна критично важная информация, то мы привлекли бы внешних специалистов, имеющих право вести расследования. В данном случае для исправления ситуации было достаточно письма от руководства, поднявшего боевой дух».
И все же ни аппаратные, ни программные средства не могут обеспечить должной защиты. В крайнем случае, человек, имеющий доступ к секретным файлам, может просто переписать данные с экрана монитора, не копируя их. Техника бессильна против изощренного ума человека, что давно доказали советские шахматисты. «Секрет кока-колы до сих пор не раскрыт, несмотря на то, что ее производят на многих заводах во всем мире, – говорит Максим Эмм. – Это вопрос, насколько ценна ваша информация, сколько вы готовы вложить в то, чтобы ее обезопасить». Тем не менее решить вопрос конфиденциальности без учета человеческого фактора невозможно. Лучший способ – просто не допускать потенциально опасных людей в компанию.