Защита от инсайдеров. Взгляд ИТ-аудитора

В ходе последних исследований в области информационной безопасности (ИБ) эксперты отмечают сохранение тенденций роста количества инцидентов из года в год. Сообщения в СМИ о различных инцидентах в сфере ИБ стали таким же обычным делом, как прогноз погоды. Кибербезопасность перестала быть проблемой, которая беспокоит лишь специалистов по информационным технологиям и ИБ. Инциденты в сфере ИБ сказываются на деятельности высшего руководства и на решениях, принимаемых советом директоров.

Чуть менее четверти всех утечек происходят под воздействием внешних атак. Порядка 70% утечек информации в организациях спровоцированы внутренним нарушителем.

Хакеры, спамеры, фишеры, организованные преступные группировки и многие другие внешние злоумышленники несомненно являются силой, с которой нужно считаться, однако, так называемые инсайдеры, в частности действующие и бывшие сотрудники компаний, стали самыми часто упоминаемыми виновниками преступлений, связанных с ИБ. Тем не менее, это не означает, что все сотрудники компании демонстрируют злонамеренное поведение и пытаются навредить бизнесу. Во многих случаях сотрудники могут стать невольными виновниками утечки информации, потеряв свои мобильные устройства или став жертвой фишинга.

Резкий рост числа инцидентов, связанных с «инсайдерами», может повлечь за собой более серьезные последствия для компании, чем атака извне. В рамках исследования по вопросам киберпреступности в США почти треть респондентов заявила, что преступления, связанные с действиями «инсайдеров», компании обходятся дороже по сравнению с инцидентами, в которых виновны внешние злоумышленники. Однако, во многих компаниях до сих пор не внедрены программы противодействия угрозам со стороны «инсайдеров», более того, в ходе опроса руководителей ИТ и ИБ отделов компаний было установлено, что анализ информационных рисков и аудит информационных технологий не проводятся вовсе, либо проводятся не регулярно. Соответственно, такие компании не готовы предотвращать и выявлять внутренние угрозы, а также должным образом на них реагировать.

«Сотрудник банка Morgan Stanley украл персональные данные 350 тысяч клиентов организации. Как сообщают Fox News, данные 900 клиентов попали в Сеть еще 27 декабря. При этом в интернете были опубликованы только имена людей и номера их счетов, пароли и номера социального страхования в Сеть выложены не были. В банке пояснили, что мужчина, вероятно, планировал продать эту информацию. В Morgan Stanley отметили, что никаких краж со счетов зафиксировано не было. В организации отказались предоставить подробную информацию о личности и должности совершившего правонарушение работника. Известно, что мужчина был уволен»  

Fox News, 6 Января 2015

   «Издание «Коммерсант» опубликовало на своих страницах подробности удивительной истории. Бывший сотрудник компании «Яндекс» не только сумел похитить исходные коды поисковой машины «Яндекса», но и попытался продать их на черном рынке. Злоумышленник просил за главный секрет компании всего $25 000 или 250 000 рублей, очевидно, совершенно не представляя реальную стоимость украденной интеллектуальной собственности, которая по оценкам составляет несколько миллиардов рублей. Если бы утечка кода действительно произошла, это неминуемо сказалось на котировках акций «Яндекса» на NASDAQ, и компания утратила бы доверие иностранных инвесторов»

Коммерсант, 24 Декабря 2015

По сравнению с 2014 годом, ситуация не изменилась, основным источником угроз по-прежнему являются действующие работники. При этом среди всех источников угроз наибольший прирост по сравнению с предыдущим годом был отмечен у инцидентов, связанных с действующими и бывшими подрядчиками.


По информации аналитического центра Infowatch, в 2015 году зарегистрировано 484 (32,2%) утечки информации, причиной которых стал внешний злоумышленник; в 984 (65,4%) случаях утечка информации произошла по вине или неосторожности внутреннего нарушителя.

Также установлено, что в 2015 году в 51,2% случаев виновниками утечек информации были настоящие или бывшие сотрудники – 48,9% и 2,3% соответственно. Более чем в 1% случаев зафиксирована вина руководителей организаций (топ-менеджмент, главы отделов и департаментов). Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, выросла на 3,5 п. п., составив 7,6%. Для 6,5% виновника утечки установить не удалось.


Заметным показателем прогресса в этой области является стремление компаний инвестировать средства в ИБ. В 2015 году многие компании существенно увеличили расходы на обеспечение ИБ, чтобы быть на шаг впереди и иметь возможности для решения проблем в области ИБ.


По результатам Глобального исследования тенденций ИБ на 2016 год, важнейшей задачей в рамках проводимых компаниями мероприятий по ИБ является оценка уровня обеспечения ИБ, основанная на оценке рисков.

В текущих реалиях размеры ущерба, наносимые компаниям в случае реализации хотя бы одного информационного риска, уже сопоставимы с прибылью компании за месяц, а в некоторых случаях и за год. Руководство компаний вынуждено принимать во внимание новые угрозы для бизнеса и реагировать на них соответствующим образом. В качестве мер реагирования все больше компаний разрабатывают организационные меры обеспечения ИБ, внедряют облачные решения, страхуют бизнес от наступления информационных рисков, а также интегрируют новейшие системы аутентификации. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты. Организационная защита информации является началом, так называемым «ядром» в общей системе защиты конфиденциальной информации предприятия. Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия. Важным элементом подобного анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения и доступа к ним различных категорий сотрудников.

При создании эффективной системы предотвращения рисков ИБ важно интегрировать ИБ-компоненты в общую ИТ-структуру. Как правило, система ИБ выстраивается уже после появления системы автоматизации предприятия и ИТ-инфраструктуры. Случаев, когда обе системы проектировались одновременно, - единицы. На практике доля компаний, которые внедряют действительно процессы, а не просто набор отдельных средств ИБ невысока - не более 20%. Чаще всего, запросы не идут дальше средств межсетевого экранирования и антивирусного программного обеспечения, а в дополнение к ним разные утилиты без какой-либо целенаправленности. Оценка системы ИБ в целом, контроль общей защищенности всех систем и управление ими являются главными условиями для надежной работы предприятия. Это влечет за собой спрос на услуги аудита и аутсорсинга.

Компаниям, занимающимся построением системы контроля над действиями инсайдеров, можно рекомендовать следующее:
  • довести до всех сотрудников правила обращения пользователей с корпоративной информацией
  • выявить все потенциальные каналы утечки данных и определить спектр средств, которые позволяют их контролировать
  • предусмотреть возможность блокировки передачи наиболее важной информации в реальном времени.
Следование этим рекомендациям поможет повысить эффективность работы по контролю над утечкой информации по вине инсайдеров.

Автор статьи: Кацело Александр