Защита от своих

Текст Олег Кузьмин, эксперт  olegnk2@yandex.ru

Многолетняя практика работы в области защиты государственных и коммерческих секретов, убеждает в том, что абсолютное большинство инцидентов, связанных с потерей конфиденциальной информации происходящих на предприятии (организации), так и остаются не выявленными. О них просто никто не догадывается.

Информационная безопасность предприятия, инсайдеры, хакеры, сетевые вирусы – все это популярные по нынешним временам понятия. Мы слышим их сплошь и рядом в той или иной интерпретации. Несмотря на то, что данная тема очень молода (лишь с середины 80-х годов об этом заговорили более менее серьезно), ей уже посвящены многочисленные тома книг весьма именитых и наоборот совершенно не известных авторов, которые учат нас от кого конкретно и как надо защищать свою информацию.

Почти все они содержат профессиональные глоссарии и терминологию, применяемые в сфере защиты информации, а также зачастую и выдержки из Законов РФ, Указов, документов Гостехкомиссии  России, регламентирующих вопросы защиты информации.

Идея написания статьи возникла именно из-за однотипности представленных  на сегодняшний день материалов по данной тематике.  Однотипность, на мой взгляд, выражается в методологии доведения самой информации до читателя. Несомненно, умных мыслей  изложено в них немало, и  они являются хорошим подспорьем любому заинтересованному специалисту, но все же…

Так, практически невозможно найти материалы, рассказывающие о практических трудностях возникающих у руководителей предприятия и службы безопасности при построении системы защиты корпоративной сети предприятия (организации),  описывающих реальные картины происходящих в этот период процессов. И наконец, самое главное – нет материалов которые учили бы как предупреждать неизбежные в этих случаях ошибки, строить взаимоотношения с сотрудниками, работающими в корпоративной сети, оптимально выбирать средства и методы защиты, позволяющие эффективно защищать принадлежащую вам информацию.

Чем определяется эффективность работы подразделения информационной безопасности, да и всей службы безопасности в целом? Количеством раскрытых и расследованных инцидентов, суммами остановленных финансовых потерь, а может быть количеством выявленных внутренних (инсайдеров) или внешних (аутсайдеров) врагов? Уверен, что вероятно очень немногие из числа уважаемых читателей дадут сейчас убедительный ответ на этот вопрос.

 Когда мы имеем дело с явным фактом кражи резервных копий магнитных носителей информации или потерей данных вследствие событий техногенного характера, тут уже все факты как говорится налицо. Были диски,  и вот их уже нет, была информация на корпоративном сервере и вот она стерта. Такие случаи осязаемы и видны даже непрофессионалу. А вот как быть в случаях, если конфиденциальная информация как хранилась в компьютере в виде нескольких файлов, так и лежит там. Если мы ее видим, значит ли это, что информация не была уже кем-то  похищена (например, сделана копия на дискету или произведена ее распечатка на принтере) и собственно инцидент уже имел место?  Можем ли мы предположить, что кто-то случайно, а может намеренно сделал одну (а может и значительно больше) копий этих файлов и предположим, отправил их по вашей же корпоративной почте конкурентам, или вынес в кармане скопированными на диск, или просто не распечатал на ближайшем сетевом принтере? Эти вопросы часто остаются без ответа, да и не задаются часто никем  ни директором, ни самими работниками службы безопасности. И только когда вдруг в средствах массовой информации,  или еще хуже – у  конкурентов появляется  конфиденциальная информация из упомянутых выше файлов, все начинают судорожно искать злодея, закрывать все мыслимые и немыслимые каналы утечки, ну и конечно показывать коллегам, что работники службы безопасности тоже не зря кушают свой хлеб и уже вот-вот раскроют этот вопиющий инцидент.

Предвижу несогласие читателей,  дескать у них, ничего закрытого в корпоративной сети нет, и сотрудники все лояльны, да и воровать то нечего, кому она нужна наша информация!

Тем не менее, поверьте, дорогие друзья, даже у вас все обстоит именно так! Просто вы об этом не знаете. Ну, а в дальнейшем внезапно по неизвестной для вас причине в последний момент вдруг сорвется выгодная сделка, хороший VIP-клиент без объяснения причин вдруг уйдет к ближайшему конкуренту, какая-либо услуга постепенно станет нерентабельной. Да мало ли, что еще может произойти. Только вряд ли вы свяжете некоторые, в сущности,  мало значительные по отдельности события в единую цепочку последствий утраты небольшого количества конфиденциальной информации.

Технологическая революция породила инсайдеров

В появлении внутренних врагов – инсайдеров первоначально «виновата» технологическая революция. Если раньше конфиденциальная и служебная информация занимала множество шкафов и сейфов в отдельных изолированных помещениях, получить документ содержащий сведения составляющие тайну предприятия можно было только под роспись и соответственно в конце рабочего дня также под роспись вернуть его, то теперь… Все что лежало в этих шкафах и сейфах легко поместится на несколько магнитных дисках, а уж скопировать с них нужную информацию и вынести за пределы родного предприятия и вовсе минутное дело.

Нелегко устоять перед соблазном взять то,  что свободно лежит на сервере, ведь это может пригодиться на новом месте работы. А если есть человек, который согласен заплатить за эту информацию? Это может показаться странным для руководителя. Но большинство его подчиненных искренне считают, что им не доплачивают за выполняемую работу  (в ряде случаев, кстати – это действительно так). А раз это так – то надо взять самому и компенсировать эти досадные недоразумения,  допущенные руководством. Поверьте, угрызений совести инсайдеры почти никогда не испытывают (они ведь свое берут), большинство из них довольствуется малым. Но малым для одного – понятие относительное, когда речь идет о достаточно большом предприятии (организации), на котором, предположим, каждый пятый-шестой сотрудник регулярно пользуется информацией в корыстных целях.

Несколько лет назад в штабе одного из флотов России было спланировано и проведено необычное учение: под видом поиска запрещенных к выносу предметов, проводился поиск магнитных носителей нелегально покидающих пределы штаба. Результаты первых же 2 часов проведения учения буквально ошеломили его организаторов и командование флотом. Несанкционированно выносились сведения такого характера, что расследования по ним длились впоследствии еще далеко не одну неделю. Замечу, что учение проводилось во времена отсутствия многих современных переносных средств копирования и хранения информации.

Согласно отчету «Global Business Security Index Report 2005», публикуемому компанией IBM ежегодно, именно внутренние угрозы, исходящие от собственных сотрудников компаний, будут являться одной из самых опасных угроз 2006 года.

Так, в прямое подтверждение этого вывода, по сообщению ComputerWorld в январе 2006 года  служащая компании Progressive Casualty Insurance воспользовалась приватной информацией клиентов фирмы о заложенном имуществе. Сотрудница заинтересовалась сведениями о лишении права на выкуп закладной, с целью приобрести заложенную недвижимость. Таким образом, эта служащая положила глаз на дом клиента. Она выкупила заложенную недвижимость, но потом неправильно использовала информацию в базе данных. Другими словами, бывшая сотрудница не взламывала систему безопасности, но нарушила кодекс этики своего работодателя в личных целях.

Аналогичные действия совершаются и в России. Вы никогда не сталкивались с тем, что сотрудник пополняет свои телефонные счета и счета своих друзей  деньгами компании? Или зарабатывает в сети Интернет,  используя трафик и ресурсы вашей компании? Или продает пароли и коды к выпускаемым вашей компанией карточкам IP-телефонии? Вполне вероятно, что столкнетесь, вероятно, также, что узнаете об этом, когда будет слишком поздно для того, чтобы вернуть украденные в компании  деньги и утраченный положительный имидж.

 Образно говоря всех инсайдеров следует разделить на несколько основных групп, вот они:

 

Взглянем на них подробнее. Итак, первую группу представляют сотрудники умышленно совершающие противоправные действия (под противоправными будем понимать все действия противоречащие кодексу этики, политики безопасности и другим принятым внутренним документам).

Это наиболее опасная группа, поскольку именно сотрудники, входящие в нее,  как правило,  заранее планируют свои действия и соответственно тщательно готовятся к ним. В свою очередь группа делится на две составляющие: сотрудников ищущих возможность обогатиться за счет предприятия (организации) и сотрудников вынашивающих планы мести как руководству предприятия (организации) за нанесенные несправедливые обиды или неоцененный талант, так и своим же более удачливым коллегам. В первом случае предприятию грозят финансовые потери и потеря имиджа в глазах клиентов, во втором возможны уже более крупные финансовые потери и морально-этические конфликты внутри предприятия.  За примерами далеко ходит не надо. По сообщению itnews.com.ua Уволенный работник UBS PaineWebber подложил в корпоративную сеть "логическую бомбу", ущерб от которой составил 3 миллиона долларов. ("Логическая бомба" - это компьютерная программа, выполняемая периодически или в определенный момент времени с целью исказить, уничтожить или модифицировать данные. Основными условиями запуска логической бомбы являются наступление определенной даты, нажатие определенных клавиш или внутренний таймер программы).

"Логическая бомба", действовавшая в качестве вируса, поразила около 1000 (из 1500) компьютеров, подключенных к корпоративной сети UBS PaineWebber и расположенных по всей территории Соединенных Штатов. Роджер Дюронио, покинувший компанию за 10 дней до этого происшествия, жаловался на невысокий заработок и небольшие премии. Федеральный суд обвинил Дюронио по статьям мошенничества с ценными бумагами и компьютерного мошенничества.

Два года назад в крупном филиале одного из  операторов проводной связи Северо-Запада России имел место случай, когда группа сотрудников решила отомстить своему коллеге после того, как он перестал быть их непосредственным руководителем. План мести был составлен коварно и затрагивал сугубо личные интересы жертвы. Как ни странно всем в этой истории руководила женщина, зная,  что бывший начальник серьезно увлекается новыми методами очищения организма, она подговорила двух других сотрудников отомстить ему,  сыграв именно на этом увлечении. В назначенный день жертва получила на свой корпоративный почтовый адрес письмо от регионального директора филиала, в котором директором высказывалась явная заинтересованность  в используемом методе очищения и предложение описать его более подробно. Обрадованный таким высоким вниманием к себе и своему увлечению  сотрудник,  радостно потрясая,  распечатанным письмом два дня бегал по офису,  показывая его всем встречным, не замечая злорадных усмешек коллег за спиной. Затем он получил второе письмо от того же адресата, в котором  уже  заподозрил явное издевательство над собой. Возмущенный, он написал заявление на имя директора с просьбой разобраться в данной ситуации, найти и наказать обидчиков. Далее, привлеченный по распоряжению директора сотрудник отдела информационной безопасности без особого труда определил истинного отправителя данного письма, внутренний почтовый адрес которого просматривался в теле письма. Последствия не заставили себя ждать: внутреннее расследование, конфликт в коллективе, невозможность совместной работы и так далее и  в том же духе.

Вторую группа объединяет сотрудников,  неумышленно совершающие противоправные действия. Хотя эта группа и менее опасна, чем предыдущая, однако  ущерб от инсайдеров этой группы может быть колоссальным и,  как правило,  непредсказуемым.

Как вам, например, такой случай. Некий не рядовой сотрудник уже упомянутой  компании - оператора связи осенью 2004 года решил воспользоваться корпоративной почтой для отправки содержимого музыкального диска объемом 700 Мб своему другу. Мощный корпоративный почтовый сервер взялся за столь сложную задачу и пытался решить ее более чем двое суток подряд . В это время естественно не работала корпоративная почта у почти  800 сотрудников главного офиса, письма либо не отправлялись вообще, либо отправка любого из них занимала не менее 10 - 20 минут. Попробуйте посчитать понесенные  убытки! Их,  правда никто так тогда и не посчитал… А сотрудник,  как оказалось не знал, что так делать нельзя и,  что почтовый сервер компании для таких задач не предназначен.

Большей частью в эту группу попадают все же не пользователи, а  администраторы корпоративной сети и администраторы отдельных серверов из любопытства пытающиеся изменить настройки или ненамеренно вследствие своей лени не устанавливающие критически важные заплатки к программному обеспечению (ПО), а то и крайне необходимое для работы серверов ПО.

И снова пример в тему. 11 декабря 2003 года внезапно корпоративная сеть крупной компании в Мурманске подверглась мощной распределенной атаке изнутри. Перестала работать файрвол-служба корпоративного прокси-сервера, а затем завис и сам сервер. Клиенты компании не могли с этого момента получать оплаченные ими обновления для программы «Консультант Плюс», а все сотрудники компании лишились доступа в сеть Интернет. Причина, банальна, один из администраторов локальной сети «снес» на подопечных серверах и компьютерах пользователей установленную антивирусную программу TrendMicro ,так как она по его мнению «мешала»  им нормально работать. События и их последствия не заставили себя ждать. Вирус-червь Opasoft атаковал прокси-сервер изнутри корпоративной сети и именно с этих компьютеров, чем и вывел практически всю корпоративную сеть из строя на трое суток, убытки для коммерческих пользователей компании составили более 50 тыс. руб., а убытки для своей компании? Вы, наверное, уже догадались - их никто, как и раньше не считал.

И теперь, наконец, третья группа – сотрудники, сочувствующие совершаемым противоправным действиям. Эта группа, конечно же не так опасна в нанесении убытков компании, как рассмотренные первые две группы. Они сами ничего не воруют и не думают о своей выгоде. Их главная опасность заключается в  равнодушии к происходящим вокруг них событиям противоправного характера, а то и ставшим возможными просто с молчаливого их согласия. В группу могут входить  в принципе любые сотрудники компании, администраторы, пользователи сети. Они видят и понимают, что их коллега за соседним столом занимается воровством и получением личной выгоды за счет ресурсов компании, но молчат, не останавливают его сами и не сообщают в службу безопасности.

Возникает резонный вопрос, как же бороться с инсайдерами, нужно ли это вообще? Ответ на него у меня один – бороться с инсайдерами нужно используя дифференцированные подходы и оптимально необходимые средства, причем в каждом конкретном случае, в каждой отдельно взятой компании или на предприятии они могут оказаться разными в зависимости от специфики их деятельности. Однако максимальная эффективность проводимых мероприятий может быть достигнута только благодаря вдумчивому и разумному подходу к поставленным задачам при четком понимании желаемых конечных целей.

На вторую часть вопроса, по поводу необходимости борьбы с инсайдерами в принципе, отвечу так. Если ваша компания, предположим,  зарабатывает в месяц 120 млн. руб.  и вас совершенно не интересует, может ли она зарабатывать за этот же месяц 130 млн. руб. при условии одинакового количества заключенных договоров с клиентами. Если вам неинтересно, почему доход компании вместо ожидаемой вами суммы в те же 120 млн. руб. по непонятной причине вдруг сократился до 115 млн. руб. Если вы не планируете получать инвестиции в развитие своего бизнеса, не хотите работать с крупными клиентами, а также выходить на мировой рынок. Тогда вам, бороться с инсайдерами, да и в целом заниматься серьезно вопросами информационной безопасности совсем не обязательно.

Методы борьбы

Конкретные методы борьбы и ее практические аспекты в разных организациях могут существенно отличаться, но все они направлены по существу на одну главную цель – максимально возможное сокращение числа предпосылок к инсайдерству и полное исключение ситуаций приводящих к нему. Что бы понять, какие конкретно методы могут использоваться нужно, прежде всего,  выявить предпосылки инсайдерства и оценить исходную ситуацию.

Разберем эти предпосылки  на примере следующей схемы, раскрывающей причины, порождающие инсайдеров:

 

Итак, инсайдеры процветают в организации, когда в ней: Во-первых, работники имеют необоснованные привилегии к ресурсам корпоративной информационной сети.

Например могут просматривать папки и находящиеся в них файлы не имеющие отношения к выполнению их непосредственных обязанностей, при желании копировать их и выносить копии порой очень важных документов за пределы организации. Следует понимать, что инсайдер – это не только человек, который преследует личную выгоду или достижение каких-либо личных целей, инсайдером можно назвать и человека, который из любопытства  может просматривать доступные ему чужие папки в сети, а потом делиться их содержимым с друзьями и знакомыми.

Так, например, представьте резонанс, который был вызван событием, когда некий сотрудник нашел в открытой сетевой  папке одного из бухгалтеров  своей компании файлы с начислением заработной платы начальникам различного уровня.

 Первое, что он сделал, это сравнил их зарплаты со своей, а потом разослал всем знакомым работникам, среди которых оказались и начальники подразделений,  получающие зарплату куда меньше указанной в скопированных файлах. Выяснилось к примеру, что  начальник одного отдела получал зарплату  в два раза меньшую, чем начальник соседнего отдела. Обиды на руководство за низкую оценку своего труда надолго затаились в сердцах десятков сотрудников организации.

Во-вторых, работник не дорожит тем, что он  имеет (престижность, стабильность, гордость за выполняемую работу и принадлежность коллективу, стремление приносить пользу и прибыль организации). Обычно большая текучесть кадров –  верный признак существования у вас  рассматриваемой предпосылки.

За примерами обычно далеко ходить не надо. Если в организации работник знает, что в любом случае (есть прибыль, нет прибыли) он получит все доступные по его должности привилегии, то никогда не будет напрягаться на работе, как бы вы этого не хотели. А зачем? Вы же должны ему отдать все что положено, а если будет мало, то он и сам возьмет… на работе.

В прошлом году был проведен закрытый эксперимент в компании, работники которой жаловались на низкие зарплаты и премии. Причина отсутствия премий была определена глобально – невыполнение плана по целому ряду услуг. Из 3500 сотрудников было опрошено около 100.  

Итак, компания крупный оператор связи и Интернет-провайдер среди прочих услуг продает карточки коммутируемого доступа в Интернет и карточки IP-телефонии. Наряду с ней на рынке,  представлены еще несколько компаний предоставляющих аналогичные услуги, лучше разрекламированные, но несколько хуже по качеству. В ходе эксперимента выяснилось, что ни один из опрошенных   сотрудников не покупает карточки доступа в Интернет и ip-телефонии выпускаемые своей компанией, напротив они активно покупают карточки своих конкурентов, при этом также они открыто хвалят услуги предоставляемые конкурентами в кругу своих друзей. Можно предположить, что и другие сотрудники этой компании ведут себя аналогичным образом, ругая при этом в курилках  свою службу продаж за хроническое невыполнение плана. Вы уже задумались о том, насколько поднялся бы уровень продаж по двум этим услугам, если бы сотрудники пользовались услугами своей компании и рекламировали бы их  своим друзьям?

В-третьих, отсутствие работающей системы материального стимулирования, когда работник при желании может зарабатывать больше, принося при этом прибыль своей организации, также порождает инсайдеров. Если сотрудник понимает, что как бы он ни старался, сколько бы времени он не проводил на работе – все равно получит только свою фиксированную ставку, но при этом денег ему не хватает, то рано или поздно он придет к мысли о нахождении дополнительных источников дохода. Причем необязательно, что это будет вторая работа, можно с успехом все делать и на основной работе. И тогда, то, что могло стать достоянием вашей организации уйдет в другую то,  что принадлежало только вам, станет уже не только вашим, ну и т.д. в том же духе.

Приведу пример, весной 2005 года в отдел продаж крупной компании на средний (по компании) уровень зарплаты на пять вакантных мест претендовало 35 сотрудников этой компании, только потому, что была принята и объявлена система стимулирования их труда в этом отделе, совершенно легально позволяющая зарабатывать в 1,5 раза больше.

В-четвертых, отсутствие анализа поведения сотрудников (необязательно это функция возлагается на службу безопасности) и отсутствие системы разумного контроля  за их действиями. Многие сотрудники используют оборудование своего рабочего места для получения личной выгоды. Вы наверное уже знаете как бороться с сотрудниками, которые посещают в рабочее время сайты сексуальной направленности (вывешивание списков, дисциплинарное наказание и пр.). Однако поверьте – это не самое страшное. В то время как вы пытаетесь бороться с такими можно сказать почти безобидными разгильдяями, у вас за спиной сидят люди,  зарабатывающие вполне реальные деньги, но не для вашей организации. Вы уверены, что ваш дизайнер  делает в рабочее время порученную ему работу, а не выполняет заказ конкурентов или другой личный заказ? Вы уверены, что ваш агент, уходя на деловую встречу, работает в ваших интересах, а не отдаст заказ другой компании, где намерен получить свои проценты? Вы уверены, что ваш администратор не зарабатывает в Интернет, пользуясь доступом к нему из вашей сети?

В-пятых, отсутствие работы, направленной на сплочение коллектива и отсутствие нормальной доверительной связи подчиненный – начальник. Слишком часто, к сожалению, руководство организаций недооценивает значимость этой работы.  Многочисленные тренинги под руководством опытных преподавателей психологов, не приносят желаемых результатов. Послушали, поиграли в игры и … разошлись – работать надо. Я не имею сейчас ввиду корпоративные вечеринки и собрания, они безусловно нужны, но это лишь часть необходимой работы.

В-шестых, отсутствие организации пропускного режима и контроля доступа. Очень многие подразумевают под этой работой наличие охранника, который проверяет на входе и выходе содержимое выносимых пакетов, или  в дополнение к нему автоматическую простейшую систему контроля доступа. Зачастую, система пропускного режима и контроля доступа настолько формальна или напротив заорганизована, что и позволяет беспрепятственно инсайдерам  проносить в обе стороны все что угодно.

 Итак, какие же методы борьбы с точки зрения руководителя организации можно назвать наиболее актуальными? Их уже можно перечислить. Однако прежде всего  необходимо оценить ситуацию в вашей компании и провести  подготовительную работу, направленную на устранение всех выявленных (из числа перечисленных выше) предпосылок инсайдерства, связанных с вашими сотрудниками. Далее вам потребуется следующее.

• Создание реально работающих организационно-распорядительных документов, регламентирующих доступ к сведениям,  составляющим коммерческую тайну, конфиденциальным и служебным сведениям, в том числе представленным и в электронном виде. Сотрудники должны ознакомиться с такими документами и подписать их. Потребуется также эффективно работающая система контроля,  за выполнением всеми сотрудниками этих документов. Страх перед возможным наказанием остановит большую часть из   потенциальных инсайдеров. Повторюсь, создавать нужно не бумажного монстра, отправленного потом пылиться на полки, а реально выполнимые документы.
• Создание эффективной системы защиты информации. Под этим я подразумеваю следующее: приглашение грамотного консультанта (компанию, специализирующуюся в данной области), который сможет проанализировать защиту вашей сети (прежде всего изнутри), оптимизировать ее, максимально затруднить возможность несанкционированного доступа к информации. И самое главное не отделаться от вас простым отчетом и рекомендациями, а помочь вам создать реальную работающую систему, таких профессионалов в нашей стране единицы.
• Создание эффективной системы пропускного режима и контроля доступа. Именно системы, а не присутствие охранника. Для него должна быть разработана четкая и понятная инструкция по действиям в любых ситуациях и от которой,  он не должен отступать ни шаг. Помните, как только охранник начинает предпринимать самостоятельные действия, они могут привести к очень серьезным последствиям. Возможно также, как и в предыдущем случае,  вам потребуется помощь  высококвалифицированного профессионала, постарайтесь найти такого.  
• Создание системы, направленной на повышение у ваших сотрудников чувства ответственности и гордости за выполняемую ими работу. Это означает – не только брать от них, но и отдавать им, действовать по принципу: «Вы компании и компания – вам». Это -  должно стать одной из основных задач вашей службы по управлению персоналом;
• Максимально возможное вовлечение сотрудников в производственный процесс получения прибыли с прямой зависимостью премиальной части зарплаты от личных показателей сотрудника. Это также означает, что если сотрудник приложил на работе  максимум своих усилий – он не должен остаться без материального поощрения,  даже если    в конечном итоге прибыль не была получена  по независящим от него причинам.

Конечно, всегда и везде могут появиться  сотрудники, которые целенаправленно будут охотиться за важной информацией с целью наживы, или нечистые на руку сотрудники, пытающиеся наживаться на планируемых ими финансовых махинациях и других материальных ценностях принадлежащих вам. Это уже настоящие преступники. Однако таких людей к счастью не так много и выявлять их – прямая задача вашей службы безопасности. Перечисленные же мной в статье методы позволят существенно затруднить противоправные действия этих людей и практически полностью исключить или свести к минимуму действия  обычных инсайдеров в вашей компании.

Информация к сведению

Осенью 2005 года российской компанией «InfoWatch» было проведено исследование, общие результаты которого (по наиболее опасным внутренним IT-угрозам) в целом можно изобразить на следующей диаграмме:

Наиболее опасные внутренние IT-угрозы в 2004 -2005 годах

Как видно из диаграммы, в 2005 году нарушение конфиденциальности достигло максимума в 100%, что означает озабоченность данной проблемой абсолютно всех опрошенных компанией респондентов (сотрудники IT-подразделений и служб безопасности различных российских компаний).