Эксперты спорят: бороться с инсайдерами аморально?

Бороться с утечками конфиденциальной информации необходимо с точки зрения и бизнеса, и законодательства. На кону секреты, деньги и персональная информация. Но основная масса инцидентов связана с непредумышленными действиями персонала. О том, как соблюсти конституционные права граждан и защититься от настоящих инсайдеров, говорили на круглом столе "Как противостоять инсайдерам 2009", организованном CNews Analytics и CNews Conferences.

По завершению 2008г. сразу несколько исследовательских организаций мирового уровня представили свои отчеты по зафиксированным утечкам информации. Несмотря на то, что числовые оценки различаются, в целом эксперты сходятся в одном – количество инцидентов и общий масштаб проблемы продолжают неуклонно расти.

Ранее очень много говорилось о том, что большинство всех прогнозов и исследований о стремительно растущем рынке DLP, призванном бороться с этого рода угрозами, составляются самими вендорами и заинтересованными в продаже своих стартапов бизнес-ангелами. Однако кризис расставил все на свои места – производителей DLP, несмотря на их активную скупку грандами ИТ сферы, меньше не становится.

Масштабная и комплексная DLP – это достаточно дорого. И нужна она, прежде всего, лидирующим компаниям, подпадающим под действие разного рода регуляторов. В том случае, если требуется "закрыть" локальную проблему, например, шифрование лент для резервного копирования на время их перевозки или блокировка USB портов, возможно использование нишевых продуктов.

Евгений Климов, начальник отдела информационной безопасности УК "Металлоинвест": Право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений распространяется на все сообщения.

Кроме того, существует немало СМБ-компаний, для которых проблема защиты от утечек также представляется актуальной. Этому сектору требуется что-то промежуточное между "полным покрытием" и узкоспециализированными продуктами. Все это привело к тому, что в квадранте "нишевые игроки" диаграммы Gartner по рынку DLP появляется так много игроков.

Как распознать инсайдера до приема на работу?

Основной темой большинства прошедших мероприятий было улучшение технологических средств борьбы. Однако в этот раз в фокусе внимания собравшихся оказались организационные вопросы. Воздействие на людей финансового кризиса (и в частности обсуждение обстоятельств, сопровождавших банкротство крупнейших компаний, в частности банка Lehman Brothers), показывает, что в критические моменты технические средства защиты дают сбой. Причина тому – прекращение исполнения персоналом политик безопасности. В результате бизнес получает утечки данных, невзирая на наличие DLP-систем.

В этих условиях по-новому были услышаны голоса консультантов и экспертов в области подбора персонала. На эту тему с докладами выступили Павел Беленко, старший партнер IMICOR Consulting Group, и Александр Мухин, генеральный директор Научно-исследовательского центра экспериментальных технологий.

Павел Беленко на фактическом материале доказал, что консалтинг в сфере HR способен предсказать инсайд еще на этапе поиска и рассмотрения резюме кандидата. Для этого используются специальные методики, основанные на сохранения инкогнито работодателя и т.д. На основании полученного психопрофиля консультанты могут гарантировать работодателям как минимум 3 года лояльности этого сотрудника.

О разработках в области инструментальных методов диагностики подсознания как инструменте прямого вербального общения с подсознанием человека рассказал Александр Мухин. На основе фундаментальных открытий в области нейрофизиологии человека, сделанных в его НИЦ, удалось теоретически обосновать и экспериментально подтвердить модель о форме представления в головном мозге человека визуальной и акустической информации, способах ее хранения и обработки.

Это, в свою очередь, легло в основу разработки целой гаммы продуктов, предназначенных для получения и оценки реакций подсознания на предъявленные в тестах стимулы, сгруппированные по темам и смыслу с указанием степени достоверности. В отличие от полиграфов, данные имеют гораздо более высокую надежность, а сама деятельность, связанная с применением данных методов, не противоречит законодательству.

Павел Беленко, старший партнер IMICOR Consulting Group, на фактическом материале доказал, что консалтинг в сфере HR способен предсказать инсайд еще на этапе поиска и рассмотрения резюме

Кроме предумышленных действий инсайдеров, компании часто теряют данные по причине банальной безалаберности сотрудников, причем всех уровней. Об этом рассказал Андрей Масалович, глава консорциума "Инфорус". "Постоянный опыт аудита утечек конфиденциальной информации привел к созданию некоторой методики экспресс-аудита, которая во многих случаях позволяет обнаруживать утечки критически важной информации в течение 5-10 минут, - рассказывает эксперт. – Причем не столь важно, имеется ли в компании DLP-система. Важно то, что в этой компании работают люди".

Данная проблема присуща как государственным органам, связанными с национальной безопасностью США, так и российским "лидерам рынка ИТ". Ну а то, что информация не просто лежит на сайтах этих ведомств, а, возможно, активно используется, например, для проведения интернет–разведки, было показано чуть ли не онлайн. Резюме данного доклада: ни одна компания не может чувствовать себя полностью защищенной, пока в ней работают люди – самое слабое звено в ИБ. Бороться с этим можно только двумя методами: постоянным обучением и регулярным аудитом.

С коллегой полностью соглашается Андрей Дроздов, старший менеджер KPMG. По его словам, бизнес сам зачастую порождает проблемы информационной безопасности. Это может быть назначение необученных сотрудников на соответствующие должности, непонимание взаимосвязи проблем ИБ и бизнеса, отсутствие внимания к организационным аспектам безопасности и т. д. Поэтому представляется абсолютно необходимым убедить бизнес осознать важность ИБ и выделить нее ресурсы. Кроме того, важно пропорциональное внимание ко всем аспектам ИБ, а не только зацикливание не технических компонентах.

Вендоры и интеграторы спешат на помощь

Ну а что же говорят и делают производители "технических компонентов" в нынешних условиях? Евгений Акимов, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет", полагает, что бизнес не всегда готов принять тот факт, что изменяющиеся и новые риски должны порождать адекватную реакцию.

А поскольку ИБ и риски – понятие комплексное, то и системы защиты также должны быть комплексными. Однако на другой чаше весов лежит стоимость подобной системы. В качестве эффективного решения эксперт называет построение гибкой инфраструктуры, которая допускает поэтапность внедрения и расширения.

Михаил Кондрашин, руководитель Центра компетенции Trend Micro в России и странах СНГ, продолжает тему. По его мнению, "когда угроза очевидна, то мы знаем, что именно надо делать. Но в большинстве случаев бороться приходится с неизвестными рисками. В этом случае защищенность системы будет настолько хороша, насколько хороша будет составлена модель угроз. Кроме того, DLP должна помогать в просвещении не знающих и ловить нарушителей. И никак не наоборот".

При оценке угрозы утечек важно не упустить из виду, что корпоративная сеть не статична, и есть удаленные и мобильные пользователи. Наверное, именно этот факт, по мнению Trend Micro, будет определять в ближайшей перспективе технологические особенности DLP-решений. А именно - сосредоточение "интеллекта" на клиентском устройстве и сокрытие его от любопытных глаз.

На теме классификации угроз подробно остановился Дмитрий Огородников, директор департамента информационной безопасности "Энвижн Груп", ведь инсайд – это и есть практический механизм реализации этих угроз.

Процесс DLP – это, действительно, комплексный и многогранный процесс. И ко всему прочему, о чем говорилось выше, следует добавить момент, связанный с проактивной защитой. "Разбор полетов" постфактум это хорошо, но еще лучше взять нарушителя с поличным. В этом могут помочь мониторинг и корреляция событий безопасности. Возможно, это сейчас единственный технологический элемент, способный увеличить эффективность СУИБ.

В этой связи весьма перспективно создание в компании архитектуры SOC. Это дает возможность работы со всеми специализированными системами безопасности и встроенными механизмами защиты прикладных ИТ-систем в ИС заказчика. И, что не маловажно, снижаются затраты на обслуживание ИС за счет централизации управления компонентами защиты и простоты использования систем.

Алексей Задонский, ведущий менеджер проектов Oracle СНГ, рассказал об управлении правами доступа пользователей к тем или иным информационным ресурсам. Данная проблема становится особенно актуальной, когда на предприятии насчитывается несколько тысяч человек. В такой ситуации напрямую работать с каждым сотрудником непрактично, а гораздо эффективнее пользоваться контекстом безопасности и ролями сотрудников.

Роли могут быть связаны с отдельными пользователями, группами и контекстами (типами информации). Для этого электронные документы должны быть классифицированы, и прописаны роли. В этом случае удается, во-первых, отсечь тех пользователей, которым не нужна по долгу службы та или иная информация. И, во-вторых, обеспечить скорость, гибкость и оперативность при перемещении сотрудников из отдела в отдел и т.д.

Что важнее на практике?

О том, как обосновать внедрение систем класса DLP, говорил Андрей Суханов, старший консультант HELiOS IT-SOLUTIONS. По его словам, напрямую эффект от использования средств ИБ измерить крайне сложно. Гораздо более применима модель, используемая в риск-менеджменте.

При этом необходимо учитывать вероятность реализации инцидента и возможную величину убытков с одной стороны, а также стоимость системы предотвращения инцидентов - с другой. Вероятность и убытки - величины, естественно, среднестатистические, но вполне реальные, подтвержденные, в частности, западными примерами. Кроме того, когда требуется соблюдение законодательства, учитываются величины штрафов и такие вещи, как гражданская и уголовная ответственность должностных лиц.

Фарит Музипов, заместитель начальника СБ по информационной безопасности ICICI Банк Евразия, поддержал г-на Суханова. Банки при обеспечении безопасности в силу специфики своей деятельности испытывают на себе как требования нормативных актов, так и экономические факторы. При этом первая группа причин все же превалирует. Но в том и другом случае система быть эффективной и соответствовать стандартам.

В металлургической отрасли ситуация несколько иная. Там в целом ряде случаев возможно измерить финансовый результат работы DLP-систем. Об этом рассказал Евгений Климов, начальник отдела информационной безопасности УК "Металлоинвест". Кроме того, речь зашла и том, как на практике служба ИБ крупного холдинга обеспечивает защиту, находясь между конституцией РФ, уголовным кодексом и требованиями руководства компании.

По мнению г-на Климова, "право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений распространяется на все сообщения, включая передаваемые по служебным каналам связи. Сотрудник не может отказаться от своего права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, т.к. это право является неотчуждаемым, т.е. любой отказ от права будет недействителен".

Среди перечня прав обладателя информации, составляющей коммерческую тайну, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо контролировать каналы связи с целью проверки режима коммерческой тайны. Самое большее, на что имеет право обладатель коммерческой тайны - требовать от иных лиц конфиденциальности и неразглашения. Отсюда следует вывод: существует риск привлечения к уголовной ответственности по ст.138 УК РФ.

Резюмируя последовавшую дискуссию по этому и другим вопросам, следует обратить внимание на то, что технических решений на рынке достаточно. Практиков в наибольшей степени сейчас начинают волновать механизмы обеспечения комплексности решения (и как, следствие, возможность соответствия нормативным актам), а также правовое обеспечение своей собственной деятельности, как на этапе подбора и аттестации персонала, так и в процессе эксплуатации DLP-решений.

Евгений Акимов: Среди потребителей DLP-решений наметился сдвиг от "продуктового" понимания проблемы к комплексному   Своим экспертным мнением с CNews поделился Евгений Акимов, заместитель директора Центра Информационной Безопасности "Инфосистемы Джет". Прошедший круглый стол CNews "Как противостоять инсайдерам" собрал многочисленную аудиторию, состоящую из руководителей ИТ и ИБ отделов коммерческих организаций. На наш взгляд, в ходе работы круглого стола были освещены темы, которые до сих пор к DLP относили не часто. Таким образом, с одной стороны это косвенное, но уже традиционное подтверждение того, что риски утечки информации не ослабевают. С другой стороны, это факт, говорящий о том, что тематика DLP постепенно расширяется и включает в себя не только специализированные DLP продукты. Угрозы утечки конфиденциальной информации появились давно, можно сказать, что это самая древняя угроза информационной безопасности. И, конечно, существовали методы защиты от них, причем задолго до начала использования аббревиатуры DLP. Ее появление отражает особую остроту проблемы, связанную со специфическими средствами защиты от вариантов утечек, которые стали возможны с появлением и распространением сети интернет. Здесь речь идет прежде всего о возможности пересылки конфиденциальной информации по глобальной сети, а также продуктах, осуществляющих анализ интернет-траффика с целью предотвращения реализации этого. На прошедшем семинаре выступили представители узкоспециализированных компаний, которые рассказали об отдельных технологиях (от новых возможностей DLP-продуктов до использования компьютерных систем для психологического анализа, от средств разграничения доступа до управления инцидентами ИБ). Также были представлены компании, которые предлагают комплексное решение задачи, состоящее, как из вышеперечисленных подсистем, так и из серьезного бизнес-консалтинга, в том числе по созданию/оптимизации ролевой модели доступа, включая реализацию принципа Segregation of Duties. Среди компаний потребителей подобных решений также наметился сдвиг от «продуктового» понимания проблемы к комплексному. Принцип «где тонко там и рвется» был проиллюстрирован одним из докладчиков круглого стола, подробно рассказавшем о реально обнаруженных им уязвимостях в самых технологически оснащенных компаниях. Вышесказанное еще раз подтверждает, что на российском рынке DLP-систем наметился качественный переход от отдельных, но "лоскутных" продуктов к полноценному решению по контролю риска утечки конфиденциальной информации. Михаил Кондрашин: Именно последовательная реализация мандатного доступа будет являться "панацеей" CNews: Станет ли технология "цифровых отпечатков" панацеей? Михаил Кондрашин: Технология "цифровых отпечатков" является удобным способом выявить конфиденциальные документы и предотвратить их утечку за периметр корпоративной сети. По сути, технология цифровых отпечатков является заменой мандатного доступа, который по идее должен быть встроен в операционную систему и все прикладное ПО. При последовательной реализации мандатного доступа каждому документу (файлу) при создании назначается гриф (сов. секретно, ДВП и т.п.) и система сама следить, чтобы этот документ циркулировал в пределах области, отведенной для документов с таким грифом. Именно последовательная реализация мандатного доступа, как в операционных системах, так и прикладных программах, будет являться "панацеей". В настоящий момент приходится довольствоваться технологией цифровых отпечатков, которая решает проблему утечки, но совершенно другим способом. При использовании технологии цифровых отпечатков отпечаток снимается с документов не в момент создания, а после. Кроме того, отпечаток нужно обновлять по мере модификации документа, так как эта технология позволяет заблокировать модифицированный файл, но при объеме изменений до 40%. Помимо этого, на систему предотвращения утечек ложиться отслеживание всех перемещений данных в сети: отправка по электронной почте или через веб-браузер, перемещение на внешние носители, неавторизованное шифрование и пр. Если для заказчика вопрос с получением отпечатков конфиденциальных документов удается эффективно решить, то задачу с защитой от утечек можно считать решенной.

Конференция CNews "Как противостоять инсайдерам 2009": http://www.cnews.ru/reviews/index.shtml?2009/03/17/340982