Защита от инсайдеров - миф или реальность?

Защита от инсайдеров - миф или реальность?

Мария Беляева, инженер-проектировщик Центра информационной безопасности компании "Инфосистемы Джет"

Александр Синельников, менеджер по продвижению продуктов компании "Инфосистемы Джет"

СЕГОДНЯ одна из самых обсуждаемых серьезными специалистами в области ИТ тем, посвященных защите от угроз информационной безопасности (ИБ), - инсайдеры и организация противодействия им. Цель данной статьи -посмотреть на проблему защиты от инсайдеров глазами специалистов по ИБ, имеющих опыт в данной области. Для этого были проведены опросы специалистов служб ИБ на выставках, конференциях, при личных встречах -в рамках устного интервью.

Кто такой инсайдер?

Для начала определимся с термином "инсайдер", или, как сейчас все чаще называют таких сотрудников, "внутренний нарушитель" либо "злоумышленник". В СМИ этот термин трактуется неоднозначно. Интересно, а как этот термин трактуют руководители служб ИБ? Все ли сотрудники организации являются потенциальными инсайдерами?

Почти все опрашиваемые оказались единодушны во мнении о том, что инсайдеры - это все, кто имеет доступ (официально или в силу непредвиденных обстоятельств) к конфиденциальной или коммерческой информации. К инсайдерам также причисляют всех тех, кто преднамеренно или нечаянно может допустить утечку конфиденциальной информации, то есть формально почти каждый сотрудник организации способен оказаться в роли инсайдера.

Критичность угроз ИБ, идущих от сотрудников

Рынок сегодня наполнен противоречивой информацией о том, какие угрозы ИБ преобладают. Так, в частности, в некоторых аналитических обзорах утверждается, что угрозы, идущие извне, незначительны. Так ли это? Приведем мнение специалиста, отражающее, как нам кажется, общую тенденцию на банковском рынке: "Считаю, что угрозы - и внутренние и внешние - являются значимыми. Вопрос в том, что на практике мы чаще всего наблюдаем внутренние угрозы ИБ. Скорее всего, это происходит из-за того, что собственные сотрудники компаний изначально имеют официальный доступ к информации, составляющей банковскую и коммерческую тайны. А для того, чтобы реализовать угрозу извне, доступ к подобной информации еще нужно получить. Хотя помимо утечки информации остаются не менее важные угрозы нарушения целостности и доступности информации".

Также интересно мнение по этому вопросу руководителя безопасности крупной госструктуры: "Угрозы, идущие от собственных сотрудников, критичны на 80%. Что касается угроз ИБ извне, то, например, вирусная атака может привести к нарушению как конфиденциальности, так и целостности и доступности информации. А случаев возникновения угроз целенаправленных атак для получения конфиденциальной информации на практике гораздо меньше".

Как бороться с инсайдером?

Какие методы защиты от инсайдеров наиболее эффективны - организационные или технические? Что понимается под "комплексом мер" по защите от инсайдеров?

Руководители служб И Б сошлись во мнении, что на первом плане должны стоять организационные меры. При этом важно, чтобы все сотрудники о них знали. Технические меры позволяют осуществлять контроль за соблюдением организационных мер и их эффективностью.

Под комплексом мер по защите от инсайдеров понимается комплекс организационных и технических мер, дополненный процессом, направленным на повышение эффективности этих мер (планирование -> реализация -> проверка -> совершенствование -> планирование...)

Можно ли назвать пример "best practice"-построения системы по защите от инсайдеров в России?

Этот вопрос вызвал наибольшие затруднения у респондентов. Конкретных примеров построения таких систем названо не было, но было высказано мнение о необходимости усиления контроля за каналами потенциальной утечки информации, в частности: Интернет, электронная почта, съемные носители информации, принтеры.

Чего не хватает сотрудникам ИБ для облегчения их работы?

Ответы специалистов по ИБ на этот вопрос были кардинально разными и зависели как от специфики организации, так и от имеющихся в компаниях средств обеспечения ИБ. Были названы: нехватка технических средств, позволяющих осуществлять эффективную фильтрацию и контроль за Web-трафиком, средств контроля документированных бизнес-процессов, средств аудита состояния информационной безопасности ЛВС и управления внешним доступом к информационным ресурсам ЛВС. Также был задан провокационный в своем роде вопрос о возможности передачи (целиком или частично) защиты от внутренних нарушителей на аутсорсинг специализированной компании. Однозначным ответом всех опрошенных специалистов по И Б было категорическое "нельзя".

Подведем итоги

Несмотря на наличие на современном рынке значительного количества технических средств для контроля за утечками информации, проблема инсайдерства поныне остается актуальной для руководителей служб ИБ большинства компаний вне зависимости от отрасли. При этом речь может идти как о случайных утечках конфиденциальной информации, так и об отношении сотрудников к организации. Можно возразить, что лояльное отношение сотрудников к компании - это проблема службы по подбору персонала, а не службы ИБ. Но если сотрудники нелояльны к компании, недовольны отношением руководителя или уровнем заработной платы, то они могут превратиться в тех самых злоумышленников и внутренних нарушителей, и тогда это становится проблемой и для службы ИБ.

Лояльность сотрудников, как ее достичь - тема для отдельной статьи, да и книг на эту тему выпущено достаточно много. Но давно ли в вашей компании проводилось хотя бы анонимное анкетирование или применялись иные инструменты с целью выявления уровня лояльности сотрудников к компании? Отслеживаете ли вы количество резюме, отправленных вашими сотрудниками, посещений ими сайтов поиска работы? Что пишут ваши сотрудники в Web-почте, на сайте odnoklassniki.ru, по ICQ, на различных форумах?

Если оставить все на самотек, то, вероятнее всего, компания через некоторое время просто перестанет существовать.

Когда проведен аудит ИБ, написаны документы, определяющие политику ИБ компании, проведено регулярное обучение персонала основам ИБ, внедрено достаточное количество технических средств, есть штатные сотрудники, отвечающие за ИБ, не пора ли обратить внимание на лояльность и удовлетворенность сотрудников, чтобы они не становились внутренними нарушителями, или злоумышленниками?