Если бы сегодня заинтересованной стороне предложили хорошие деньги за конфиденциальные данные какой-либо компании, её представители наверняка не стали бы тратить много сил на взлом серверов или атаку закрытого раздела сайта, а постарались найти себе сообщника внутри этой компании - легального сотрудника с законными правами доступа.
И окажись он не слишком преданным корпоративным ценностям, жадным до денег или, скажем, обиженным на свое руководство, цель злоумышленников в 90% случаев была бы достигнута. Почему? Потому что кто как не инсайдер знает все слабые места в системе защиты данных компании, кто как не он имеет возможность скопировать нужные данные, причём вполне правомерно.
Огласите весь список
А кто такой инсайдер? Многие компании, особенно те, что занимаются аудитом в области информационной безопасности (ИБ), часто именуют одну из своих услуг "Составление психологического портрета инсайдера". Мы не будем претендовать на такие тонкости и попробуем отойти от традиционных классификаций. Вот наш вариант:
- Павлик Морозов - легальный сотрудник компании, действующий целенаправленно и способный привлекать значительные технические ресурсы (например, вычислительные мощности) для получения доступа к интересующей его информации. При этом он использует и социальную инженерию, и физический доступ к серверу и дискам с конфиденциальными данными, и другие возможности, 90% из которых полностью легальны и необходимы для его штатной деятельности. Бороться с "павликами морозовыми" нужно с помощью не только персонализированного доступа и аудита его действий в сети, но и контроля над исходящими информационными потоками.
- Буратино - как известно, "буратину" отличает любопытство и стремление сунуть нос не в свое дело. Данный тип инсайдера характеризуется тем, что даже если по роду своей деятельности он не должен иметь доступа к конфиденциальным данным, он всё равно, часто из любопытства, желает с ними ознакомиться. Скорее всего, такой человек не станет применять никаких целенаправленных действий по получению доступа к конфиденциальным данным, но не преминет воспользоваться ошибками администрирования, например неожиданной возможностью просмотра по сети содержимого диска с финансовой информацией. Но вот если "буратино" захочет поделиться такими данными с кем-либо ещё, тогда это может обернуться гораздо более неприятными последствиями для компании.
- Мальчиш-плохиш - легальный сотрудник, обладающий правом доступа к самому серверу, но недостаточными полномочиями для доступа к конфиденциальной информации. Такой человек может попытаться повысить недостаточный для своих целей, несвязанных с работой, уровень полномочий в серверной ОС, скажем, до уровня администратора. После этого "мальчиш-плохиш" скопирует интересующие его файлы (базы данных, хранилище электронных писем) для их последующего просмотра (вполне возможно, ради интереса или простого удовлетворения личных амбиций). Подобные инсайдерские действия были бы невозможны при чётком распределении прав доступа и полномочий, а также аудита действий пользователя в сети.
- Неуловимый мститель - это обиженный или увольняемый сотрудник, который может воспользоваться периодом времени до отзыва администратором его прав доступа к конфиденциальным данным, для их копирования или изменения с целью хоть как-то "отыграться" за свои обиды. И в случае с обиженным сотрудником, опять же, виновным можно считать администратора, поэтому описанный выше способ защиты применим и в данном случае.
- Серый кардинал - этим персонажем в ряде случаев является администратор операционной системы, который по умолчанию имеет самый высокий уровень прав доступа. Системный администратор может обратиться по сети к любому диску сервера с помощью так называемых административных сетевых ресурсов вида \\server\diskname$.
Более того, именно системный администратор, скорее всего, может вступить в преступный сговор с заинтересованной стороной, находящейся вне организации, но регулярно получающей от своего человека ценную информацию. Это, пожалуй, наиболее сложный тип инсайдера с точки зрения борьбы с ним. Однако при правильном распределении ролей администратора и офицера безопасности, а также при условии проведения аудита действий администратора в системе можно добиться хороших результатов.
Золотые правила
Мы вкратце коснулись возможностей по предотвращению действий инсайдеров, а теперь попробуем подробнее рассмотреть методы противодействия.
Персонификация. Чтобы всегда иметь представление о том, "кто стучится в дверь ко мне", доступ ко всем ресурсам компании, в особенности к содержащим критичные для её деятельности данные (в частности, финансовые и бизнес-планы), должен быть персонифицированным, что позволит существенно снизить риск отказа пользователей от совершенных ими действий.
Аппаратная аутентификация. Сегодня данный метод приобретает всё большее распространение, поскольку позволяет отказаться от ненадёжной и потенциально слабой аутентификации с помощью логина и пароля, более того, открывает новые возможности в области безопасности для компаний, дорожащих своей репутацией. Строгая аутентификация предполагает два или более дополнительных фактора, в частности:
- нечто, нам известное - PIN-код
- нечто, имеющееся у нас - какой-то предмет, необходимый для процедуры аутентификации (например, USB-ключ или смарт-карта)
Для строгой аутентификации необходимо наличие физического устройства - токена, который подтверждает личность его владельца, что повышает персональную ответственность сотрудника. В настоящее время на рынке представлено множество таких устройств, основанных на разных технологиях и выполненных в различных форм-факторах. Остановимся на этом аспекте подробнее.
Способность одновременно поддерживать аутентификацию пользователей и при этом генерировать и хранить ключевую информацию и другие секретные данные в защищённой памяти является основным критерием эффективного технического средства защиты компьютеров и данных. Современные электронные устройства на основе технологий смарт-карт архитектурно реализованы на базе защищённого микропроцессора, который отвечает за выполнение криптографических операций в самом токене.
Такие устройства обеспечивают более надёжную защиту данных, исключая использование закрытых ключей в незащищённой компьютерной среде. При этом предпочтительнее USB-интерфейс, поскольку соответствующие разъёмы имеются практически на любом компьютере и такие устройства, в отличие от смарт-карт, не требуют дополнительного считывателя. Более того, токены, базирующиеся на технологиях смарт-карт, можно дополнить RFID-меткой для радиочастотной идентификации, благодаря чему они могут использоваться не только для входа в сеть, но и разграничения доступа в помещения.
В России наиболее популярны электронные ключи eToken от компании "Aladdin", ruToken производства "Актив" и iKey от "Rainbow Technologies". Каждый из этих производителей поставляет широкую линейку ключей. Отметим, что выбор заказчика чаще всего определяется спецификой бизнеса, финансовой составляющей и степенью важности ИБ для определённой коммерческой структуры. А потому не будем подробно останавливаться на сравнительном анализе ключей - это тема для отдельной статьи.
Аудит всех действий в сети. В обязательном порядке необходимо проводить аудит действий пользователей и администраторов в сети. Однако заметим, что штатная система аудита не имеет достаточных средств защиты, в связи с чем необходима более мощная независимая система, защищающая корпоративную сеть не только снаружи, но и изнутри.
Для более полного и надёжного решения проблемы защиты данных администратор безопасности должен иметь возможность проводить мониторинг действий пользователей, в том числе и обладающих правами администратора - к проверке их сетевой активности следует подходить с особой тщательностью. Заметим, что мониторинг необходим и в качестве профилактики, и для снижения рисков утечки информации.
Кодирование данных. Этот аспект безопасности более всего актуален для тех данных, которые представляют особый интерес с точки зрения инсайдера - собственно база данных, отчётность, финансовые показатели, данные аудиторских проверок и др. Кодирование данных - обязательное условие безопасности для информации, хранящейся на ноутбуках топ-менеджмента. Как известно, за последнее время процент краж мобильных компьютеров, а, следовательно, утечка информации по этому каналу резко возросли.
Пожалуй, не будем подробно останавливаться на средствах кодирования данных. Отметим лишь, что важными критериями являются: возможность "фонового" кодирования, незаметного для пользователя, возможность подключения внешних крипто алгоритмов (о "самописной" защите лучше просто забыть) и реализация посекторного кодирования (благодаря чему в любой момент можно приостановить или даже полностью отменить кодирование при гарантированном сохранении всех данных). Особое внимание стоит уделить возможностям резервного копирования и восстановления ключей кодирования в файл и/или из него или в память электронного ключа и/или из неё.
Для защиты данных, хранящихся и обрабатываемых на серверах, предпочтение следует отдать комплексным системам, использующим технологию многопоточного кодирования, что позволяет оптимально использовать имеющиеся на сервере вычислительные мощности, особенно на многопроцессорных серверах.
Постоянная работа с персоналом. Этот последний пункт отнюдь не является таковым по значимости. Многие руководители полагаются на мощную техническую базу, забывая о том, что самое слабое звено в системе защиты - человек. Эффективная система информационной безопасности должна в равной степени сочетать и адекватный технологический потенциал, и перманентную работу с персоналом.
В пределах организации можно снизить риски умышленного или случайного несанкционированного доступа путём внедрения политики безопасности. Подобная политика должна описывать поведение сотрудников в сети Интернет, работу с доверенными и не доверенными источниками, правила скачивания файлов, заполнения форм (особенно тех, где требуются пароли или реквизиты сотрудников) и др.
Не стоит игнорировать и такой простой, но действенный способ, как публичный "разбор полетов". В случае инцидента или хотя бы регулярно повторяющихся попыток превышения полномочий по скачиванию чувствительной корпоративной информации или каких-либо других нарушений, необходимо прилюдно разбирать такого рода происшествия, а в отдельных случаях - и накладывать санкции.
Хорошей практикой считается и приложение к трудовому договору при поступлении на работу, посвящённое информационной безопасности в организации, а также правам и обязанностям с ней связанным. При обновлении такого "кодекса чести" каждый сотрудник вновь обязан подписываться под перечисленными корпоративными правилами.
Вообще, наиболее дисциплинирующим и практичным выходом для организации работы с персоналом по соблюдению правил информационной безопасности, является регулярное проведение внутрикорпоративных мероприятий по строго определённым датам. К ним могут относиться тренинги и анализ новых сетевых угроз (например, разбор полученных фишинг-писем, рекомендации по распознаванию фальсифицированных сайтов, способы "обучения" спам-фильтров и т. д.).
"Психологическое оружие" на предприятии
Итак, достойным противником любой внутренней угрозе является эффективная политика информационной безопасности, причём не та, что пылится в шкафу у администратора, а реально работающий, удобный и понятный для сотрудников с разной степенью квалификации документ. Это особенно важно, например, для секретаря, который в 90% случаев не будет задумываться о том, что не стоит покидать свое рабочее место в присутствии постороннего, и вполне может оставить свой компьютер с открытыми на нём документами без присмотра.
Но если по этому поводу в политике безопасности содержится чёткое и однозначное правило, будьте уверены - секретарь останется на своём месте или, по крайней мере, заблокирует компьютер.
Сотрудники компаний должны понимать степень ответственности, которую они берут на себя, ставя свою подпись под строкой "с политикой информационной безопасности ознакомлен", и принимать неотвратимость того, что нарушитель будет найден. С этой точки зрения использование некоего отчуждаемого носителя, который не просто соотносится с пользователем, но и который пользователь сам соотносит с собой, принимая как личную вещь, представляется наиболее эффективным. И не только с технологической, но и с психологической точки зрения, что гораздо более важно для предотвращения внутренних угроз.
Во-первых, сотрудник воспринимает такое устройство как свою собственность, использовать которую может только он. Во-вторых, ежедневно проходя процедуру аутентификации при доступе в сеть, он отдаёт себе отчёт в том, что с этой минуты все действия, производимые "от имени" этого токена - его действия.
В-третьих, в случае нарушений, несанкционированной активности или атаки, произведённой с использованием этого аппаратного устройства, виновным будет признан именно он - владелец данного токена. Согласитесь, это хорошая мотивация для того, чтобы не превышать свои полномочия и не совершать противоправных действий в сети.
В заключение отметим, что повышение личной ответственности пользователя, возможность выявления виновного и доказательство его причастности к тому или иному неправомерному действию в рамках служебного расследования и есть тот самый психологический барьер на пути совершения неправомерного действия.
Осознание этого - важный шаг по снижению, а подчас и полному предотвращению внутренних угроз информационной безопасности. Поэтому если вы задумываетесь о профилактике инсайдерских действий, прежде всего, задумайтесь о том, как добиться ответственного отношения к корпоративным ценностям, основной из которых является информация.