Интернет-издание о высоких технологиях

«Mr. Сумкин» подготовился к прекращению поддержки WS2003
Как строился электронный бизнес Банка Москвы?
ИКТ в страховании: эффективность в новых условиях Круглый стол 10 июня
Планшет Dell Venue 11 Pro Планшет Dell Venue 11 Pro на базе процессоров Intel® вполне способен решать не только мобильные, но и стационарные рабочие задачи
Заоблачная оптимизация: как Faberlic изменил подход к аналитике Облако Microsoft Azure разгружает мощности серверов, а платформа Microsoft SQL Server отвечает за аналитические инструменты
Рейтинг CNewsInfrastructure 2015: приглашаем участвовать В рамках обзора «Рынок инженерной и ИТ-инфраструктуры 2015» CNewsAnalytics готовит рейтинг крупнейших компаний, оказывавших услуги по построению ИТ-инфраструктуры предприятий
Информационная безопасность бизнеса и госструктур: развитие в новых условиях Конференция 4 июня
Пора выбирать Fujitsu! Узнайте все о продукции и решениях компании!

Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Ущерб от внутренних угроз — игры кончились

Повышенное внимание к проблеме внутренних угроз со стороны разработчиков и заказчиков постепенно начинает давать положительные результаты. Об этом свидетельствуют результаты ежегодного исследования CSI/FBI «Computer Crime and Security Survey».

Почему так страшна внутренняя угроза? Причин множество. Это и вывод из строя информационных систем предприятия, и хищение конфиденциальной информации, включая технологические секреты, и много другое, ставящие под угрозу существование конкретного предприятия как таковое. Размер ущерба от разных угроз можно оценить, исходя из данных отчета CSI/FBI за 2006 год.

Ущерб от различных видов ИБ-угроз
(по результатам опроса 516 компаний)

Источник: CSI/FBI Computer Crime and Security Survey, 2006

Причин, приводящих к возможности реализации внутренних угроз, несколько. Одна из них заключается в том, что у компаний отсутствует периметр сети. Безусловно, средства защиты периметра уже вошли в некоторый «джентльменский» набор, который есть сейчас фактически у любого предприятия. Он обычно включает в себя межсетевые экраны и системы обнаружения и/или предотвращения вторжений. Вот тут и возникает проблема под названием «покажите мне периметр».

Широко развившиеся за последнее время технологии как мобильного, так и широкополосного доступа нашли свой отклик. Сотрудники могут использовать любой момент, чтобы поработать, независимо от местонахождения — дома, в командировке, в отпуске. Но они подключаются не в сеть предприятия, они подключаются к всемирной сети передачи данных — интернет, используя при этом любой доступный метод. После чего, обычно при помощи технологии построения виртуальных частных сетей, получают доступ к информационным системам своей компании. Таким образом, с периметром покончено — его нет, и нет шансов на его возвращение.

Вторая причина — это слишком низкая или слишком высокая квалификация сотрудников. И то и другое приводит к большому количеству неправильного использования информационных ресурсов, а попросту — к тому, что носит название непредумышленного нанесения вреда. Примеров великое множество. Начиная от сотрудников, аккуратно выключающих электричество у всего доступного ему оборудования, и заканчивая поиском уязвимостей в установленном оборудовании и программном обеспечении в рабочие часы.

Третья причина — одна из самых неприятных, а именно то, что есть люди, осознанно желающие нанести вред своему предприятию. Это и обиженные, и просто корыстные сотрудники, стремящиеся пополнить свой счет в банке, продав пару-тройку секретов конкурентам. Причем в странах с невысоким уровнем зарплаты и жизни эта проблема особенно актуальна. Потому что может оказаться, что найти продажного сотрудника, который сам вынесет всю необходимую информацию на съемном носителе или даже в печатном виде гораздо проще, чем преодолеть технически грамотно построенную систему обеспечения безопасности.

К наиболее популярным проблемам, приводящим к внутренним угрозам, можно отнести еще следующие. Во-первых, это шпионское программное обеспечение, которое является почти неотъемлемой частью любого компьютера, имеющего доступ в интернет. Оно непрерывно совершенствуется, и можно предположить, что пароли и pin-коды уже далеко не самое интересное, что уплывает из корпоративных сетей наружу. Во-вторых, что особенно характерно для нашей страны, это крепко въевшийся в подсознание лозунг времен социализма «все вокруг народное, все вокруг мое». Как показывает практика, сотрудники часто передают конфиденциальную информацию другим людям не из корыстных побуждений, а просто желая оказать дружескую услугу.

Положительная динамика

Итак, угрозы есть, возможности для реализации этих угроз — тоже. Однако, по данным CSI/FBI за 2006 год, количество случаев неправомочного использования компьютерных систем падает.

Неавторизованное использование компьютерных систем
(по результатам опроса 516 компаний)

Источник: CSI/FBI Computer Crime and Security Survey, 2006

Для объяснения этого, казалось бы, незакономерного явления, стоит вспомнить об одной из существенных угроз, в реальности себе ничем не проявившей. Имеется в виду «проблема 2000 года». При подготовке к наступлению 2000 г. были совершены колоссальные вложения в модернизацию информационных систем, и все прошло спокойно, без всяких катаклизмов. Несмотря на то, что некоторые аналитики считали «проблему 2000» очередным механизмом отъема денег у населения, существует другая группа экспертов, полагающих, что последствия были минимизированы за счет детальной подготовки. Данные последнего отчета CSI/FBI объясняются подобным же эффектом. Оценив уровень опасности внутренних угроз, в борьбу с ними вкладывают деньги как сами предприятия, так и разработчики средств защиты.

Составляющие успеха

Для выявления основных слагаемых успеха в этой нелегкой борьбе начинать надо с нормативной базы. Во-первых, это статьи 272, и 274 УК РФ. Во-вторых — обязательное наличие или политики безопасности или построенного на ее основе кодекса поведения сотрудника, с которым все должны быть ознакомлены под роспись. Это не является репрессивной мерой, а лишь позволяет быть уверенными, что сотрудники ознакомлены с правилами работы с информационными системами предприятия.

Второй составляющей успеха является техническая сторона, а неотъемлемой частью общекорпоративной системы безопасности является принцип минимальных полномочий. Каждый сотрудник должен обладать только тем набором полномочий, который необходим для выполнения его должностных обязанностей. Здесь основным техническим средством для реализации этого принципа являются системы аутентификации и авторизации сотрудников, включая многофакторные, а так же метод разделения сети и информационных систем на различные зоны доверия в зависимости от обрабатываемой информации и/или групп сотрудников, имеющих к ней доступ и обеспечение контроля доступа между ними. Важный вклад в борьбу вносят системы контроля поведения сотрудника и приложений, установленные на рабочих местах, включая доступ к внешним сетевым ресурсам и съемным носителям информации, а также системы контроля над доступом сотрудников к внешним информационным ресурсам — например, интернет, электронная почта и пр.

Второй принцип — это обязательное ведение журналов учета. Необходимо протоколировать доступ к информационным ресурсам предприятия, доступ к публичным информационным ресурсам, административный доступ к системам и оборудованию и т.п. Третий принцип — блокирование того, что не отвечает требованиям первых двух принципов, например различных интернет-пейджеров, одноранговых сетей и т.п.

Внутренние угрозы по-прежнему существуют, и ущерб от них может быть слишком велик для продолжения существования каждого конкретного предприятия. С другой стороны, наработанные как нормативно-правовые, так и технические методы позволяют существенно ограничить вероятность реализации этих угроз, что уже сегодня демонстрируют результаты некоторых исследований. Главное — успеть внедрить эти методы вовремя.

Михаил Кадер

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.