Rambler's Top100
Статьи ИКС № 06-07 2014
Лилия ПАВЛОВА  16 июня 2014

Фактор «Ч»

Это изнанка рынка информационной безопасности. «Человеческий фактор» инфобезопасности вычерпывает из мировой экономики миллиарды долларов, но одновременно оказывается и драйвером индустрии. В чем особенности этого феномена?

Из трех групп угроз безопасности информации – антропогенной, техногенной, стихийной – первая  самая массовая и всепроникающая. В результате деятельности злоумышленников, недобросовестных партнеров и конкурентов, а также ошибок собственного персонала бизнес в любой момент может оказаться перед фактом утечки/кражи конфиденциальной информации и персональных данных, воровства денежных средств, заражения вредоносным ПО, состоявшейся атаки на информационные ресурсы предприятия.

С одной стороны, организованным фронтом наступает мир киберпреступности, и это уже не хакеры-одиночки, пишущие вирусы из любви к искусству программирования, а крупные синдикаты с миллиардными прибылями, постоянно расширяющие круг потенциальных жертв. К слову, российский рынок киберпреступности стал первым, на котором еще в 2004 г. была организована торговля вредоносным кодом. По данным исследования Trend Micro Russian Underground Revisited, сейчас на нем представлен широкий ассортимент «услуг»: взлом аккаунтов в социальных сетях или аккаунтов электронной почты; услуги хакеров, связанные с обработкой сетевого трафика; продажа троянских программ и сплойтов (встроенного кода, эксплуатирующего уязвимости легальных программ, копии которых загружают пользователи), а также криптеров, которые с помощью «заглушек» скрывают зараженные файлы или вредоносное ПО от программ информационной безопасности; хостинг выделенного сервера, который может использоваться злоумышленниками для централизованного управления зараженными компьютерами или для размещения вредоносных файлов; спам-рассылки; организация DDoS-атак.

С другой стороны, компании стремятся защититься имеющимися в арсенале индустрии инфобезопасности средствами и организационными мерами. В центре этого противостояния – человек, который активно или пассивно, но неизбежно оказывается либо в стане защитников, либо в армии нападающих.

Каналы утечек конфиденциальной информации

Рейтинг экспертов «ИКС»

1. Съемные носители, в том числе у привилегированных пользователей и администраторов (самая распространенная и ведущая к большим потерям проблема).

2. Электронная почта (утечки происходят как намеренно, так и по халатности).

3. Веб-сервисы: файлообменники, мессенджеры, социальные сети (легко выгрузить в облако большой объем информации или обнародовать непубличные сведения).

4. Бумажные носители (сложно контролировать вынос за периметр компании).

5. Мобильные устройства (сложно контролировать информационные потоки).

6. Кража/потеря мобильного устройства.

Синдром утекающей информации

Утечки конфиденциальной информации – это реалии жизни современных организаций во всем мире. По данным аналитического центра InfoWatch, только в первой половине прошлого года ущерб (затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), который понесли компании вследствие утечек информации, составил $3,67 млрд. На самом деле утечек гораздо больше, поскольку в СМИ, публичных материалах компаний и госорганов упоминается лишь об 1–5% всех утечек по разным каналам. Иначе говоря, размер возможного ущерба от утечек достигает десятков, а то и сотен миллиардов долларов. Информация упрямо утекает даже при использовании самых современных технологических средств ее защиты.

К объективным причинам эксперты «ИКС» относят постоянный рост объемов данных и числа мест их хранения (серверы, компьютеры, мобильные устройства пользователей, облачные хранилища и т.д.). Все больше процессов переходит в компьютерно-сетевую сферу – и в силу упрощения технологий передачи данных все чаще происходят неумышленные утечки. Одно дело запись файла на USB-флешку и совсем другое – автоматическая синхронизация данных между телефоном и ноутбуком через беспроводную сеть. Потеря пользователем контроля над тем, какие данные и где у него хранятся, – прямой путь к их утечке, уверены наши эксперты. Ситуация осложняется тем, что в конфликт входят удобство пользования и безопасность, и здесь в действие вступает субъективная причина – человек. И не только легкомысленный пользователь, но и главный в этом деле субъект – специалист в области информационной безопасности.

Почему бессильны технологии

Инструментарий безопасников для борьбы с утечками обширен. Это и решения вендоров для обеспечения безопасности данных на пользовательских устройствах, и системы предотвращения утечек (DLP), и средства обнаружения и предотвращения вторжений (IDS/IPS), и комплексы для идентификации и управления доступом к информационным ресурсам (IDM), и интегрированные системы управления информационной безопасностью (СУИБ), и другие технологии. Однако, как замечают эксперты «ИКС», все перечисленное – лишь средства контроля, которые неэффективны до тех пор, пока не будут определены объекты контроля, правила их перемещения и изменения, расписаны роли пользователей и определены наказания за нарушения. Любое перемещение информации имеет бизнес-контекст, без понимания которого невозможно принять автоматическое решение «разрешить/запретить», поэтому мало просто купить систему – необходимо обучить персонал правилам обращения информации в компании, а этому большинство сотрудников служб информационной безопасности просто не обучены. Без постоянной работы с сотрудниками по поддержанию и совершенствованию процессов компании ни одно средство защиты не стоит потраченных на него денег.

Более того, нередко в компаниях реализуются проекты внедрения технических средств защиты информации, но потом этими средствами практически не пользуются. Скажем, компания выбрала современную систему DLP, внедрила, на этом остановилась или перешла к следующему внедрению, а отчеты DLP-системы никто регулярно не изучает, не работает с инцидентами, не реагирует на них.

К слову, в ходе недавнего проекта Cisco по мониторингу угроз было обнаружено, что даже при использовании систем DLP в 100% проанализированных коммерческих сетей трафик направлялся на веб-сайты, на которых было размещено вредоносное ПО; в 92% сетей обнаружился трафик на пустые веб-страницы, на которых обычно осуществляются вредоносные действия; из 96% проанализированных сетей трафик направлялся на уже взломанные и скомпрометированные серверы. 

Основы корпоративной культуры
и информационной безопасности

Топ-менеджмент. Обеспечивает административным и бюджетным ресурсом. Подтверждает важность информационной безопасности для бизнеса, утверждает общую концепцию ИБ, определяет приоритетность мероприятий по борьбе с утечками. Принимает правила обращения информации в компании, легитимизирует систему контроля этих правил и ответственность за их нарушение. Соблюдает правила работы с конфиденциальной информацией (пример для других сотрудников). 

HR-служба. Совместно со специалистами классической службы безопасности на этапе собеседования и изучения резюме рассматривает кандидата с точки зрения рисков, обращает пристальное внимание на людей, переходящих из конкурирующих компаний, анализирует доступную информацию о кандидате в социальных сетях и т.п. При положительном решении о принятии кандидата в штат запускает процесс повышения осведомленности: информирует о важности той информации, с которой предстоит работать сотруднику, подписывает с ним договор о неразглашении. Регулярно проводит обучающие семинары для сотрудников по правилам работы с конфиденциальной информацией. Создает систему обратной связи, когда нарушители обязаны заново обучаться и подтверждать знание правил работы с конфиденциальной информацией. Совместно со службой экономической безопасности реализует принцип неотвратимости наказания. Обеспечивает систему поощрения (планирование карьеры, социальные пакеты, talent management, «пожизненный найм» и др.), препятствующую коммерческому подкупу или злоупотреблениям служебным положением, направленным на организацию утечки.

ИТ-служба. Учитывает вопросы защиты информации при проектировании, реализации и внедрении информационных систем. Обеспечивает надлежащий уровень безопасности при хранении информации и работе с ней (к примеру, шифрование на общих ресурсах и персональных компьютерах). Поддерживает средства мониторинга и отдельных расследований.

ИБ-служба. Обеспечивает комплексный подход к защите информации во взаимодействии со службами ИТ, внутренней безопасности, экономической безопасности, управления персоналом. Контролирует распространение информации (контроль доступа) и отслеживает работу пользователей с применением специализированных программно-аппаратных комплексов. Осуществляет мониторинг каналов утечки и расследование инцидентов. Поддерживает горячую линию сбора информации о нарушениях. Реагирует на инциденты, проводит внутренние расследования и передает их результаты топ-менеджменту, ИТ- и HR-службам. Совместно с HR-службой повышает осведомленность сотрудников, два-четыре раза в год проводит для них обучение. Отчитывается перед высшим руководством компании (развитие и при необходимости пересмотр концепции защиты информации; анализ инцидентов; развитие методологии, мер и средств обеспечения инфобезопасности).

Рядовые пользователи. Соблюдают правила работы с конфиденциальной информацией. Информируют ИБ-службу об обнаруженных нарушениях.

Кто виноват и что делать

В идеале защитой информации в организации должны быть озабочены абсолютно все сотрудники, от гендиректора до уборщиц. Эксперты разделяют их вклад в обеспечение информационной безопасности на три категории: активная – управление и контроль за системами безопасности (службы ИБ, ИТ), косвенная – подбор и обучение персонала, корпоративная культура и этика (HR-служба и топ-менеджмент) и пассивная – соблюдение политик безопасности, недопущение возникновения инцидентов безопасности в пределах своей зоны ответственности и компетенции (рядовые пользователи).

Но жизнь далека от идеала. Топ-менеджмент в большинстве случаев основную роль в обеспечении информационной безопасности отводит ИБ-службе, требуя от нее быстрого самостоятельного решения всех проблем. В результате подразделения инфобезопасности не справляются с потоком задач, которые постоянно возникают в повседневной жизни любой организации. И хорошо еще, если такое подразделение в принципе на предприятии есть (по данным исследования «МФИ Софт», лишь в 18% российских компаний есть специалисты или отделы информационной безопасности). HR-службы не особенно обеспокоены прохождением сотрудниками тренингов по инфобезопасности при их приеме на работу, а также по окончании каждого года или при серьезном изменении информационной системы или бизнес-процессов компании; не работают над выявлением нелояльных и немотивированных пользователей и повышением их лояльности. Службы ИТ и ИБ нередко входят в конфликт (см. с. 41). А пользователи теряют, забывают, уносят, передают. Именно «пассивная» категория наносит основной ущерб, поскольку действия или бездействие рядовых сотрудников обычно и приводят к утечкам ценной информации.

Взращивание корпоративной культуры информационной безопасности – задача топ-менеджмента, считают эксперты «ИКС». От отношения к этому вопросу руководителей зависит эффективность и само существование организационной и технической инфраструктуры, обеспечивающей инфобезопасность предприятия. Еще лучше, если в состав топ-менеджмента вводится руководство ИТ/ИБ в ранге заместителей генерального директора или его прямых подчиненных, имеющих право выдавать распоряжения по компании в рамках своей компетенции. В этом случае роль ИТ/ИБ выходит на новый уровень. Безопасники и айтишники встают во главе формирования корпоративной культуры информационной безопасности: разрабатывают и проводят в жизнь необходимые меры по совершенствованию процедур инфобезопасности в компании, контролируют их соблюдение. Но даже если руководство ИБ не возведено в ранг топов, корпоративная культура информационной безопасности может формироваться на основе «должностной инструкции», составленной по рекомендациям экспертов «ИКС».

Мы – не роботы, роботы – не мы

Если бы все сотрудники компаний все делали в соответствии с правилами и политиками информационной безопасности, никаких утечек не было бы. Но, судя по коллективному портрету, составленному экспертами «ИКС», достичь уровня идеального пользователя невозможно.

Будучи сотрудниками тех или иных организаций, все мы неизбежно оказываемся также частью массового рынка инфобезопасности, который должен защищаться от вирусов, мошенников и прочей кибернечисти. Как от нее обороняться? Эксперты «ИКС» выделяют три категории современных направленных против пользователей мошеннических схем: взлом рабочих мест пользователей, социальная инженерия и угрозы мобильным устройствам. В каждом случае эксплуатируются широкие возможности потребления контента пользователями – и проблем можно было бы избежать, если бы новостные порталы операторов, поисковые системы, социальные сети, системы онлайн-банкинга, магазины приложений при заключении договора информировали пользователей о сопутствующих рисках информационной безопасности. Кроме того, желающих злоупотребить доверчивостью или неосведомленностью пользователей стало бы гораздо меньше, если бы государство законодательно установило киберпреступникам более жесткое наказание, чем нынешние условные сроки, а примеры раскрытия их преступлений и последовавшего наказания широко освещались.

Думается, проблема «информационной гигиены» уже действительно назрела. Полумерами не отделаться. К этому выводу, похоже, приходит и государство, с трибуны Совета Федерации предлагающее ввести основы информационной безопасности и защиты от интернет-мошенничества в школьную программу ОБЖ и предусматривающее подключение к обучению инфобезопасности родителей и школьных учителей (что отражено в принятой недавно Концепции информационной безопасности детей). Для тех, кто уже покинул школьную скамью, было бы полезно регулярно публиковать циклы статей в средствах массовой информации или делать специализированные телепередачи аналогично программам о здоровье.  

Идеальный сточки зрения информационной безопасности сотрудник предприятия – это: 

... сотрудник, понимающий, что от его действий зависит будущее не только компании, но и его собственная информационная защищенность;

... фактически член команды безопасников, понимающий, чт'о и зачем он делает, и прилагающий усилия для создания обратной связи в целях совершенствования системы безопасности;

... ответственный, внимательный и квалифицированный пользователь, которому не чужды интересы компании;

информационно грамотный, думающий, лояльный и преданный компании специалист;

ответственный человек, соблюдающий регламенты информационной безопасности, в полной мере осознающий важность их выполнения;

хорошо мотивированный молодой карьерист;

человек думающий;

неизвестный науке индивидуум;

компьютер, желательно не подключенный к интернету;

робот, четко соблюдающий заложенные инструкции и не требующий обслуживания;

робот или интерактивный скрипт, который делает только то, что должен, и не делает ничего из того, что не входит в его обязанности;

мертвый сотрудник J.

Источник: коллективный разум экспертов «ИКС»

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!