01 Ноября 2004 11:11 | 01 Ноя 2004 11:11 | |

Поделиться

Офисные предатели опаснее хакеров

«Инсайдеры» опаснее вирусов

До недавнего времени проблема внутренней ИТ-безопасности, в частности защиты конфиденциальной информации предприятий и организаций от умышленных и неумышленных неправомерных действий сотрудников представлялась в большей мере как дело будущего. Но на протяжении последних двух лет озабоченность специалистов в области ИТ-безопасности проблемами саботажа, шпионажа, халатности сотрудников с использованием компьютерной инфраструктуры многократно выросла и сейчас является одним из ключевых факторов развития корпоративных ИТ-систем.

По данным совместного исследования Computer Security Institute и ФБР (CSI/FBI Computer Crime and Security Survey), объем потерь от утечки информации 1000 участвовавших в опросе предприятий США, составил более $70 млн. Этот показатель значительно опередил другие ИТ-угрозы, в том числе вирусы ($27 млн.), хакерские атаки ($65 млн.), финансовые мошенничества ($10 млн.) и составил около 40% общего объема зарегистрированного ущерба. Согласно тому же исследованию, средний размер потери от действий инсайдеров составил $300 тыс., при максимальном размере $1,5 млн.

Объем потерь по видам атак,
2003 год, $ млн.

Источник: 2003 CSI/FBI Computer Crime and Security Survey,
данные по 1000 исследуемых компаний

Компания Ernst&Young подтверждает наметившиеся тенденции данными ежегодного исследования проблем ИТ-безопасности (Global Information Security Survey 2004). Именно в области внутренних угроз наблюдается наибольший рост озабоченности ИТ-профессионалов. Респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем. Этот показатель опередил такие "громкие" темы, как спам (56%), DoS-атаки (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%) и уступил лишь угрозе со стороны вирусов и червей (77%).

Топ-10 угроз информационной безопасности

Источник: Global Information Security Survey 2004, Ernst&Young

В десятку также попали другие внутренние угрозы – утечка информации о клиентах и другие виды кражи конфиденциальных данных. Одновременно, человеческий фактор был возведен на первое место в списке обстоятельств, препятствующих проведению эффективной политики ИТ-безопасности.

Причины «болезни»

Проблема внутренней ИТ-безопасности имеет измерение в конкретных финансовых показателях. По данным Association of Certified Fraud Examiners американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. В 2003 г. общий объем таких потерь составил около $660 млрд. По оценке InfoWatch порядка 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников. Другое исследование Ernst&Young – по проблемам электронного мошенничества - свидетельствует, что 20% работников уверены в утечке конфиденциальной корпоративной информации со стороны коллег. Приведенные данные наглядно свидетельствуют о понимании опасности, которую представляют сотрудники. С другой стороны, оказывается, что руководство компаний практически бездействует, уделяя этой проблеме исключительно низкое внимание. По мнению InfoWatch, существует несколько причин такой парадоксальной ситуации.

Во-первых, высокий уровень внимания, уделяемый внешним угрозам (прежде всего вредоносным программам) со стороны средств массовой информации и активная информационная работа разработчиков соответствующих систем защиты. В результате редкий пользователь ни разу не слушал и вирусных эпидемиях, но мало кто может похвастаться глубокими знаниями относительно внутренних угроз. С этим мнениям согласны аналитики Ernst&Young: "Мы считаем, что некоторые респонденты оказались под влиянием сообщений СМИ или драматизации ситуации со стороны вендоров, которые привлекают повышенное внимание к вирусам и червям, и недостаточно концентрируют его на другой опасной угрозе – инсайдерах".

Во-вторых, высокий уровень латентности (сокрытия) таких преступлений или низкий показатель раскрываемости. По оценкам экспертов, латентность киберпреступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%. Экстраполируя эти данные можно утверждать, что статистика является отражением лишь около 10% совершенных преступлений. Ernst&Young оценивает этот показатель менее скептически, определяя латентность порядка 45%, объясняя такую цифру тем, что большая часть организаций в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своему конкурентному положению, имиджу в глазах общественности и негативного влияния на стоимость акций на фондовой бирже. Также очевидно, что с развитием и расширением предприятия возможностей для краж становится больше, а риск быть пойманным уменьшается. С учетом этого, сколько вторжений и вызванных ими потерь остаются незамеченными? Компаниям следует признать, что они просто не знают этого.

"Многие организации даже не представляют, что причиняет им ущерб, и в каком объеме. В то время как паникеры фокусируют внимание пользователей на внешних угрозах, аргументируя сомнительными оценками потерь, для организаций большую опасность представляют инсайдеры – неправомерные действия, халатность, недосмотр сотрудников… Поскольку многие инсайдерские инциденты тщательно маскируются и не контролируются, организации часто оказываются не в курсе, что они подвергаются атаке изнутри", - отметил в выводах Эдвин Беннет (Edwin Bennett), управляющий Technology and Security Risk Services компании Ernst&Young.

Наконец, третьим фактором недостатка внимания к решению проблемы внутренних угроз является практически полное отсутствие комплексных систем защиты от внутренних угроз, в частности от утечки конфиденциальной информации. Создается впечатление, что у заказчиков существует интерес в этом направлении, но недостаток технологических решений вынуждает или искать смежные решения (например, использование антиспамовых систем для контентной фильтрации конфиденциальной информации) или вовсе отложить внедрение в долгий ящик. В итоге, по данным Ernst&Young, почти 100% опрошенных подтвердили наличие в корпоративных сетях антивирусного ПО, 71% - антиспамовых систем, но о защите от внутренних угроз не упомянул никто.

Защити себя сам

Для минимизации риска потерь от внутренних угроз необходимо проведение комплекса технических, нормативных и образовательных мер. Только их сочетание, соответствующее специфическим задачам и сфере деятельности организации представляет собой эффективный ответ на новые вызовы. К сожалению, сегодня во многих случаях недооценивается ни одна из упомянутых выше мер. Наибольший прогресс можно наблюдать в области обучения пользователей основам ИТ-безопасности. Однако и здесь дело обстоит не лучшим образом. Почти 70% организаций не включили тренинги персонала в список приоритетных направлений развития ИТ-безопасности, более половины – не проводят тренингов вообще.

"Трудно переоценить важность обучения персонала, но, вместе с тем, нельзя забывать про технические средства контроля над обращением конфиденциальной информации. В обратном случае, неблагонадежные сотрудники имеют полную свободу распоряжаться данными в пределах своей компетенции", - отметил Евгений Преображенский, генеральный директор InfoWatch. Сегодня рынок средств защиты от внутренних угроз только начинает формироваться. Налицо существование большого спроса на комплексные решения, которые позволяют предотвращать утечку информации через наиболее опасные каналы: электронную почту, интернет, мобильные носители, средства тиражирования документов. "Мы считаем, что ближайшие годы будут отмечены появлением принципиально нового рынка систем ИТ-безопасности – Anti-Leakage Software - специализированных решений для контроля над конфиденциальной информацией и предотвращения ее утечки", - добавил Евгений Преображенский.

Принципиальное отличие Anti-Leakage Software от других отраслей ИТ-безопасности – четкий фокус на защиту от утечки информации и сочетание со смежными областями. Ключевыми элементами этих решений станут контентный анализ почтового и веб-трафика, контроль операций с документами на уровне рабочих станций и система централизованной установки и управления. Заказчики смогут выбирать из нескольких вариантов реализации структуры внутренней ИТ-безопасности. Например, сканирование электронной корреспонденции может осуществляться на выделенном специализированном сервере для ИТ-безопасности (в сочетании с антивирусной и антиспамовой проверкой трафика) или непосредственно на почтовом шлюзе. Аналогично, фильтрация веб-трафика может быть реализована как на уровне прокси-сервера, так и корпоративного межсетевого экрана. Последний, в свою очередь, может также выполнять функции полномасштабной проверки всего внешнего потока данных организации.

В отличие от смежных решений контентного анализа, Anti-Leakage Software поставляется с готовой базой фильтрации, содержащей ключевые слова и фразы, являющиеся конфиденциальными в специфических условиях каждой конкретной организации. Это предполагает тесную работу между специалистами заказчика и разработчика и проведение комплекса работ по установке, наладке и поддержке системы. Вместе с тем, не исключено появление и коробочных версий решений для защиты средних и малых предприятий.

Контроль операций с документами на уровне рабочих станций является уникальным элементом Anti-Leakage Software. Эта функция позволяет предотвращать утечку, искажение или уничтожение конфиденциальной информации с компьютеров пользователей. Например, копирование данных на мобильные носители (компакт-диски, дискеты, USB-накопители), печать, открытие, редактирование документов и т.д. В случае обнаружения неправомерных действий сотрудников соответствующему сотруднику службы ИТ-безопасности будет немедленно отправлено предупреждение об инциденте для принятия соответствующих мер.

Помимо разграничения прав доступа к данным, Anti-Leakage Software также способно конспектировать операции с документами в пределах компетенции должностных лиц. Таким образом, при расследовании случаев утечки информации можно будет проводить комплексный ретроспективный анализ на основе архивов операций. Система централизованного администрирования Anti-Leakage Software позволит управлять комплексом с единой удаленной консоли. Это дает возможность экономить ресурсы заказчика и делает процесс обновления и контроля максимально быстрым и эффективным. Одним из необходимых элементов станет интеграция в другие корпоративные системы управления, такие как OpenView, Tivoli и UniCenter. Это обеспечит максимальную совместимость Anti-Leakage Software с существующей ИТ-инфраструктурой организации.

При использовании специализированного ПО не стоит забывать о том, что эффективное внедрение средств защиты конфиденциальной информации невозможно без проведения мероприятий организационного характера. В частности, организации-заказчику необходимо создать ряд документов, описывающих политику обращения с электронной конфиденциальной информацией и проводить регулярные тренинги персонала. Политика должна описывать виды информации, хранящейся и обрабатываемой информационной системе заказчика, присваивать каждому виду информации категорию ее конфиденциальности и определять правила работы с ней. В результате этих действий создается нормативная база комплекса защиты от внутренних угроз, которая приводит его в соответствии с действующим законодательством.

Денис Зенкин / CNews.ru

Поделиться

Короткая ссылка