Спецпроекты

Безопасность

Принтеры – самый надежный инструмент инсайдера

У инсайдеров есть много способов «слить» конфиденциальную информацию заинтересованным лицам. Это электронная почта, сеть, интернет-пейджеры, внешние накопители, мобильные устройства и т.д. Защищая свою интеллектуальную собственность и коммерческие секреты, компании стараются взять под контроль каждый канал передачи информации. Однако, концентрируясь на современных коммуникационных возможностях, фирмы часто забывают о печатающих устройствах и возможности утечки через обычный бумажный носитель.

Опасность утечки через принтеры

Недавнее исследование компании Lexmark International показало, что бизнес фактически беззащитен перед утечкой корпоративных секретов через принтеры и обычную бумагу. Известный разработчик печатающих устройств опросил более 1 тыс. офисных служащих и выяснил, что почти половина (49%) отправляемых на принтер документов являются конфиденциальными. Более того, служащие забирают из лотка устройства далеко не все документы, так что доступ к ним имеет практически весь персонал, включая попадающих в офис посторонних лиц (гостей, курьеров, уборщиц и т.д.).

Интересно, что почти каждый десятый сотрудник (8%) просматривал документы своих коллег в выходном лотке принтера. Поживиться чужими секретами можно и на рабочих столах служащих. Так, ровно одна четверть (25%) всех работников держит конфиденциальные документы открытыми на своих офисных столах, а около одной десятой офисных служащих (7%) сообщили, что обычно хранят важные или конфиденциальные документы на своих рабочих столах среди других бумаг, вместо того, чтобы вовремя отправить их в шредер.

Проблема усугубляется еще и тем, что одна треть (33%) офисных служащих считает бумажные документы более эффективным средством, чем коммуникации по телефону или электронная почта. При этом белые воротнички не проявляют заботу ни о корпоративных секретах работодателя, ни о своих собственных приватных данных. Например, 41% сотрудников неблагоразумно оставляют свои распечатанные биографии в лотке принтера и на своих рабочих столах, а 40% бросают документы со своими личными сведениями вообще где попало.

По оценкам аналитического центра InfoWatch, практически ни одна российская компания не обеспечивает эффективный контроль над распечатываемыми документами. Исключение составляют лишь предприятия кредитно-финансовой сферы, так как они особенно уязвимы к атакам со стороны инсайдеров. Однако даже в этом случае служба ИТ-безопасности банков предпочитает ограничиться административными мерами, вообще запретив определенной части персонала выводить документы на печать. Тем не менее, это не просто сужает полезные коммуникационные возможности служащих, но и является довольно слабой защитой от утечки. Например, исследуя систему переработки бумажной информации в одном из отечественных банков, эксперты InfoWatch обнаружили, что инсайдеры по-прежнему могут красть конфиденциальные отчеты. Для этого достаточно отправить чувствительный документ на принтер службы рассылки банка, указав в качестве одного из получателей самого инсайдера. Несмотря на то, что система переработки сама по себе работала достаточно эффективно, высокая степень автоматизации приводила практически к моментальной рассылке конфиденциальных документов всем указанным адресатам, без какой бы то ни было проверки. Между тем, эта типовая схема распространения бумажной информации используется в большинстве крупных банков, некоторые из которых уже пострадали от утечки конфиденциальных отчетов именно через систему переработки.

Однако неэффективный контроль над печатающими устройствами может привести к утечке совершенно случайно – для этого необязательно иметь злой умысел. Очень часто белые воротнички выкидывают чувствительные документы просто в корзину для бумаг, хотя их следовало бы направить в шредер. В результате такой безалаберности и халатности приватные данные клиентов компании и конфиденциальные отчеты оказываются в мусорном баке под открытым небом. В этой связи уместно вспомнить рецепты еще Кевина Митника, советовавшего тщательно исследовать контейнеры для сбора мусора рядом с атакуемой организацией. Хакер неоднократно находил в них использованные дискеты и жесткие диски, а также конфиденциальные документы.

На результативность такого метода сбора информации указывает недавний инцидент, когда в мусорный бак попал конфиденциальный отчет одного банка. Не следует думать, что служащие оказались настолько глупы, чтобы забыть пропустить этот высокочувствительный документ через шредер сразу после того, как он оказался не нужен. На самом деле сотрудник хотел распечатать совсем другой отчет, но по невнимательности отправил на печать именно этот. Пока многостраничный документ печатался, служащий понял свою ошибку и отменил печать. Затем он распечатал тот файл, что ему был нужен, а о наполовину готовом конфиденциальном отчете вообще забыл. В результате какой-то другой работник, не долго думая, выкинул испорченную бумагу в корзину, а оттуда она перекочевала в мусорный бак на улице. Очевидно, рекомендации Кевина Митника по-прежнему актуальны.

Хотя в приведенных примерах конфиденциальная информация утекала из организации далеко не тривиальными способами, эксперты компании InfoWatch уверены, что действительность намного прозаичнее. На практике утечка намного чаще происходит без каких-либо изысков: инсайдер спокойно распечатывает необходимый документ и забирает его с собой вечером, уходя из офиса. Более того, иногда руководство или уполномоченные лица узнают об утечке, фиксируя изменения рыночной конъюнктуры или чрезмерную осведомленность конкурентов, а потом вычисляют потенциальных инсайдеров и канал утечки. Однако такие случаи никогда не выносятся на публику, а утечки превращаются в самые латентные преступления. Лишь в редких случаях информация об инциденте попадает в прессу, например, когда в деле замешана третья сторона (скажем, торгующая украденными документами).

«Инсайдеры – это действительно проблема. К сожалению, многие компании предпочитают просто закрывать на нее глаза. Некоторые руководители действительно верят в утопию о полном доверии между начальством и подчиненными, удовлетворенном и преданном персонале. Однако мы живем в реальном мире, который не всегда настолько идеален. Конечно, нужно доверять своим подчиненным. Да, нужно заботиться о них. Но нельзя слепо полагаться на людей только потому, что нет возможности их хоть как-то проверить. Чем больше компания, тем опаснее инсайдеры. У крупного бизнеса только два пути: либо снять розовые очки, либо приготовиться к серьезным экономическим проблемам», - считает Даниил Капцан, директор по маркетингу "Лаборатории Касперского".

Каналы утечки

Чтобы разобраться, какие коммуникационные каналы используются в бизнесе и насколько они популярны среди инсайдеров, необходимо взглянуть на результаты исследования «Внутренние ИТ-угрозы в России 2005», в ходе которого компания InfoWatch опросила 315 российских коммерческих и государственных организаций.

Каналы утечки данных в 2004-2005 годах

Каналы утечки данных в 2004-2005 годах

Источник: InfoWatch, 2005

Наиболее распространенным каналом утечки информации являются мобильные накопители (91%), за ними с небольшим отрывом следуют электронная почта (86%), интернет-пейджеры (85%) и интернет (90%). По мнению аналитического центра InfoWatch, популярность портативных носителей является следствием нескольких факторов. Прежде всего, на рынке появились дешевые модели с достаточно большой вместительностью (от 1 Гб и выше). Вдобавок, использование мобильных накопителей оставляет меньше следов и вызывает намного меньше подозрений, чем отсылка больших объемов данных по сети. Однако, несмотря на все эти факторы, для эффективной защиты от инсайдеров необходимо обеспечить контроль над всеми коммуникационными каналами. Очевидно, что если предприятие внедрит систему мониторинга мобильных устройств, электронной почты и других средств передачи данных, инсайдеры автоматически перенесут свое внимание на менее популярные, но все еще открытые каналы связи. Другими словами, прочность цепи определяется крепостью ее самого слабого звена.

«Чтобы эффективно защитить себя от инсайдеров, надо положить в основу принцип комплексности. Понятно, что политика ИТ-безопасности должна охватывать все средства коммуникации, а время от времени хорошо бы проводить тренинги персонала. Однако, в конечном счете, все ваши организационные меры упрутся в отсутствие реальных технических средств, которые должны напрямую защищать конфиденциальную информацию. Ведь политика – это свод правил, и кто-то должен следить за их соблюдением. Так что решить проблему инсайдеров можно только путем совмещения технических и административных мер. Таким образом, я призываю компании не откладывать в долгий ящик внедрение конкретных решений. Без них все остальные усилия – лишь слова на бумаге», - комментирует руководитель отдела системного ПО компании «Гелиос Компьютер» Вячеслав Лупанов.

Короткая ссылка