Борьба с инсайдерами: подбираем амуницию
Информационная безопасность, как известно, имеет дело с двумя категориями угроз: внешними и внутренними. Именно к последнему типу относятся инсайдеры. Их деятельность в большинстве случаев неумышленна, и именно поэтому ее трудно предугадать и обезвредить. Для этого надо задействовать весь арсенал доступных средств ИБ.Александр Астахов: Реально в корпоративной среде можно лишь попытаться поймать инсайдера за руку
На вопросы CNews ответил генеральный директор компании GlobalTrust Александр Астахов.
CNews: Какого рода решения, на ваш взгляд, позволяют наиболееэффективно бороться с инсайдерами?
Александр Астахов: Инсайд - это проблема юридическая, социально-этическая, управленческая и технологическая одновременно. Нам приходится иметь дело с различными типами инсайдеров, имеющих совершенно разную мотивацию,квалификацию и уровень доступа к информации. Задача заключается в том, чтобы для каждого типа инсайдеров подобрать оптимальный набор защитных мер. Так, например, юридические инструменты не работают, если не удается вовремя обнаружить инсайдера и собрать против него необходимые улики, а традиционные средства защиты от НСД неэффективны против инсайдера, преднамеренно "сливающего" информацию, к которой он имеет легальный доступ.
Обычно, самое большое, что можно себе позволить в реальной корпоративной среде, это попытаться обнаружить факт "слива" информации, поймать инсайдера за руку и привлечь к ответственности. Другими словами, если речь идет о шпионах (самой малочисленной и вместе с тем самой опасной категории инсайдеров), то на первый план выходит не объект защиты (т.к. шпион все-равно найдет способ украсть информацию), а источник угрозы (т.е. обнаружение и нейтрализация самого шпиона). Поэтому особый акцент я бы сделал на средствах мониторинга действий пользователей корпоративной сети, позволяющих бороться со шпионами их же методами.
CNews: Какие средства для обнаружения инсайдеров может предложить компания GlobalTrust?
Александр Астахов: Для обнаружения инсайдеров GlobalTrust предлагает продукты американской компании SpectorSoft Corporation. Флагманский продукт этой компании - Spector 360, в отличие от подавляющего большинства существующих средств мониторинга действий пользователей, является профессиональным продуктом корпоративного уровня, обеспечивающим централизованное развертывание системы, мощные средства администрирования и генерации отчетов, систему оповещений, анализ информации в реальном времени по ключевым словам, поддержку всевозможных коммуникационных протоколов и приложений и т.п. Spector 360 позволяет также контролировать такие немаловажные параметры как производительность труда и компетенция сотрудников. Службы технической поддержки при необходимости могут воспользоваться им для восстановления критичной информации и разобраться в причинах возникновения сбоев, проанализировав какие действия пользователя им предшествовали. Все это в совокупности позволяет гарантировать высокую степень востребованности продукта на современном корпоративной рынке.
CNews: Как решить этические проблемы, возникающие при организации борьбы с инсайдерами?
Александр Астахов: Конечно, такие меры как мониторинг действий пользователей и фильтрация электронных сообщений не способствуют повышению взаимного доверия между сотрудниками организации и ее руководством, что может служить серьезным демотивирующим фактором. Для того, чтобы избежать морально-этических проблем в коллективе, необходимо четко определить политику в области допустимого использования ресурсов организации и последовательно формировать соответствующую культуру обращения с информацией путем повышения осведомленности сотрудников в вопросах информационной безопасности. Надо научить людей отличать конфиденциальную информацию от открытой, личную информацию от служебной, допустимые действия от недопустимых. Борьба с инсайдерами не должна носить характер доносительства и шпиономании. Инсайд - это проблема всего коллектива, которую нельзя игнорировать. Мониторинг должен быть сосредоточен не на личности отдельных сотрудников, а на потенциально опасных действиях.