Поделиться
Система ИБ: когда не работают механизмы защиты
В статье "Посторонним вход воспрещен: как обезопасить корпоративные данные?" речь шла о технических решениях, применяемых для управления доступом сотрудников к информационным ресурсам предприятия. Этот материал посвящен живым примерам ситуаций, когда меры и инструменты защиты оказываются неработоспособными: почему так происходит и как добиться максимального синергетического действия используемых ИТ-средств?Второй — объединение в рамках ключевого носителя (смарт-карты) не только доступа к ИТ-ресурсам, но и банковской карты, на которую переводится заработная плата. Действие этого механизма основанно на том, что все мы к своим деньгам относимся внимательнее, чем к корпоративной информации. Это повышает шансы, что карточку с зарплатой не будут передавать коллегам и оставлять на рабочем столе без присмотра.
Третий вариант подразумевает интеграцию идентификации (IDM) и контроля физического доступа в помещения (СКУД). Система идентификации, прежде чем предоставить доступ к информационной системе, проверяет, действительно ли данный пользователь находится в офисе и сам ли он предпринимает попытку доступа.
Каждый из этих механизмов значительно повышает надежность аутентификации и допускает эффективную техническую реализацию, причем при определенных условиях организация может сохранить значительную часть инвестиций в существующие системы ИБ. Третий вариант особенно интересен тем, что не требует замены ключевых носителей и поддерживающей инфраструктуры PKI. Кстати, интеграция системы IDM с системой СКУД может победить и еще одну классическую проблему, ставшую причиной очень большого числа компьютерных преступлений. Какую? Халатность сотрудников, имеющих доступ к финансовым операциям.
Халатный работник — все равно что преступник
В современных системах «Банк-клиент» система двухфакторной аутентификации применяется в обязательном порядке. Так, без предъявления своего токена, бухгалтер просто не может провести платеж. Подавляющее большинство бухгалтеров реагирует на это новшество одинаково. Получив токен, бухгалтер вставляет его в свой компьютер и никогда больше не вынимает, что полностью дискредитирует идею безопасности. Некоторые бухгалтеры идут дальше и даже не блокируют свой компьютер, покидая свое рабочее место. В итоге для кражи денег, злоумышленнику остается только выбрать удобный момент, когда бухгалтерский компьютер останется без присмотра, и, набив платежку, перевести имеющиеся на счете средства туда, где можно будет быстро обналичить деньги, не оставляя следов.
В современных системах «Банк-клиент» применяется двухфакторная аутентификация
Именно такой случай произошел у одного из наших заказчиков. Во время обеденного перерыва все сотрудницы бухгалтерии ушли на обед, не заблокировав компьютер главного бухгалтера и не вытащив USB-токен от клиент-банка. Некто, зайдя на минуту в бухгалтерию, перевел несколько десятков миллионов рублей на определенный счет. Несанкционированная операция была обнаружена лишь на следующее утро, по полученным банковским выпискам. За это время деньги были многократно переброшены по различным счетам в различных банках, разбиты на менее значимые суммы и в итоге обналичены через банкоматы очень далеко от Москвы.
Естественно, все вопросы по данному платежу были адресованы главному бухгалтеру, т. к. в организации лишь этот сотрудник имел доступ к системе «Банк-клиент». Несчастная женщина клялась, что не проводила этот платеж, что и подтвердилось после сопоставления момента транзакции с показаниями свидетелей и журналом системы СКУД. Когда совершалось преступление, женщина обедала в ближайшем кафе вместе с коллегами. Но это не отменило факта вопиющей халатности главбуха, которой и воспользовался злоумышленник.
Найти его не удалось, т. к. в офисе не велось видеонаблюдение и не было системы закрытия внутриофисных помещений (контролировался только доступ в офис с улицы). После этого случая руководство предприятия не только оборудовало все помещения офиса электронными замками и видеокамерами, но и поставило четкую задачу сделать так, чтобы бухгалтер не мог выйти из своего кабинета, пока ключ от клиент-банка подключен к его компьютеру. Интеграция IDM-системы и системы СКУД позволила решить задачу и создать систему, полностью защищенную «от дурака». Теперь ключ от клиент-банка и электронный ключ от двери кабинета – это единый носитель, и бухгалтер физически не может открыть дверь кабинета без того, чтобы не забрать токен с собой.
Проблема сисадмина
Говоря о роли человеческого фактора в компьютерных преступлениях и конкурентной разведке, нельзя не упомянуть о подкупе системного администратора, являющемся классическим способом получения доступа к важной информации. Чтобы представить себе масштаб этой угрозы, надо осознать возможности системного администратора, ведь многие организации просто не представляют себе, насколько они широки.
Поделиться
Короткая ссылка
