Тропой инсайдера. Секреты информационной безопасности
Информационная безопасность за последние годы превратилась в весьма насущную проблему. Хакеры, вирусы и полный загадочных угроз интернет усилиями Голливуда и СМИ стали известны всем, включая панически боящихся компьютера пенсионерок. Но немногие люди за пределами узкого круга специалистов по информационной безопасности знают, что главную угрозу любым конфиденциальным данным (мы говорим о предприятиях, а не о домашних ПК) представляют вовсе не вирусы/трояны и не хакеры, организующие DDoS-атаки.
На первом месте по числу инцидентов, связанных с утечкой и/или уничтожением ценной информации, находятся инсайдеры. Ну а на втором месте по числу утечек… нет, не хакеры или вредоносное ПО. На втором месте – сотрудники, которые попросту теряют важные данные из-за халатности, невнимательности или незнания основных правил безопасности. То есть в обоих случаях имеет место пресловутый «человеческий фактор», для которого любые антивирусы и файрволы – не преграда. Как говорил еще Кевин Митник, «От человеческой глупости нет патча».
Но дело все-таки обстоит не так плохо. На самом деле защититься можно практически от всего, в том числе и от утечек компьютерных данных. Какими бывают эти утечки и как от них защититься я и постараюсь рассказать в этой серии статей.
Преступники в белых воротничках
Общепризнанный факт: в наши дни одной из главных угроз информационной безопасности любой компании стали инсайдеры – остальные угрозы (хакеры, вирусы и т.п.) более-менее успешно нейтрализуются специализированным софтом и сотрудниками IT-отделов. Именно на совести инсайдеров большинство громких утечек конфиденциальной информации, зафиксированных по всему миру в последние годы. Чаще всего к инсайдерам относят:
- сотрудников, сознательно работающих на конкурентов (нанятых или предварительно трудоустроенных ими);
- сотрудников, прямо или косвенно связанных с криминальными структурами;
- просто недобросовестных сотрудников, ставящих свои интересы заведомо выше интересов фирмы;
- сотрудников, обиженных на начальство и по этой причине скрытно вредящих, не получая от этого какой-либо выгоды.
Как показывает статистика, в половине случаев инсайдеры используют мобильные устройства переноcа данных – ноутбуки, КПК, USB-флэшки, CD/DVD-диски). Тут на руку злоумышленнику оказывается компактность мобильных устройств: внутренние нарушители легко прячут маленький носитель и выносят данные с рабочего места.
Второй по распространенности канал утечек (35%) – это интернет. Он, в отличие от мобильных носителей, не позволяет быстро передавать большие объемы данных, зато не требует от инсайдера даже отлучаться с рабочего места.
Недавно в интернет-СМИ была опубликована информация аналитического центра компании Perimetrix, который провел собственное исследование внутренней информационной безопасности (ИБ) в России. Вот его основные выводы:
- Внутренние факторы заметно опережают внешние в рейтинге угроз ИБ. Наибольшие опасения специалистов вызывают утечки данных (76%) и халатность сотрудников (67%). Всего 5% организаций в 2007 году не пострадали от утечек.
- 100% организаций оснащено антивирусным ПО и межсетевыми экранами, но только 24% имеют защиту от утечек, поэтому данные утекают с угрожающей регулярностью.
- Чаще всего инсайдеры крадут из компаний персональные данные (57%), информацию по конкретным сделкам (47%) и финансовые отчеты (38%).
- Самыми популярными каналами утечек являются мобильные накопители и электронная почта.
- В ближайшее время 34% российских компаний планируют установить у себя софтверные системы защиты от утечек, а 22% организаций собираются внедрить шифрование данных.
Для автора этих строк стало сюрпризом то, что в первую очередь инсайдеров интересует не интеллектуальная собственность и корпоративные секреты, а персональные данные. Но это, впрочем, вполне объяснимо: персональные данные легко продать в интернете фишерам или спамерам. За персональными данными по «популярности» в среде инсайдеров следуют детали конкретных сделок (47%), финансовые отчеты (38%), интеллектуальная собственность компании (25%), бизнес-планы (19%) и прочие информационные ресурсы (14%).
Каналы утечки данных распределились так:
1. Мобильные накопители – 74%
2. Электронная почта – 58%
3. Интернет-пейджеры (IM) – 17%
4. Интернет (web-почта, форумы, блоги) – 26%
5. Принтеры – 18%
6. Фото-видео-устройства – 2%
7. Другие – 5%
Пусть вас не удивляют цифры, дающие в сумме более 100%: ни один инсайдер не пользуется единственным каналом передачи данных
Показательно, что все участвовавшие в исследовании Perimetrix организации применяют антивирусы и межсетевые экраны. Это позволяет в большей или меньшей степени защититься от хакеров и вирусов. Также 98% компаний применяют контроль доступа, 74% - системы обнаружения/предотвращения вторжений (IDS/IPS) и 53% - VPN-соединения. Таким образом, от внешних угроз защищают сразу несколько различных технологий.
Истоки подобного подхода в том, что проблема внешних атак стала актуальной еще в середине 90-х. С тех пор компании научились бороться и с хакерами, и с вирусами; достаточно разрекламирован и соответствующий софт. Как результат, сегодня большинство организаций оснащены достаточно эффективными барьерами для противодействия внешним угрозам.
А вот инсайдеры – относительно новое явление. Пока оно изучено не всеми специалистами по информбезопасности, из-за чего многие организации остаются беззащитными перед внутренними угрозами. Только 36% компаний шифрует данные, а системами защиты от утечек (контурами информационной безопасности) пользуется лишь 24% фирм.
Между тем, контроль за внутренними информационными потоками, архивация передаваемых данных с последующим расширенным поиском и аналитической обработкой с вероятностью 99% позволяют выявить инсайдера, а впоследствии – поймать его за руку и доказать вину.
- Где данные? - Они пропали…
В последнее время ни одна неделя не обходится без сообщений о пропажах конфиденциальных данных. Чаще всего почему-то «отличается» Великобритания; за ней в списке «информационных нерях» уверенно следуют США. Шокирующий пример: за последние четыре года налоговое ведомство США потеряло порядка 500 ноутбуков с важными данными – это 2,4 ноутбука в неделю!
К осени 2007 года четко обозначились тенденции, демонстрирующие основные схемы потери данных. Типичная модель выглядит так: какой-нибудь мелкий государственный клерк или средней руки менеджер коммерческой компании выносит с работы ноутбук с базой конфиденциальных данных. Собирается поработать дома или просто встречается с деловыми партнерами. Реже речь идет о других носителях информации – например, о простой флешке. После этого служебный ноутбук оставляют без присмотра где-нибудь на заднем сиденье автомобиля или у столика в баре. В Великобритании бесхозные ноутбуки не то что с конфиденциальными – вообще с секретными данными находили и в электричках, и на парковых скамейках.
Неудивительно, что оставленный без внимания ноутбук просто крадут. Большинству таких «спонтанных» воров содержащаяся в лэптопе информация абсолютно безразлична. Но украденная техника попадает к криминальным перекупщикам, а это уже намного более компетентные люди. Они наверняка поинтересуются содержимым HDD на предмет информации, которую можно продать в онлайне, где действует самый настоящий рынок конфиденциальных данных. И наибольшим спросом на нем пользуется информация о частных лицах. По оценкам экспертов, общее количество человек, чьи персональные данные были утеряны или украдены в 2007-м, может превысить 125 млн. Другое исследование показало, что каждый инцидент, в ходе которого раскрывается частная информация о людях, угрожает кражей личности в среднем 785 тыс. человек.
Помочь избежать таких потерь на корпоративном уровне вполне может специальное ПО, которое обеспечивает разграничение прав доступа к важным данным. То есть на ноутбуке, который потенциально могут украсть, попросту не окажется критически важных данных.
Уроки Жерома Кервьеля
История с потерей французским банком Societe General пяти миллиардов евро, произошедшая в конце января нынешнего года, своими масштабами и несуразностью потрясла финансовое сообщество не только Европы, но и всего мира. Один-единственный инсайдер воспользовался своим знанием внутренних систем компьютерного контроля и с легкостью нарушил все банковские правила биржевой торговли фьючерсами, в результате спустив на ветер 4,9 млрд евро (7,16 миллиардов USD).
31-летний Жером Кервьель фактически организовал собственное предприятие внутри Societe Generale и использовал возможности огромного банка в собственных целях. Незаконные операции проводились в течение целого года. Несколько позже всплыла информация о том, что Кервьель до этого на протяжении пяти лет работал в службе безопасности этого же банка и потому досконально знал как работает система контроля и как ее обойти. В общем, классический пример инсайдера.
По ходу развития скандала выяснялись все новые подробности аферы. Так, оказалось, что Жером Кервьель, чтобы проиграть 4,9 миллиарда евро оперировал активами на сумму 50 миллиардов евро. Обратите внимание: собственная капитализация (общая стоимость активов) Societe General на 23 января 2008-го составила 36 млрд евро – это примерно равно ВВП Словакии. Официально вознаграждение Кервьеля в банке не превышало 100 тысяч евро в год. Он занимал пост младшего трейдера и имел право совершать только простейшие торговые операции на рынке. Получается, что один умный инсайдер целый год распоряжался суммой, равной бюджету средних размеров страны, а этого никто не замечал.
Специалисты по информационной безопасности, конечно же, прокомментировали произошедшее в Societe Generale – сложно остаться в стороне от события, не сходящего с первых полос газет и экранов телевизоров. Общий смысл комментариев сводился к следующему: все, сделанное Жеромом Кервьелем, было бы невозможно, если бы в банке было установлено специальное ПО для разграничения уровней доступа и полномочий сотрудников, а также для контроля за информационными потоками. Тем более, что такие программные комплексы существуют (о них я расскажу ниже).
Утечки из IT-отдела
Об этом обычно не задумываются даже сотрудники отделов безопасности, но до неприличия часто информация «утекает» через сотрудников IT-отделов. Дело в том, что по самой специфике своей работы «айтишники» получают доступ абсолютно ко всем информационным потокам, включая и самую конфиденциальную информацию.
Об этом красноречиво свидетельствует, к примеру, опрос трехсот специалистов IT-отделов, проведенный на недавней выставке Infosecurity в Лондоне. Это исследование проводила компания Cyber-Ark, занимающаяся обеспечением IТ-безопасности. Треть опрошенных признались, что время от времени используют свои администраторские пароли для доступа к конфиденциальной информации компании. К такой информации, в частности, относятся сведения о зарплатах других сотрудников, планы по слияниям и поглощениям, личные дела сотрудников и т.д. Более того, 47% опрошенных имеют доступ к сведениям, которые им, в принципе, по долгу службы знать не положено.
Дальше – больше. Оказалось, что даже в технологически весьма «продвинутых» фирмах уделяется слишком мало внимания вопросам защиты информации. Дошло до того, что привилегированные пароли меняются реже, чем пользовательские: в 30% случаев раз в три месяца, в 9% – вообще не меняются никогда. А половине системных администраторов даже не требуется авторизация для доступа к привилегированным аккаунтам.
В общем, службам безопасности, а точнее – лицам, ответственным за информационную безопасность, – имеет смысл обратить более пристальное внимание на людей, которые отвечают за IT-инфраструктуру компании. Добродушный бородатый админ вполне может оказаться самым злостным инсайдером – уже хотя бы потому, что имеет две вещи: неограниченный доступ ко всей служебной информации и свое собственное мнение о свободе информации.
Правда, возникает одна серьезная проблема: в случае с сотрудниками IT-департамента весьма эффективные в остальных случаях софтверные способы контроля оказываются бесполезными. Но эта тема уже выходит за рамки данной статьи.
