Бизнес-психология

Враг внутри

Начало нынешнего года ознаменовалось целым рядом инсайдерских скандалов. Во Франции Жером Кервьель стащил у Societe Generale пять миллиардов евро, чиновник из ЛихтенштейнА продал банковскую базу данных немецкому правительству, а в России живо обсуждались утечки данных об абонентах операторов сотовой связи. Не соскучишься.А сколько крупных вирусных эпидемий случилось за последние три месяца? Правильно, ни одной. А действительно громких хакерских атак? Ровно столько же, сколько и эпидемий. Вечная борьба за информационную безопасность сегодня переместилась в принципиально иную плоскость.

Начало нынешнего года ознаменовалось целым рядом инсайдерских скандалов. Во Франции Жером Кервьель стащил у Societe Generale пять миллиардов евро, чиновник из ЛихтенштейнА продал банковскую базу данных немецкому правительству, а в России живо обсуждались утечки данных об абонентах операторов сотовой связи. Не соскучишься.А сколько крупных вирусных эпидемий случилось за последние три месяца? Правильно, ни одной. А действительно громких хакерских атак? Ровно столько же, сколько и эпидемий. Вечная борьба за информационную безопасность сегодня переместилась в принципиально иную плоскость.

Прежние позиции бездушных вирусов занимают ныне вполне одушевленные инсайдеры. Это новый фронт, на котором разворачиваются все более интригующие события.

— Отрасль информационной безопасности сравнительно молода, однако быстро развивается, — говорит директор по маркетингу компании Perimetrix Денис Зенкин. — В рамках развития отрасли неизбежна периодическая смена приоритетов и появление принципиально новых задач. Закрыв корпоративную сеть от угроз извне, компании переключаются на более сложные внутренние, пытаясь защититься от произвола собственных сотрудников.

Но прежде чем говорить о причинах настолько радикального переворота, определимся с самим термином «инсайдер». В статье «Википедии» приведено сразу несколько определений, однако ниже указано: инсайдер — это нестабильный термин, значение которого может меняться в зависимости от контекста. Мы будем считать инсайдером любого сотрудника компании, имеющего доступ к любой корпоративной информации с конфиденциальным статусом. При этом совершенно не важно, что делает этот человек с доступом: использует его как надо либо пренебрегает своим служебным положением. В дальнейшем станет понятно, что, несмотря на опасность «злостных» инсайдеров, более серьезную угрозу представляют инсайдеры «халатные», которые не преследуют никаких деструктивных целей. Таковых обнаруживается как минимум на порядок больше.
Инсайдерская проблема проявляется ныне во всех уголках земного шара: в Европе, Азии и даже России. Про Соединенные Штаты говорить не приходится: эта страна относится к вопросам приватности с особым вниманием и требует от своих компаний раскрывать информацию об утечках в обязательном порядке. Именно поэтому большинство публичных инсайдерских инцидентов происходит как раз в Америке.

Следи за собой, будь осторожен.

Какие угрозы информационной безопасности беспокоят современные компании чаще других? По мнению аналитиков PwC, опирающихся в своих выводах на масштабное исследование1, главной угрозой теперь оказываются собственные сотрудники компаний. Причем не только нынешние, но и бывшие. Хакеры же и другие внешние злоумышленники, доминировавшие на протяжении последних пяти лет, существенно снизили свою опасность по сравнению с прошлым годом.

Все прочие информационные угрозы приходятся на всякого рода контрагентов — партнеров, клиентов, подрядчиков и поставщиков. Несмотря на то что эти угрозы формально являются внешними, они гораздо ближе к внутренним, или инсайдерским. Дело в том, что партнеры, как и инсайдеры, имеют вполне легальный доступ к конфиденциальной информации. А значит, могут распоряжаться им очень по-разному.

По мнению Юрия Лысенко, начальника управления информационной безопасности РосЕвроБанка, хакеры заметно уступают инсайдерам, если иметь в виду потенциальный ущерб, который может быть нанесен бизнесу: «На мой взгляд, опасность вирусов и хакеров на сегодня несколько преувеличена компаниями — производителями защитного ПО. В принципе, это понятно, ведь антивирусы и межсетевые экраны уже установлены едва ли не во всех компаниях. Чтобы развивать бизнес дальше, производителям требуется убедить клиентов в необходимости внедрения новых средств защиты. Однако в действительности наиболее актуальными сегодня являются как раз внутренние угрозы. А еще через несколько лет, когда мы одолеем и эти проблемы, перекрыв все каналы утечки информации, вектор снова сместится».

Искать инсайдеров следует среди мужчин в возрасте от 31 до 40 лет, имеющих высшее образование и обладающих достаточно весомым положением в компании

В России ситуация почти не отличается от общемировой. По данным компании Perimetrix, отечественные компании также обеспокоены внутренними угрозами. И прежде всего утечками данных, а также халатностью сотрудников. По крайней мере, внешние опасности — вирусы, хакеры и спам — расположились далеко позади2.

Вместе со сменой профиля угроз появляются и новые вопросы. В отличие от вирусов и хакеров, утечки информации могут быть незаметны не только для топ-менеджмента организации, но и для департамента информационной безопасности. Главный вопрос (а не пытаются ли нам подсунуть таблетку от несуществующей болезни?) звучит довольно разумно и, безусловно, имеет право на существование. И все же, по данным аналитического центра компании Perimetrix, только в течение февраля-марта нынешнего года в мире произошло как минимум 60 публичных утечек конфиденциальной информации, общий ущерб от которых составил более десяти миллиардов долларов. Сколько утечек осталось «за кадром»? Об этом точно не может сказать сегодня никто.

Я знаю, что я ничего не знаю.

Самое удивительное, что точное количество утечек информации и правда не известно представителям компаний. Как минимум 40% респондентов PwC оказались не в курсе и не смогли точно назвать количество инцидентов такого рода, произошедших за последний год в их организации. Означает ли это, что по сравнению с прошлым годом (29%) осведомленность специалистов по каким-то загадочным причинам снизилась? Конечно, нет, ведь количество внедренных систем мониторинга и контроля могло только вырасти. Причина кроется в другом: изменилась психология специалистов в сфере информационной безопасности.

Нынешние корпоративные «офицеры безопасности» гораздо более трезво оценивают защищенность компаний. Так, если в 2002 году об отсутствии инцидентов заявляли 36% организаций, то теперь этот показатель снизился до 22% (данные PwC). При этом вирусно-хакерские угрозы в те годы проявлялись гораздо ярче, чем сегодня, а опасность от инсайдеров считалась примерно одинаковой. Иными словами, формальный рост количества инцидентов объясняется не столько изменениями в структуре угроз, сколько новой шкалой оценок, применяемой специалистами, и ростом их профессионального уровня. По мнению специалистов Perimetrix, этот тренд проявляется в том числе и в России. Современные компании как минимум все более трезво оценивают свою защищенность — и уж точно практически никогда не заявляют о собственной неуязвимости.

Профиль угроз.

Департаменты информационной безопасности, которые и так вынуждены были выбивать бюджеты у руководства, долгое время внедряли системы защиты от внешних угроз. Но их профиль изменился, что ставит компании (да и специалистов, отвечающих за информационную безопасность) в довольно неприятное положение. Деньги потрачены, внешние уязвимости по большей части закрыты, но мошенники и сами больше не лезут на рожон!

Еще хуже, что наиболее опасные угрозы оказываются вне сферы действия внедренных систем защиты. В итоге руководители служб безопасности вынуждены приходить к своим руководителям со словами: «Шеф, профиль угроз изменился, дайте нам еще денег». Подчеркнем, что это не вина специалистов в сфере информационной безопасности.

В реальной жизни никогда не удается добиться стопроцентной защищенности. К тому же далеко не все сотрудники департаментов безопасности так уж искренне рвутся устранить новые угрозы или упредить нарушителей. Ведь гораздо проще и удобнее защищаться от привычных напастей! Методы борьбы уже кем-то выработаны, решений на рынке предостаточно, так зачем мудрить? Только и остается, что установить тиражируемые средства защиты — и забыть о заботах. А выяснять природу новых опасностей, пытаться каким-то образом им противодействовать, составлять задания для разработчиков... Пусть об этом болит голова у кого-то еще. Вот и зияют бреши в корпоративных системах безопасности.

Однако есть и другая категория специалистов по безопасности —  те, кому надоедает решать одни и те же проблемы и защищаться от одних и тех же угроз. Нельзя же бесконечно внедрять антивирусы!

Так что, с одной стороны, меняются угрозы, а с другой — специалисты в сфере информационной безопасности, которые ищут новые пути применения собственной компетенции. Все это приводит к взрывному росту популярности решений, обеспечивающих защиту от внутренних угроз. Прежде всего — систем шифрования и блокировки портов, а также комплексных решений по защите от утечек информации. Последний класс систем является самым трудоемким для внедрения, самым затратным для бюджета, но при этом и наиболее эффективным.

— Внедрение системы защиты от утечек по сложности и трудоемкости можно сравнить с внедрением систем управления качеством по ИСО 9000:2000 или внедрением на предприятии систем классов ERP или CRM, — считает Василий Окулесский, начальник отдела защиты информации ОАО «Банк Москвы». — Такой проект требует тщательной методической и организационной подготовки и многоступенчатой перестройки бизнес-процессов организации и тонкой настройки самой системы защиты от инсайдеров. В отличие от решений для внешних угроз (антивирусов, антиспама, межсетевых экранов), реализация защиты от утечек очень далека от установки коробочных продуктов.

Я инсайдера узнаю по походке.

Основная инсайдерская угроза — это утечка конфиденциальной информации. Именно поэтому любая защита от инсайдеров начинается с организационных мер, а точнее — с классификации имеющейся информации. Без этого исчезает само понятие утечки, поскольку организация не знает, насколько важные данные покидают пределы корпоративной сети. В дальнейшем у каждой конкретной компании есть выбор: либо максимально ограничить выход информации во внешний мир, либо пытаться как-то этот выход контролировать.

С развитием систем защиты растет популярность второго подхода, поскольку он практически никак не отражается на деятельности компании. Вместе с тем контроль над движением информации — достаточно «интеллектуальная» задача, которая требует гораздо более серьезных инвестиций, нежели «силовая» блокировка локальных портов или банальная фильтрация интернет-страниц.

Какой бы способ ни выбрала компания, обеспечить безупречную защиту от злонамеренных инсайдеров ей вряд ли удастся. Однако в реальной жизни это и не нужно. По данным компании Perimetrix, более 90% утечек происходит случайным образом, в результате ошибок персонала, пробелов в политике безопасности или банальной кражи носителей. Как следствие, в первую очередь необходимо защищаться именно от таких, непредумышленных утечек.

В первую очередь необходимо защищаться от непредумышленных утечек: в 90% случаев они происходят в результате ошибок персонала или банальной кражи носителей данных

В этом смысле технологическая база для защиты уже заложена. Так, например, различные технологии шифрования данных позволяют свести к минимуму «случайные» утечки через мобильные носители. Другие технологии обеспечивают фильтрацию электронной почты и блокируют конфиденциальные документы, идущие по этим каналам. Не стоит преуменьшать значение и административных мер, таких как тренинги и обучение персонала.

Однако, как мы уже отмечали выше, этих мер может быть мало для ловли действительно профессионального инсайдера-шпиона, действующего на территории организации. При наличии необходимых навыков можно обойти любую систему, и человек, сознательно идущий на преступление, всегда будет стремиться это сделать. И опыт французского трейдера, имя которого знает теперь весь мир, — лучшее тому подтверждение.

Если утечка информации уже произошла, необходимо немедленно приниматься за целый комплекс мероприятий, позволяющих установить ее причины. Примером таких мер может быть анализ журналов событий, формирование списка подозреваемых и глубокое изучение этого списка.

В опубликованном недавно исследовании компании Pricewaterhouse-Coopers «Global Economic Crime Survey 2007» обрисован портрет типичного инсайдера. Оказывается, что искать инсайдера следует среди мужчин в возрасте 31—40 лет, имеющих высшее образование и достаточно серьезное положение в компании. Скорее всего, инсайдер работает в компании не долго и «сливает» конфиденциальную информацию конкурентам.

— Информационная безопасность должна быть неотъемлемой частью корпоративной культуры, — уверен Андрей Булгаков, директор Департамента информационной безопасности ЗАО «Метробанк». — Без организации соответствующих процессов по поддержанию атмосферы информационной безопасности, подкрепленных комплексом программно-технических и организационных мер, невозможно в нужной степени минимизировать такого рода риски. Наконец, я полностью согласен с известным выражением «нет ничего хуже обиженного ИТ-специалиста»!

Не откладывая на завтра

В жизни обнаруживается и ряд других факторов, объясняющих повышенное внимание современных компаний к внутренним угрозам. Так, огромную роль играют регулирование и необходимость соответствия различным актам, стандартам и нормативам.

Список документов, которые прямо или косвенно побуждают бороться с инсайдерами, очень велик. Достаточно упомянуть нашумевший акт Сарбейнса-Оксли, финансовое соглашение Basel II или российский закон «О персональных данных». Кроме глобальных нормативов, существуют и отраслевые стандарты, регулирующие обеспечение безопасности в различных вертикальных сегментах. Все это — еще одно подтверждение: парадигма корпоративной безопасности меняется буквально на наших глазах.

Взгляните на диаграмму вверху страницы. Первое место в списке действительно занимают системы защиты от утечек: их хотят внедрить более трети респондентов. Эта цифра может показаться небольшой по сравнению с проникновением антивирусов, однако на самом деле она впечатляет, ведь еще в прошлом году такие системы эксплуатировали лишь 24% организаций. Элементарный математический подсчет показывает, что сегмент защиты от утечек и внутренних угроз растет примерно на 150% в год!

Интерес к этой теме проявляют и производители программного обеспечения, которые рассматривают внутренние угрозы в качестве идеального сегмента для роста. За последние два года о покупках в этой сфере объявил целый ряд компаний: EMC (RSA Security), McAfee, WebSense, IBM, Cisco, Trend Micro. А известная любовью к «шопингу» Symantec приобрела сразу два перспективных стартапа.

Все перечисленные компании успешно работают на российском рынке, так что новые решения будут доступны и у нас. Впрочем, корпоративным потребителям уже предлагаются и российские системы, которые в ряде случаев даже превосходят зарубежные аналоги.

В любом случае с ростом количества игроков конкуренция на рынке усилится, а качество предоставляемых услуг возрастет. Впрочем, российским компаниям вряд ли следует дожидаться этого момента, чтобы «выгодно» решить задачу обеспечения безопасности от инсайдеров. Борьбу с такими угрозами нельзя откладывать в долгий ящик.

Начать дискуссию