- Деякі цифри і факти
- Внутрішні ІТ-загрози
- Нецільове використання ІТ-ресурсів
- Витік конфіденційних даних
- Юридичний аспект захисту від витоку конфіденційних даних
- Комплексний підхід до внутрішньої ІТ-безпеки
Олексій Доля
Деякі цифри і факти
Внутрішні ІТ-загрози
Нецільове використання ІТ-ресурсів
Витік конфіденційних даних
Юридичний аспект захисту від витоку конфіденційних даних
Комплексний підхід до внутрішньої ІТ-безпеки
Забезпечення ІТ-безпеки підприємства вимагає комплексного підходу, який має на увазі ефективну і збалансовану захист як від зовнішніх, так і від внутрішніх загроз. Тим часом результати досліджень показують, що представники бізнесу приділяють достатньо уваги лише зовнішнім загрозам (шкідливим кодам, мережевим атакам і спаму), в той час як дії самих співробітників компанії взагалі не контролюються. Такий дисбаланс призводить до серйозних фінансових втрат через нецільове використання ресурсів підприємства і, що набагато важливіше, до витоку конфіденційної інформації. В останньому випадку часто страждає імідж компанії - а це часто складніше виміряти в економічних показниках.
Деякі цифри і факти
омпания Ernst & Young підтверджує такий стан справ даними свого щорічного дослідження проблем інформаційної безпеки (Global Information Security Survey 20041). Саме в області внутрішніх загроз спостерігається найбільше зростання стурбованості ІТ-професіоналів (рис. 1): респонденти поставили цю загрозу на друге місце в списку найбільш серйозних небезпек. 60% опитаних заявили, що неправомірні дії співробітників дійсно становлять загрозу нормальному функціонуванню інформаційних систем. Цей показник випередив такі «гучні» теми, як спам (56%), атаки типу відмови в обслуговуванні (48%), фінансове шахрайство (45%) і проломи в системах безпеки ПЗ (39%), поступившись лише загрозу з боку вірусів і черв'яків (77%). У десятку також увійшли інші внутрішні загрози: витік інформації про клієнтів і інші види крадіжки конфіденційних даних. Одночасно людський фактор був поставлений на перше місце в списку обставин, що перешкоджають проведенню ефективної політики інформаційної безпеки.
Мал. 1. 10 головних загроз інформаційній безпеці (джерело: Global Information Security Survey 2004, Ernst & Young)
Проблема внутрішньої інформаційної безпеки оцінюється конкретними фінансовими втратами. За даними Association of Certified Fraud Examiners2, американські компанії в середньому втрачають 6% доходів через інциденти, пов'язаних з різними способами обману і крадіжки інформації, і в 2003 році загальний обсяг втрат склав близько 660 млрд. Дол. За оцінкою компанії InfoWatch, порядку 50-55% цієї суми становлять втрати через неправомірних дій співробітників. Інше дослідження Ernst & Young3 - з проблем електронного шахрайства - свідчить, що 20% найманих працівників впевнені у витоку конфіденційної корпоративної інформації з боку колег.
Загальну картину доповнює дослідження компанії InfoWatch4, що дозволило виявити важливі аспекти внутрішньої інформаційної безпеки в Росії. В опитуванні взяли участь близько 400 великих і середніх російських компаній. Дослідження показало, що російські організації найбільше стурбовані саме витоком конфіденційної інформації (рис. 2): 98% респондентів поставили цей ризик на перше місце. Решта загрози відстають зі значним розривом: спотворення інформації (62%), збої в роботі ІС через недбалість персоналу (15%), втрата інформації (7%), крадіжка обладнання (6%), інші (28%).
Мал. 2. Найнебезпечніші внутрішні ІТ-загрози (джерело: Внутрішні ІТ-загрози в Росії - 2004, InfoWatch)
1 http://www.ey.com/global/download.nsf/International/2004_Global_Information_Security_Survey/$file/2004_Global_Information_Security_Survey_2004.pdf
2 http://www.cfenet.com/home.asp
3 http://www.ey.com/global/download.nsf/South_Africa/Jan03_8th_Global_Fraud_Survey/$file/8th%20Global%20Survey.pdf
4 http://www.infowatch.ru/downloads/docs/report004.pdf
Чим більше організація, тим більш актуальною для неї є проблема запобігання витоку. Це пов'язано з тим, що всі важливі дані дублюються на резервних накопичувачах для екстреного відновлення в разі спотворення або втрати. У той же час на великих підприємствах ускладнюється контроль над обігом інформації та істотно зростає ціна витоку. Порушення конфіденційності тягне за собою матеріальні збитки і втрату репутації, в особливих випадках - ризик розкриття державної таємниці. Ці обставини визначають високий рівень стурбованості цією проблемою з боку великого бізнесу і урядових організацій.
З технічних шляхів витоку конфіденційної інформації (рис. 3) респонденти за ступенем критичності виділили: електронну пошту, Інтернет, мережеві пейджери і мобільні накопичувачі (компакт-диски, USB-накопичувачі). Ці лазівки отримали практично однакову оцінку (80-90%); інші джерела виявилися далеко позаду.
Мал. 3. Шляхи витоку даних (джерело: Внутрішні ІТ-загрози в Росії - 2004, InfoWatch)
Дослідження виявило ще один вельми тривожний факт: переважна більшість респондентів не можуть точно оцінити збиток, що наноситься неправомірними діями співробітників компанії (витік, втрата або спотворення інформації). 67% опитаних не змогли відповісти на поставлене запитання (рис. 4).
Мал. 4. Кількість внутрішніх ІТ-інцидентів (джерело: Внутрішні ІТ-загрози в Росії - 2004, InfoWatch)
Більш-менш чітку відповідь змогли дати лише 6% респондентів, з яких 99% не змогли оцінити завдані збитки в фінансових показниках через відсутність системи обліку або через небажання втрачати час. Одночасно 26% заявили про відсутність такого роду інцидентів. Однак уточнююче запитання про можливість існування неврахованих витоків виявив майже 100-відсоткову латентність (99,4%): такі випадки, напевно, є, але залишаються неврахованими або навмисно не фіксуються з причин різного роду.
Внутрішні ІТ-загрози
се існуючі внутрішні загрози можна розділити на кілька видів по переслідуваної мети і з технічних засобів для її досягнення. Основною загрозою є розголошення конфіденційної інформації. У цьому випадку дані, що представляють собою комерційну таємницю, можуть покинути мережевий периметр підприємства декількома шляхами: по електронній пошті, через чати, форуми та інші служби Інтернету, за допомогою засобів миттєвого обміну повідомленнями, копіювання інформації на мобільні носії, а також за допомогою роздруківки її на принтері. Для виявлення факту розголошення конфіденційної інформації необхідно контролювати всі шляхи витоку даних, зокрема аналізувати вихідний трафік, який передається по протоколах SMTP, HTTP, FTP і TCP / IP.
Ще однією серйозною загрозою є нецільове використання ресурсів компанії. Сюди входять: відвідування сайтів загальної та розважальної спрямованості (що не мають відношення до виконання службових обов'язків) в робочий час; завантаження, зберігання і використання мультімедіафайлов і ПО розважальної спрямованості в робочий час; використання ненормативної, грубої, некоректної лексики при веденні ділової переписки; завантаження, перегляд та розповсюдження порнографії, а також матеріалів, що містять нацистську символіку, агітацію чи інші протизаконні матеріали; використання ресурсів компанії для розсилки інформації рекламного характеру, спаму або інформації особистого характеру, включаючи інформацію про співробітників, номери кредитних карт і т.д. Для боротьби з погрозами подібного типу використовуються технічні рішення, фільтруючі вихідні веб-запити і поштовий трафік.
Для боротьби з різними типами внутрішніх загроз інформаційної безпеки використовують різні технічні засоби. Але тільки комплексне рішення допоможе дійсно вирішити проблему захисту комп'ютерної інфраструктури підприємства.
Нецільове використання ІТ-ресурсів
ля запобігання нецільового використання ІТ-ресурсів компанії застосовуються рішення, фільтруючі поштовий і веб-трафики і визначають правомочність здійснюється дії в реальному масштабі часу. Найбільш відомими продуктами даного класу є рішення компаній ISS (Internet Security Systems) і SurfControl.
Технології фільтрації веб-трафіку на увазі використання бази даних, що зберігає мільйони URL-адрес, класифікованих за темами. Коли співробітник компанії запрошувати в браузері якусь сторінку, спеціальний фільтр перевіряє записи бази і визначає категорію запитуваного ресурсу. Список категорій налічує кілька десятків записів, туди входять поштові, розважальні, туристичні, порнографічні та інші типи ресурсів. Перевірка здійснюється в реальному масштабі часу: якщо запитуваний ресурс відноситься до категорії, для якої користувач має право доступу, то запит обробляється стандартними веб-засобами, в іншому випадку веб-запит блокується. Слід зазначити, що подібні рішення дозволяють досить гнучко налаштовувати процес фільтрації. Адміністратор може, наприклад, дозволити відвідування будь-якої категорії ресурсів на певний час, може отримувати повідомлення кожного разу, коли користувач намагається звернутися до забороненого ресурсу. Засоби, які здійснюють веб-фільтрацію, зазвичай підтримують інтеграцію з продуктами типу Active Directory, що значно спрощує роботу адміністратора і знижує ризик помилок, що виникають під впливом людського фактора.
Деякі проблеми можуть виникнути в разі, якщо URL-адресу потрібної веб-сторінки ще відсутня в базі даних. У цьому випадку фільтр автоматично аналізує вміст сайту, визначає його тематику і заносить інформацію в базу даних. Такий підхід дозволяє адміністратору будувати політику ІТ-безпеки, задаючи права доступу до сторінок відповідних категорій для груп користувачів.
Необхідно відзначити, що технічні засоби для запобігання нецільового використання ІТ-ресурсів компанії не в змозі захистити підприємство від витоку конфіденційної інформації. Для цієї мети застосовуються спеціалізовані рішення.
Витік конфіденційних даних
nti-Leakage Software - клас продуктів для контролю за конфіденційною інформацією і запобігання її витоку. Принципова відмінність Anti-Leakage Software від інших галузей ІТ-безпеки - чіткий фокус на захист від витоку інформації і взаємозв'язок із суміжними областями (рис. 5).
Мал. 5. Місце Anti-Leakage Software в загальній класифікації засобів ІТ-безпеки
Технології захисту від витоків конфіденційної інформації включають контентний аналіз поштового і веб-трафіків, контроль операцій з документами на рівні робочих станцій і систему централізованої установки і управління.
Слід також зазначити, що ринок Anti-Leakage Software тільки починає формуватися. Серед існуючих рішень можна виділити комплексний продукт InfoWatch Enterprise Solution, що забезпечує контроль над усіма видами комунікацій в ІТ-інфраструктурі компанії (рис. 6).
Мал. 6. Схема роботи InfoWatch Enterprise Solution
До складу рішення входять модулі для контролю над поштовим трафіком (Mail Monitor), веб-трафіком (Web Monitor) і операціями, здійснюваними на робочих станціях (Net Monitor). Кожен модуль стежить за тією інформацією, з якої працює службовець компанії, і визначає легальність здійснюваних операцій.
Схема роботи InfoWatch Mail Monitor представлена на рис. 7. На додаток до вже описаного функціоналу цей модуль здійснює детальну архівацію листування з можливістю ретроспективного аналізу. Mail Monitor перевіряє текст повідомлень і вкладення до них (в популярних форматах), шукає словосполучення, характерні для конфіденційної інформації. В результаті повідомлення класифікуються за видами (рубриках) конфіденційної інформації, а їх подальша обробка відбувається відповідно до налаштувань і прийнятим профілів.
Мал. 7. Схема роботи InfoWatch Mail Monitor
Якщо повідомлення розпізнано як конфіденційне, то модуль бізнес-логіки фільтруючого сервера направляє підозрілий лист на робоче місце офіцера безпеки, який дає остаточний висновок про те, чи справді мало місце порушення.
Схема роботи InfoWatch Web Monitor представлена на рис. 8. Даний модуль перехоплює користувальницькі POST-запити, оброблювані корпоративним проксі-сервером (Microsoft ISA Server або Squid) з метою виявлення забороненої до пересилання інформації та запобігання її витоку.
Мал. 8. Схема роботи InfoWatch Web Monitor
Так само як і система перевірки поштового трафіку, Web Monitor веде статистику Інтернет-активності користувачів, в якій фіксуються інформація про надіслані запити, семантичні мітки і дані про виконані дії.
Модуль фільтрації POST-запитів здійснює перехоплення запитів, що містять повідомлення, що відправляються на сайти веб-пошти, форуми і т.д., з яких формуються поштові повідомлення, які пересилаються на фільтруючий поштовий сервер. За результатами класифікації POST-запитів сервер або пропускає, або блокує відправку призначеного для користувача запиту на зовнішній сервер.
Останнім, але також дуже важливим по функціональності є InfoWatch Net Monitor, який в масштабі реального часу відстежує маніпуляції з файлами (модифікація, копіювання на мобільні носії, видалення, друк та ін.), Заносить їх в централізований звіт та, відповідно до настройками, блокує ті з них, які суперечать політиці внутрішньої безпеки. Схема роботи InfoWatch Net Monitor представлена на рис. 9.
Мал. 9. Схема роботи InfoWatch Net Monitor
Юридичний аспект захисту від витоку конфіденційних даних
омплексная захист від внутрішніх загроз передбачає використання не тільки технічних засобів, які контролюють всі можливі шляхи витоку конфіденційної інформації, а й розробку необхідних нормативних документів, що дозволяють створити відповідний юридичний базис для захисту конфіденційної інформації від протиправних дій співробітників.
Відзначимо, що право на таємницю листування гарантується кожному громадянинові РФ відповідно до п.2 ст.23 Конституції і підтверджується ст.138 КК РФ ( «порушення таємниці листування, телефонних переговорів, поштових, телеграфних та інших повідомлень громадян»). Це право може обмежити тільки федеральний закон. В даний час закону, який однозначно визначав би право юридичної особи на перлюстрацію електронної кореспонденції співробітника з метою захисту комерційної таємниці і своєї інформаційної системи, не існує.
Разом з тим діють:
- Федеральний закон «Про інформатики, інформатизації і захисту інформації», який дає організації - власникові інформації право на її захист;
- Федеральний закон «Про комерційну таємницю»;
- Трудовий кодекс РФ, що має статус федерального закону (197-ФЗ від 30.12.2001), де йдеться про те, що «в трудовому договорі можуть передбачатися умови: про нерозголошення охоронюваної законом таємниці (державної, службової, комерційної та іншої)» (ст.57) ;
- коментарі до КК: «порушення таємниці листування полягає в ознайомленні з її змістом без згоди особи, якій ця інформація належить».
Передбачено кілька сценаріїв, що дозволяють вирішити дану проблему. Оптимальним є варіант, в основу якого покладено аналіз норм Федерального закону «Про інформатики, інформатизації і захисту інформації». Він визначає поняття власника, власника і користувача інформаційних ресурсів, документованої інформації і самих інформаційних ресурсів (масиви документів в інформаційних системах). А це, в свою чергу, дозволяє віднести переписку співробітника до документованої інформації ( «зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати»), що входить в інформаційні ресурси, власником яких є якась конкретна компанія. Для формальної реалізації цього сценарію необхідно впровадити в організації положення про конфіденційність, що описує норми внутрішньої безпеки і список конфіденційних документів. Кожен співробітник повинен бути з ним ознайомлений «під розпис».
Крім цього потрібна модифікація змісту трудового договору. Зокрема, підписаний трудовий договір повинен містити умову про обов'язок зберігати комерційну таємницю, а також умова, що все створене співробітником на робочому місці направляється в корпоративні інформаційні ресурси. Таким чином, компанія отримує право власності на електронний документ та може їм розпоряджатися на свій розсуд: відправляти його за вказаною співробітником адресою, архівувати, аналізувати на предмет наявності комерційної таємниці.
Захист конфіденційної інформації від внутрішніх загроз вимагає комплексного підходу. Тому компанії, що надають комплексні рішення в цій сфері, беруть на себе обов'язки розробити відповідну нормативну базу для кожного конкретного об'єкта, що захищається підприємства. Крім усунення юридичних проблем, постачальник рішення відповідає за аналіз ІТ-інфраструктури компанії, її оптимізацію та налаштування фільтра, що реагує на наявність конфіденційної інформації. Таким чином вдається врахувати специфіку діяльності захищається організації.
Комплексний підхід до внутрішньої ІТ-безпеки
ахіст від внутрішніх загроза забезпечується як технічнімі засоби, так и комплексом супутніх послуг. Слід Зазначити, что шлюб уваги хоча б до одного з віщеопісаніх етапів может прізвесті до тяжких НАСЛІДКІВ. Саме тому слід з однаковим запалом підходити як до впровадження засобів технічного контролю, так і до складання нормативної бази та періодичному аудиту ІТ-інфраструктури.
У Росії тільки починає формуватися культура професійного ставлення до ІТ-безпеки. За даними компанії InfoWatch5, лише 16% великих і середніх підприємств Росії мають виділені відділи інформаційної безпеки. У 94% випадків ці відділи були сформовані протягом останніх двох років. У той же самий час 62% ІТ-професіоналів вважають дії співробітників компанії найбільшою загрозою, а 98% - що порушення конфіденційності інформації є найбільш серйозною внутрішньою ІТ-загрозою. При цьому 89% розглядають електронну пошту в якості самого поширеного шляху витоку конфіденційної інформації. Однак всього 1% підприємств використовують технічні засоби для запобігання витоків, в той час як 68% взагалі не вживають ніяких дій. Іншими словами - російські організації усвідомлюють небезпеку внутрішніх ІТ-загроз, але не знають, як з нею боротися.
Проте на сучасному ринку вже представлені комплексні рішення, що дозволяють уникнути витоку конфіденційної інформації, а також послуги з розробки відповідної нормативно-правової бази. Отже, проблема внутрішньої ІТ-безпеки може бути вирішена вже сьогодні.
5 http://www.infowatch.ru/downloads/docs/report2004.pdf
КомпьютерПресс 4'2005
