Клиенты
  • Тез Тур Таиланд
  

Инсайдеры атакуют

Марат Давлетханов, BYTE, Россия №4, 2006 28.04.2006

Инсайдеры атакуют!

Сегодня у любой компании есть свои собственные коммерческие тайны. К ним относятся бухгалтерские документы, договора с партнерами, планы по развитию, маркетинговые материалы и многое, многое другое. Естественно, вся эта информация обрабатывается и хранится в электронном виде, причем ее защите должно уделяться очень большое внимание. Ведь если такие документы попадут в руки конкурентов, то последние получат перед компанией огромное преимущество. Это понимают руководители практически всех фирм. И они как могут заботятся о сохранности конфиденциальных данных. Для этого используется антивирусное программное обеспечение, файрволы, системы обнаружения атак, криптографические утилиты и т.д. Все это позволяет надежно защитить секреты компании практически от любых внешних угроз. Правда, при этом они забывают еще об одном очень опасном канале утечки секретных данных. Речь идет, конечно же, о людях, работающих в компании и имеющих доступ к документам для исполнения служебных обязанностей.

Многие руководители считают эту проблему надуманной. Они не понимают, зачем их сотрудникам копировать и уносить домой рабочие документы. Кроме того, есть здесь и психологический момент: неприятно сомневаться в людях, которых сам отобрал. Однако нужно быть реалистами. Патриотов, фанатично преданных своему работодателю, сегодня очень мало. Поэтому подавляющее большинство людей относительно легко согласится сменить работу, если на новой им предложат лучшие условия, большую зарплату или хорошие перспективы. Причем довольно часто бывает, что сотрудник (особенно если это хороший специалист с большим опытом) переходит к конкуренту своего работодателя. И при этом он вполне может в качестве "подарка" принести своему новому руководству вынесенные со старого места работы документы. В этом случае владелец информации даже не узнает о ее утечке. И тем более опасным инструментом станут украденные данные в руках конкурентов.

В утечках конфиденциальной информации далеко не всегда виноват злой умысел. Еще одной очень распространенной их причиной является простая неосторожность сотрудников. Так, например, человек, желая хорошо выполнить свои обязанности, но, не успевая сделать это в рабочее время, может скопировать документы для того, чтобы доделать их дома. Но тут существует определенный риск утери носителя с информацией. Или документы могут быть похищены с домашнего компьютера сотрудника, который наверняка защищен гораздо слабее корпоративного ПК. Таким образом, благие намерения сотрудника компании могут нанести ей огромный ущерб. Причем, опять же, руководство об этом ничего не узнает.

Только цифры

Каждый год американская организация Computer Security Institute совместно с Федеральным Бюро Расследований проводят анализ "компьютерной" преступности в корпоративном секторе. Для этого анонимно опрашивается руководство определенного числа различных по величине компаний. Затем полученные данные обрабатываются и анализируются. В результате получается своеобразный статистический срез, который позволяет наглядно представить себе общую ситуацию с правонарушениями в сфере высоких технологий.

Последнее исследование было проведено в январе этого года. При этом было опрошено руководство 639 различных по величине компаний (с числом сотрудников от 1 до 50000 человек), работающих в самых разных областях (заводы, банки, государственные учреждения, торговые фирмы, IT-компании и т.д.). При этом выяснилось, что общие потери респондентов от всевозможных IT-угроз за весь 2005 год составили сумму в более чем 130 миллионов долларов, то есть в среднем немного больше 200 тысяч долларов на одну фирму. Сумма получается достаточно значительная. Впрочем, справедливости ради стоит отметить, что по сравнению с 2004 годом она уменьшилась более чем в 2,5 раза! То есть,  в общем, можно сделать вывод, что информационная безопасность компаний значительно усилилась.

Наибольшие убытки компаниям наносят вирусы. На них приходится 42787 тысяч долларов ущерба (около 33% от общих "IT-убытков"). Второе и третье места практически делят между собой несанкционированный доступ к информации (31233 тыс. долларов - 24%) и утечка конфиденциальных данных (30933 тыс. долларов - 23,8%). Все остальные IT-угрозы отстают от лидеров довольно значительно. Так, например, четвертое место по убыткам занимают атаки, направленные на отказ в обслуживании (DoS-атаки). В 2005 году они нанесли респондентам ущерб в 7310 тыс. долларов, что составляет "всего" 5,6% от общего.

Причем очень показательным является следующий факт. Как мы уже говорили, общие убытки компаний от IT-угроз упали в 2,5 раза. В то же время ущерб, нанесенный утечками конфиденциальной информации, вырос очень значительно: более чем в 2 раза. Доля убытков от утечек конфиденциальных данных увеличилась с 9,8 до 23,8%! И здесь учитываются только известные случаи. А о скольких утечках коммерческих тайн их владельцы так и не узнали? То есть вполне возможно, что на самом деле сумма убытков от этой IT-угрозы гораздо выше. Естественно, ситуация в области корпоративной информационной безопасности не могла измениться так сильно сама по себе, без веских на то причин.

Утечки информации. Как?

Для того чтобы разобраться в причинах столь резкого увеличения объемов воровства конфиденциальной информации необходимо рассмотреть, как оно происходит. Собственно говоря, все очень просто. В подавляющем большинстве случаев сотрудник копирует документы, с которыми он в данный момент работает, на любой мобильный носитель информации. До недавнего времени основным "инструментом" для этого были записываемые компакт-диски. Однако их использование связано с целым рядом сложностей. Во-первых, объем информации, помещающийся на "болванке", относительно мал. Безусловно, на него влезет немало текстовых документов, но базы данных, мультимедийная информация и прочие объемные данные на него не поместятся. Во-вторых, компакт-диск - вещь относительно крупная, и воспользоваться им незаметно для других сотрудников получится далеко не у каждого. Ну и, наконец, приводы CD-R и DVD-R можно очень легко отключить даже стандартными средствами BIOS и операционной системы. Примерно то же самое можно сказать и практически обо всех остальных возможных носителях информации, например, о ZIP-дисководах.

Другим, гораздо более удобным средством "выноса" конфиденциальных данных с компьютера являются мобильные модули памяти. Особенно это верно в отношении тех устройств, которые могут подключаться прямо к USB-порту компьютера. Давайте возьмем, например, флеш-память. Ее объем может достигать 4 гигабайт при цене в 300-350 долларов, для работы с ней не нужны дополнительные драйвера, да и скорость обмена информацией с ПК достаточно большая. То есть любой пользователь может легко подключить к своей рабочей станции собственное устройство и скопировать на него всю служебную информацию, к которой он имеет доступ. Кроме того, нужно учитывать, что физические размеры устройств на базе флеш-памяти очень невелики. То есть человек может не только принести их в офис, но и работать с ними незаметно для других сотрудников.

Также нельзя забывать, что сегодня многие цифровые устройства имеют встроенную память для хранения данных. И они могут легко подключаться к компьютеру с помощью одного универсального USB-кабеля. Так что карманные компьютеры, сотовые телефоны, mp3-плееры и цифровые фотоаппараты также могут использоваться инсайдерами для переноса конфиденциальной информации. Тем более среди них встречаются устройства со встроенными жесткими дисками. Например, существуют модели MP3-плеера iPod с винчестером объемом до 60 Гб, имеющие размеры чуть больше пачки сигарет. Более того, совсем недавно была анонсирована специальная утилита Slurp, разработанная экспертом в области компьютерной безопасности Эйбом Ашером для плеера iPod, которая автоматически осуществляет поиск в корпоративной сети документов в форматах .DOC, .XLS, .PPT, .HTM, .XML, .TXT и т.д. Буквально за несколько минут программа может собрать и скопировать на плеер до 100 Мб информации. Существуют модификации программы и для других устройств, в том числе, работающих через беспроводные интерфейсы WiFi и Bluetooth. Таким образом, уже появились варианты не только хищения информации, но и автоматизации этого процесса.

Утечки информации. Почему?

Ну а теперь, когда мы разобрались с тем, как происходят утечки коммерческой информации, одна из самых главных причин их распространения становится очевидной. Как мы уже выяснили, самым удобным средством для воровства данных являются различные цифровые устройства и флеш-память, а их массовое распространение началось как раз 1-2 года назад. Естественно, это не могло не сказаться на информационной безопасности компаний.

Впрочем, причина эта не единственная. Если еще раз обратиться к совместному исследованию CSI и ФБР, а точнее к той его части, где говорится об используемых компаниями средствах защиты от IT-угроз, то можно увидеть следующее. Практически на всех корпоративных компьютерах работает антивирусное программное обеспечение и сетевые экраны. Кроме того, дополнительно к ним в сетях почти 3/4 всех опрошенных респондентов установлены системы обнаружения атак. Правда, несмотря на это, вирусы все равно наносят очень большой ущерб. И для того, чтобы его снизить, необходимы немалые вложения. С проблемой несанкционированного доступа к конфиденциальной информации дела обстоят по-другому. В 42% компаний-респондентов для авторизации пользователей используются токены и смарт-карты. Еще 15% фирм применяет биометрическую аутентификацию. Таким образом, действительно надежные средства контроля доступа используются лишь в 57% компаний. И именно на оставшиеся 43% и приходится большая часть убытков от этой IT-угрозы.

 

USB порты - самый распространенный способ подключения

периферии и совсем отключить их нельзя.

 

Ну а что же по поводу инсайдеров? Оказывается, в исследовании компании даже не опрашивались на наличие специальной защиты от них. Дело в том, что  такие системы сегодня не используются практически нигде! Этот факт совместно с массовым распространением мобильных носителей информации и стал основной причиной столь резкого увеличения убытков, наносимых воровством конфиденциальной информации. Руководители компаний просто-напросто не успели отреагировать на столь быстрое изменение ситуации и принять соответствующие меры.

Естественно, рассмотренное сегодня исследование проводилось исключительно среди американских компаний. Для нашей же страны цифры будут совершенно иные. Впрочем, это и не особо важно. Главное, что в российских компаниях также нет защиты от инсайдеров. Ну а цифровые устройства и флеш-память у сотрудников перестали быть какой-то редкостью. То есть проблема утечек конфиденциальной информации в нашей стране также весьма и весьма актуальна.

Только факты

В нашей стране, впрочем, как и во многих других государствах, преступления в сфере высоких технологий обладают просто огромной латентностью. То есть в большинстве случаев их скрывают. Обычно это делается для того, чтобы не нанести ущерб репутации фирмы. И действительно, кто же захочет иметь дело с компанией, информация о партнерах которой регулярно становится достоянием общественности или конкурентов. Кроме того, как мы уже говорили, утечки конфиденциальных данных страшны тем, что их владелец может и не знать о них. Так, например, в 2004 году два крупнейших оператора сотовой связи ("Вымпелком" и "Мобильные ТелеСистемы") несколько раз практически одновременно выступили с очень похожими инициативами: отмена сроков действия платежа, введение новых тарифов, соглашение со "Сбербанком" и т.д. Журналисты в то время списали это на случай и решили, что "идеи просто витали в воздухе". Правда, руководство "Вымпелкома" уверено в другом. По их мнению, внутреннее расследование доказало, что один из сотрудником маркетингового отдела компании рассказывал о ближайших планах своему приятелю, который публиковал эту информацию на крупном сайте, посвященном сотовой связи. Так что вполне возможно, что именно утечка информации не позволила оператору занять лидирующее положение на рынке.

 

С помощью такого небольшого накопителя

злоумышленник может унести огромное

количество конфиденциальной информации.

 

Другой случай утечки критически важной информации из крупной компании произошел на Украине. Ее виновником оказался бывший технический директор пивоваренной компании "Оболонь", который, по утверждению руководства, продавал различные коммерческие тайны прямому конкуренту - фирме "Сармат". Общий ущерб, нанесенный инсайдером своему работодателю, оценивается более чем в 5 миллионов долларов.

Впрочем, не только крупные компании страдают от утечек конфиденциальной информации. Так, например, из одной компании, занимающейся оптовой продажей табачных изделий и являющейся дистрибьютором крупного иностранного производителя, уволился финансовый аналитик. И практически сразу после этого (а может быть, ДО этого?) его пригласили на более высокую должность в российский офис другой табачной корпорации. Ну а поскольку на своем предыдущем рабочем месте человек имел полный доступ к подробной базе клиентов, то он смог использовать эту информацию для пользы своего нового работодателя.

Вообще, надо признать, что в России стало нормой, когда человек, приходящий на работу в новую компанию, приносит туда много информации от предыдущего работодателя. Особенно опасны в этом плане оказываются сотрудники отделов, занимающихся маркетингом и работой с клиентами. Здесь сказывается то, что с одной стороны эти люди имеют доступ к весьма важной информации. Ну а с другой, они являются простым работниками, которых работодатель не стремится дополнительно мотивировать.

Закрываем порты

Наиболее очевидным решением по защите от инсайдеров является запрет использования в офисе любых электронных устройств, которые могут выступать в качестве носителей информации. Впрочем, это практически нереально. Ведь тогда придется запретить все вплоть до сотовых телефонов. Причем руководству мало принять такое решение, необходимо как-то обеспечить его исполнение. А сделать это очень сложно, поскольку современные носители данных очень малы, их легко спрятать и использовать незаметно.

Поэтому сегодня гораздо большее распространение другой способ защиты от инсайдеров - физическое отключение USB-портов на всех компьютерах. Этот вариант, безусловно, самый дешевый. Однако он также не выдерживает абсолютно никакой критики. Во-первых, для воровства конфиденциальной информации могут использоваться не только USB-накопители. Ведь есть еще приводы CD- и DVD-R/RW и ZIP-дисководы, различные ридеры, телефоны и КПК, которые могут подключаться через COM-порт, беспроводные способы передачи данных (IrDA, BlueTooth) и т.д. Во-вторых, полностью отключать USB-порты зачастую нельзя. Все-таки большая часть современной периферии использует для соединения с ПК именно этот интерфейс, который пришел на смену COM- и LPT-портам и, фактически, является стандартом для подключения разных устройств к ПК. Что же делать с такими мышками и клавиатурами, принтерами и сканерами?

Интересный подход применили в одном банке. На каждом компьютере были отключены все USB-порты, кроме одного-двух в зависимости от необходимости подключения периферии. Сами системные блоки были опечатаны. А для того, чтобы сотрудники не могли временно отсоединить принтер и использовать освободившийся порт для своих целей, все соединения были залиты эпоксидной смолой. Таким образом, периферийные устройства были «намертво» соединены со своими компьютерами. И разорвать эту связку можно было, только срезав сам кабель. Таким образом, получились своеобразные «комплекты», которые даже ремонтировать приходилось вместе! Как говорится, это было бы смешно, если бы не было так грустно.

Кроме того, нельзя забывать еще об одном очень важном моменте. Сегодня для того, чтобы защититься от несанкционированного доступа к данным (эта IT-угроза тоже очень серьезна) желательно использовать аппаратные средства аутентификации сотрудников компании. И одним из самых удобных и приемлемых по соотношению цена/качество способов являются токены. Они представляют собой USB-ключи с надежно защищенной памятью, которые могут в любой момент подключаться к компьютеру и отключаться от него. Естественно, их использование при закрытии USB-портов станет невозможным.

Итак, как мы видим, блокировка USB-портов стандартными средствами - далеко не самый удачный способ борьбы с инсайдерами. Компаниям нужны средства защиты, позволяющие динамически закрывать и открывать доступ к любым носителям, которые могут использоваться для "выноса" информации с компьютера. При этом в них должно быть предусмотрено множество нюансов, например, разделение прав различных пользователей, разрешение на работу отдельных устройств и многое, многое другое.

А что же закон?

29 июня 2004 года был принят Федеральный закон Российской Федерации, получивший название "О коммерческой тайне". Он довольно подробно описывает само понятие коммерческой тайны, а также те данные, которые могут быть отнесены к этому разряду. Кроме того, данный нормативный акт позволяет наказывать сотрудников "в случае умышленного или неосторожного разглашения этой информации" и даже требовать от них полной компенсации всего нанесенного компании ущерба. Казалось бы, этот закон полностью решает проблему инсайдеров. Но на самом деле это не так.

Для того чтобы закон начал охранять какую-то информацию, необходимо выполнить целый ряд определенных действий. Во-первых, руководство фирмы должно составить перечень данных, являющихся коммерческой тайной, и каждый сотрудник, который будет иметь к ним доступ, обязательно должен с ним ознакомиться (естественно, под роспись). Во-вторых, со всеми сотрудниками должны быть проведены собеседования, в ходе которых им необходимо объяснить суть режима коммерческой тайны и ответственность за его нарушение (тоже под роспись). В-третьих, компания должна установить порядок обращения с конфиденциальной информацией и обеспечить учет лиц, получающих к ней доступ. В-четвертых, в договор, заключающийся между работником и работодателем, должен быть внесен дополнительный раздел, касающийся работы с коммерческой тайной. Ну и, наконец, на все материальные носители, содержащие конфиденциальные данные, необходимо нанести специальный гриф. Только после выполнения всех перечисленных мер коммерческая информация будет охраняться законом.

Впрочем, перевод информации в разряд коммерческой тайны еще ничего не гарантирует. Допустим, какой-то сотрудник стал причиной утечки важных конфиденциальных документов, а служба безопасности компании вычислила его. В соответствии с законом руководство имеет право уволить проштрафившегося работника, а также подать на него иск в суд с требованием полной компенсации всех понесенных убытков. Однако для начала необходимо полностью доказать вину инсайдера. А как это сделать? Стандартные средства операционной системы тут не помогут. Для доказательства вины необходимы специальные инструменты, способные зафиксировать действия злоумышленника, которые однозначно направлены на воровство информации. Так что доказать вину инсайдера очень и очень непросто. Если говорить откровенно, то за полтора года действия закона "О коммерческой тайне" ни один судебный процесс пока еще не закончился успехом владельца конфиденциальной информации.

Выход есть!

Итак, утечки конфиденциальной информации представляют собой одну из самых серьезных IT-угроз. Но неужели никакой защиты от них не существует? Конечно же, это не так. Сегодня разработано специальное программное обеспечение, достаточно надежно защищающие от инсайдеров. Принцип его работы заключается в динамическом блокировании всех портов и устройств, через которые злоумышленник может "вынести" данные с компьютера. Для примера можно взять программу Zlock, разработанную известной российской компанией SecurIT. Этот продукт позволяет полностью контролировать любые устройства, подключающиеся к компьютеру через интерфейс USB, флоппи- и ZIP-дисководы, приводы CD- и DVD-ROM, адаптеры WiFi и Bluetooth, контроллеры IrDA, порты COM, LPT, PCMCIA, IEEE 1394 (FireWire) и т.д.

При использовании специального программного обеспечения система защиты информации от инсайдеров приобретает огромную гибкость. Устанавливать права доступа можно как отдельно для каждого пользователя, так и для целых их групп. При этом можно разрешать или запрещать использование устройств по их типу, производителю, используемому драйверу, серийному номеру и многим другим параметром. Такой подход позволяет создавать универсальные политики. Например, ответственный за информационную безопасность сотрудник может запретить использование любых USB-устройств кроме мышей, клавиатур, принтеров и токенов определенной модели одного производителя (для нормального функционирования системы аутентификации пользователей). Дополнительно можно ввести исключения для доверенных работников и руководства, позволив им пользоваться устройствами флеш-памяти, но только своими персональными (определяется по идентификационным номерам).

Zlock - программное решение для защиты от инсайдеров

 

Кроме того, еще одной очень важной возможностью рассматриваемого класса программ является ведение логов использования различных носителей информации. Эта функция позволяет службе безопасности в случае возникновения подозрений проверить сотрудников компании и выявить среди них инсайдера. Кроме того, вполне возможно, что данные из журнала программы контроля в будущем будут использоваться в суде для доказательства вины злоумышленника.

К сожалению, программ, предназначенных для динамического блокирования различных портов, сегодня на рынке очень и очень мало. Помимо уже упомянутого нами Zlock можно назвать не более 1-2 таких продуктов, причем производства западных компаний. Стоимость этих утилит лежит примерно в одном ценовом диапазоне, так что при выборе подходящего продукта необходимо ориентироваться на список возможных функций и, не в последнюю очередь, на удобство использования. Дело в том, что настраивать политики доступа должен либо сам руководитель компании, либо офицер безопасности. И далеко не всегда эти лица обладают достаточными знаниями в компьютерной области, чтобы разобраться в хитром англоязычном интерфейсе. В этом случае они будут вынуждены позвать себе на помощь технического специалиста. А это представляет собой потенциальную угрозу. Поэтому простой русскоязычный интерфейс - большой плюс к надежности системы защиты информации.

Ну а теперь пришла пора подвести итоги. Итак, утечки коммерческой информации - это действительно очень серьезная проблема. И сегодня есть средства, позволяющие защитить себя от них. Естественно, их внедрение требует определенных затрат, но нужно понимать, что они гораздо меньше, нежели убытки, которые может понести (а может быть, уже несет?) компания.

 

Оригинал статьи в формате PDF

 


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить