Противодействие атакам изнутри в корпоративной среде
Примеры инцидентов внутренней ИТ-безопасности
Краткие результаты исследования CERT
Цена разгильдяйства
Наиболее распространенный миф из области защиты информации, бытующий в бизнес-среде, — основная опасность исходит от внешних злоумышленников, проникающих в компьютерные системы. Бесспорно, ее нельзя недооценивать, но она слишком преувеличена.
До 80% всех компьютерных преступлений связано с вольными или невольными внутренними нарушениями со стороны работающих или уволенных сотрудников. Почему они совершают преступления против собственной компании? Причин тому множество. Самая распространенная — неудовлетворенность своим статусом или зарплатой. Другой нередкий случай — сотрудник при увольнении затаил обиду и хочет отомстить руководству компании. Больших бед можно ожидать, если злоумышленник обладает внушительными полномочиями и имеет доступ к широкому спектру информации. Громадный ущерб, например, способен нанести сотрудник отдела автоматизации, информатизации и телекоммуникаций, обладающий достаточными квалификацией и опытом, поскольку ему могут быть известны пароли ко всем используемым системам. Таких «лазутчиков» трудно обнаружить, они способны обходить защитные механизмы. Однако больше всего убытков компании причиняет неграмотность и халатность персонала.
Половина паролей, придуманных рядовыми сотрудниками, состоит из даты рождения и имени дочери или сына (например, Nik1990). Такие пароли подбираются элементарно. Но даже если системный администратор назначает пароль из труднозапоминаемой комбинации букв и цифр, то работники, не долго думая, на виду у всех приклеивают его на монитор или ставят галочку «запомнить пароль», чтобы не набирать его каждый раз заново. В результате доступ к компьютеру и корпоративной сети открыт любому желающему.
Большинство специалистов связывают беспечность менеджмента и персонала, во-первых, с небольшим числом получивших огласку хищений информации «в особо крупных размерах»; во-вторых, с низким уровнем внутрикорпоративной дисциплины и обучения персонала правилам информационной безопасности.
Данная область до сих пор должным образом не освещалась. В лучшем случае ей отводилась роль второго плана при изучении внешних угроз. Предлагаемый материал является попыткой привлечь внимание читателей к проблеме внутренней ИТ-безопасности в целом и проблеме утечки конфиденциальной информации в частности.
По данным совместного исследования Computer Security Institute и ФБР (CSI/FBI Computer Crime and Security Survey), объем потерь от утечки информации тысячи участвовавших в опросе предприятий США составил более 70 млн долл. Это значительно больше, чем ущерб от других ИТ-угроз, в том числе от вирусов (27 млн долл.), хакерских атак (65 млн долл.), финансового мошенничества (10 млн долл.), и составляет около 40% от общего объема зарегистрированного ущерба. Согласно тому же исследованию, средний размер потери от действий инсайдеров составил 300 тыс. долл. при максимальном размере в 1,5 млн долл.
Компания Ernst&Young подтверждает наметившиеся тенденции данными ежегодного исследования проблем ИТ-безопасности (Global Information Security Survey 2004). Наибольший рост озабоченности ИТ-профессионалов вызван именно внутренними угрозами: респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем. Этот тип угрозы опередил спам (56%), атаки, вызывающие отказ в обслуживании (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%) и уступил лишь угрозе со стороны вирусов и червей (77%). В десятку также попали другие внутренние угрозы — утечка информации о клиентах и прочие виды кражи конфиденциальных данных. Одновременно человеческий фактор был возведен на первое место в списке обстоятельств, препятствующих проведению эффективной политики ИТ-безопасности.
Проблему внутренней ИТ-безопасности можно измерять в конкретных финансовых показателях. По данным Association of Certified Fraud Examiners, американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. Сопоставляя эту цифру с величиной ВВП США в 2003 году, нетрудно подсчитать, что общий объем потерь составил около 660 млрд долл. По оценке InfoWatch, порядка 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников. Другое исследование Ernst&Young — по проблемам электронного мошенничества — свидетельствует о том, что 20% наемных работников уверены в утечке конфиденциальной корпоративной информации со стороны коллег.
Данные наглядно свидетельствуют о понимании потенциальной опасности, которую представляют сотрудники. Однако руководство компаний практически бездействует, уделяя этой проблеме исключительно мало внимания. По мнению InfoWatch, существует несколько причин такой парадоксальной ситуации.
Во-первых, это высокий уровень внимания, уделяемый внешним угрозам (прежде всего вредоносным программам) со стороны средств массовой информации, и активная информационная работа разработчиков соответствующих систем защиты. В результате редкий пользователь ни разу не слышал о вирусных эпидемиях, при этом мало кто может похвастаться глубокими знаниями относительно внутренних угроз.
Во-вторых, высокий уровень латентности (сокрытия) таких преступлений, или низкий показатель раскрываемости. По оценкам экспертов, латентность киберпреступлений в США достигает 80%, в Великобритании — до 85%, в ФРГ — 75%, в России — более 90%. Экстраполируя эти данные, можно утверждать, что статистика является отражением лишь около 10% совершенных преступлений.
Также очевидно, что с развитием и ростом предприятия возможностей для краж становится больше, а риск быть пойманным уменьшается. С учетом этого сколько вторжений и вызванных ими потерь остаются незамеченными? Компаниям следует признать, что они просто не знают этого.
Наконец, третьим фактором недостатка внимания к решению проблемы внутренних угроз является практически полное отсутствие комплексных систем защиты от внутренних угроз, в частности от утечки конфиденциальной информации. Создается впечатление, что у заказчиков существует интерес в этом направлении, но недостаток технологических решений вынуждает или искать смежные решения (например, использование антиспамовых систем для контентной фильтрации конфиденциальной информации), или вовсе отложить внедрение в долгий ящик. В итоге почти 100% опрошенных подтвердили наличие в корпоративных сетях антивирусного ПО, 71% — антиспамовых систем, но о защите от внутренних угроз не упомянул никто.
Примеры инцидентов внутренней ИТ-безопасности
Системный администратор преуспевающей компании, работающей в оборонной промышленности, рассердился на начальство, так как решил, что его недооценивают, в то время как вся корпоративная сеть построена и управляется только благодаря его стараниям. Он поместил программное обеспечение, которое поддерживает промышленные процессы в компании, на одном-единственном сервере. Потом запугал своего сослуживца и забрал у него единственную резервную копию этих программных продуктов. После того как руководство уволило системного администратора вследствие агрессивного и неподобающего отношения к коллегам, логическая бомба детонировала. Обиженный сотрудник стер все данные на сервере, в результате чего компания понесла убытки в размере 10 млн долл., что привело к увольнению 80 служащих.
На одном из украинских предприятий уволился ведущий конструктор. Вследствие отсутствия мер внутренней ИТ-безопасности перед увольнением он с помощью электронной почты похитил проектную документацию на новое изделие. В результате это изделие было выпущено конкурентами данной фирмы на месяц раньше. Убытки нетрудно представить.
Большинство малых и часть средних предприятий до сих пор не имеют выделенных сотрудников по защите информационных систем (ИС), недостаточно осведомлены о последних разработках в области защиты данных и зачастую используют пиратские копии ПО для ИТ-безопасности. Для них вирусы и хакерские атаки представляют серьезную угрозу, но контроль над действиями сотрудников может осуществляться альтернативными способами, без использования программных или аппаратных решений. Крупные организации менее эффективны в отслеживании инсайдеров средствами HR-менеджмента и службы физической безопасности, в то время как цена утечки информации возрастает пропорционально росту числа сотрудников.
Краткие результаты исследования CERT
Аналитикам удалось установить, что подавляющая часть сотрудников, которые тем или иным образом саботировала ИТ-инфраструктуру компании, занимали технические должности в пострадавшей организации. В результате их действий компании понесли финансовые убытки, столкнулись с негативными последствиями в бизнес-процессах, пострадала и их репутация. Как правило, злоумышленников удается привлечь к ответственности в основном из-за нарушения федерального законодательства.
Также выявлены некоторые другие закономерности:
- любой неприятный инцидент на работе провоцирует недобросовестных сотрудников на саботирующие действия;
- многие злоумышленники стараются вести себя на рабочем месте как положено и не вызывать подозрений, при этом большая их часть планирует свои вредоносные действия заранее;
- будущие корпоративные диверсанты при найме на работу часто получают права администратора на доступ к корпоративной сети или привилегированные полномочия на управление ИТ-ресурсами, однако на момент саботажа авторизованный доступ к ИТ-инфраструктуре имеет меньше половины злоумышленников;
- если сотрудник хочет навредить своему работодателю, то в большинстве случаев он предпочтет какой-нибудь простой метод или незамысловатое средство, которое поможет саботировать приложения, бизнес-процессы, процедуры и т.д. Иногда недобросовестные служащие применяют уже готовые инструменты, в которых реализованы довольно сложные механизмы атак;
- большинство корпоративных диверсантов специально компрометируют учетные записи пользователей, создают неавторизованные учетные записи для скрытого входа в систему, а также используют многопользовательские учетные записи;
- в подавляющем большинстве случаев деструктивные действия осуществляются при удаленном доступе к корпоративной сети;
- подавляющее большинство внутренних атак становятся заметными только тогда, когда в информационной системе появляется серьезное отклонение или она становится совершенно недоступной.
Заключение
От внутренних атак страдают все. Саботажником может оказаться кто угодно: мужчина или женщина, новый работник или служащий со стажем; преимущественно это сотрудники технических служб. Желание провести диверсию изнутри часто возникает при увольнении (даже добровольном).
Что касается практических советов по устранению таких атак, то стоит помнить, что необходимо уделять больше внимания контролю над учетными записями и паролями, выявлять ненормальную активность пользователей и т.д. При этом сотрудники должны знать, что производится постоянное наблюдение за их действиями.
Литература
Внутренний саботаж в корпоративной среде // http://www.infowatch.ru/http://www.infowatch.ru/threats?chapter=147151396&id=164588573.
Внутренние ИТ-угрозы формируют новый рынок систем информационной безопасности // http://www.infowatch.ru/www.infowatch.ru/threats?chapter=147151396&id=153468677.
Сотрудники и работодатели: проблема доверия // http://www.infowatch.ru/www.infowatch.ru/threats?chapter=147151396&id=163138838.
Ernst&Young: управляющие компаний знают об угрозах информационной безопасности, но бездействуют // http://www.infowatch.ru/threats?chapter=147151396&id=152906220.
Внутренние ИТ-угрозы в России 2004 // http://www.infowatch.ru/threats?chapter=147151396&id=157848009.