Защита от инсайдеров в российских компаниях

Алексей Доля

Инсайдеры — это сотрудники компании, которые в соответствии со своими служебными обязанностями имеют доступ к конфиденциальной информации и жизненно важным ресурсам работодателя. Сегодня именно инсайдеры все чаще оказываются виновными в утечках секретных сведений, краже интеллектуальной собственности, финансовом мошенничестве, саботаже ИТ-инфраструктуры и т.д. Об отношении российских организаций к проблеме инсайдеров и о том, какие меры они предпринимают для минимизации инсайдерских рисков, рассказывается в данной статье.

ервоначально термин «инсайдер» не имел ни положительной, ни отрицательной окраски, однако сегодня ситуация изменилась. Теперь вне какого бы то ни было контекста под инсайдером понимают служащего, который уже использует свои полномочия, чтобы нанести вред работодателю, или только вынашивает такие планы. Справедливости ради следует отметить, что противоправная активность далеко не всегда является предумышленной — во многих случаях инсайдеры причиняют вред компании необдуманно и случайно, например отослав письмо с конфиденциальными сведениями по неправильному электронному адресу или удалив ценный файл на сервере.

Пролить свет на проблему защиты от инсайдеров позволяет исследование компании InfoWatch — «Внутренние ИТ-угрозы в России 2005» (http://www.infowatch.ru/threats?chapter=147151396&id=178488463), в котором приняли участие представители 315 отечественных коммерческих и государственных организаций. Аналитикам InfoWatch удалось сделать следующие основные выводы:

российские компании и организации озабочены проблемами внутренних угроз ИТ-безопасности намного больше, чем внешними атаками. При этом самыми опасными инсайдерскими угрозами являются кража конфиденциальной информации и халатность сотрудников;
все 100% респондентов согласились с тем, что нарушение конфиденциальности информации является важнейшей внутренней угрозой;
несмотря на высокую степень озабоченности данной проблемой, российские организации все еще затрудняются в оценке масштабов и последствий утечки конфиденциальных данных: подавляющее большинство (96%) либо регистрировали реальные утечки, либо допускают их существование, однако ни одна компания не оценивала свой ущерб в результате такого инцидента;
сегодня лишь 2% респондентов используют решения для выявления и предотвращения утечек, и 83% организаций планируют их внедрение в течение последующих 3 лет;
в целом по профессиональному подходу к обеспечению ИТ-безопасности Россия опережает средний общемировой уровень: около 40% отечественных организаций имеют выделенные отделы или специальных сотрудников в сфере ИТ-безопасности, тогда как общемировой показатель составляет в этом случае 27%.

Угрозы

о данным отечественных организаций, наиболее опасными угрозами сегодня являются кража информации (64%), вредоносные программы (49%), хакерские атаки (48%), спам (45%) и халатность сотрудников (43%). Интересно сравнить распределение ответов с результатами прошлогоднего исследования компании InfoWatch.

Порядок угроз в списке самых опасных остался прежним (рис. 1), но несколько изменился качественный состав. В частности, в 2004 году такая угроза, как кража данных, опережала вирусные атаки всего на 2%, а в 2005-м уже на 15%. Результаты опроса зафиксировали спад беспокойства респондентов по отношению к угрозам со стороны вредоносных кодов на 11%. В то же самое время уровень угрозы со стороны спама вырос на 7%.

Рис. 1. Наиболее опасные угрозы ИТ-безопасности

Аналитический центр InfoWatch объясняет эти изменения тем, что российский бизнес уже осознал угрозу, исходящую от вредоносных кодов, и понял, как с ней нужно бороться. Другими словами, вирусы перешли в разряд «неизбежного зла». Далее будет показано, что в 100% случаев опрошенные компании внедрили у себя средства антивирусной защиты, то есть технически сделали все возможное, чтобы минимизировать означенные риски.

Действительно, вирусные атаки преследуют бизнес уже 15 лет, и все это время им уделялось немало внимания как прессой, так и специалистами по ИТ-безопасности. В противоположность этому внутренние угрозы (кража информации и халатность сотрудников) попали на первые полосы изданий совсем недавно. Сегодня российские организации начинают осознавать, насколько они уязвимы перед атаками инсайдеров. Этот процесс чем-то напоминает зарождение антивирусной индустрии, когда в середине 90-х годов вирусы начали наносить реальный финансовый ущерб и из невинной шалости превратились в серьезную угрозу. Таким образом, именно эта новая угроза, на этот раз кроющаяся внутри компании, вызывает наибольшую обеспокоенность респондентов.

Зная об опасениях организаций по поводу инсайдерских атак, аналитики предложили респондентам многовариантный вопрос, призванный выявить среди внутренних угроз наиболее опасные (рис. 2). Здесь также не произошло существенных изменений по сравнению с предыдущим годом: наиболее серьезной угрозой бизнес посчитал нарушение конфиденциальности информации. Любопытно, что такой точки зрения придерживаются абсолютно все респонденты (100%). Комментируя эти результаты, аналитический центр InfoWatch обратил внимание на то, что крупные и средние компании рассматривают проблему с внутрикорпоративных позиций (защиты информационных активов), а малые фирмы — с точки зрения ситуации в стране в целом. В этом смысле постоянные утечки конфиденциальных данных из крупных коммерческих и государственных организаций в течение 2005 года действительно не раз шокировали общественность.

Рис. 2. Самые опасные внутренние угрозы ИТ-безопасности

Комментарии экспертов

Денис Зенкин, директор по маркетингу компании InfoWatch:

«Не подлежит сомнению, что компании испытывают потребность в системах для борьбы с инсайдерскими угрозами, однако на практике применяют их крайне редко. Как объяснить этот парадокс? Причин здесь несколько: психологическая неготовность бизнеса, слабая информированность о существующих решениях и дефицит квалифицированных кадров. Развитые западные страны решили эти проблемы довольно просто — приняв федеральные законы и отраслевые стандарты, которые обязывают государственные и коммерческие организации защищать приватные сведения своих клиентов, финансовую информацию и отчетность, конфиденциальные записи самих сотрудников и т.д. В России такое нормативное регулирование пока отсутствует, поэтому компания InfoWatch старается преодолеть психологические барьеры и недостаток информации самостоятельно. Достижению этой цели, в частности, способствует наше ежегодное исследование внутренних угроз. Что же касается дефицита профессиональных кадров и индивидуализации каждого проекта по защите информации от инсайдеров, то здесь мы сотрудничаем с ведущими системными интеграторами России, каждый из которых имеет достаточный потенциал для внедрения комплексных решений в сфере выявления и предотвращения утечек».

Даниил Капцан, директор по маркетингу «Лаборатории Касперского»:

«Инсайдеры — это тот фактор, который может сделать любую, даже самую незначительную угрозу ИТ-безопасности чрезвычайно опасной. В пример можно привести преступную группировку, почти все члены которой — 18 человек — были арестованы в июне 2004 года в Израиле. Это были ребята, профессионально занимающиеся промышленным шпионажем. Они принимали заказ на кражу конфиденциальной информации практически из любой фирмы, а любимым их приемом был следующий. Программист из Лондона, тоже член группы, писал троянскую программу, которая выискивала нужные сведения и высылала их из корпоративной сети на удаленный почтовый ящик. Потом другие преступники находили в организации инсайдера и договаривались с ним о небольшой услуге. Далее на корпоративный ящик «оборотня» засылался троянец, и инсайдер как бы случайно запускал его на своем компьютере. В результате ни антивирусы, ни межсетевые экраны ничего не могли поделать… Информация просто утекала. На эту удочку удалось поймать довольно крупную рыбу: Hewlett Packard, Champion Motors, HOT и Bezeq».

Дмитрий Огородников, директор департамента решений по информационной безопасности «Энвижн Груп» (Nvision Group):

«Наша компания уже пять лет занимается системной интеграцией, и все острее чувствует повышающийся спрос рынка на комплексные и одновременно специализированные решения по информационной безопасности. Это особенно наглядно проявляется в сфере борьбы с инсайдерскими атаками, поскольку данная проблема требует индивидуального подхода к каждому заказчику. Необходимо учесть специфические бизнес-требования защищаемой организации и провести серьезные организационно-технические мероприятия. Только тогда внутренняя безопасность будет эффективной. В результате “Энвижн Груп” (Nvision Group) в октябре прошлого года выделила направление информационной безопасности в отдельный департамент. Таким образом мы надеемся удовлетворить возросший спрос на решения для борьбы с инсайдерами в полном объеме».

Следует также выделить другие стандартные угрозы, вызывающие определенные опасения респондентов: искажение информации (54%), сбои в работе информационной системы (23%), утрата информации (5%), кража оборудования (4%) и другое (23%).

Серьезную проблему представляют пути утечки конфиденциальных данных (рис. 3). Здесь наиболее опасными, по мнению российских организаций, являются мобильные накопители информации (91%), электронная почта (86%), Интернет-пейджеры (85%) и веб-службы (80%). Остальные каналы используются реже: печатающие устройства — 30%, фотопринадлежности — 5%, другое — 38%.

Рис. 3. Каналы утечки данных

В структуре ответов, по сравнению с результатами прошлогоднего опроса, произошли некоторые изменения. Прежде всего, на первое место вышли мобильные накопители, которые обогнали предыдущего лидера — электронную почту — на 5%. Судя по всему, такая динамика обусловлена ростом популярности этих емких портативных устройств и гигантскими объемами той информации, которая сегодня представляет наибольшую ценность. Так, мобильный накопитель емкостью 1 Гбайт сегодня стоит менее 100 долл., при этом широкую популярность получили компактные мультимедиаплееры, из которых стоит отметить Apple iPod, вмещающий 60 Гбайт данных. Очевидно, что пересылать гигабайтные базы данных по электронной почте или через веб-службы весьма неудобно. Это почти наверняка вызовет подозрение у системного администратора, зафиксировавшего перегрузку канала.

Следует отметить чрезвычайно высокую латентность внутренних преступлений. Результаты первичного опроса (рис. 4) о количестве инцидентов в этой области выявили, что 31% респондентов не зарегистрировали ни одного случая, лишь 7% — от 1 до 5, а 62% затруднились ответить на вопрос. Дополнительный вопрос к участникам исследования, входившим в первую группу, о существовании неучтенных инцидентов показал, что подавляющее большинство респондентов (88%) допускают такую возможность. При этом практически все из них (94%) признались, что инциденты остаются незамеченными, поскольку в информационных системах отсутствуют комплексные технические средства обнаружения и предотвращения утечек.

Рис. 4. Количество утечек конфиденциальных данных

Наконец, 7% группа респондентов, которые зарегистрировали от 1 до 5 инцидентов, продемонстрировала полное единодушие в ответе на дополнительный вопрос об оценке ущерба вследствие утечки: ни один из них не проводил подобную оценку.

Средства защиты

осле выявления основных угроз интересно выяснить, какие средства ИТ-безопасности используются на отечественных предприятиях (рис. 5). Исследование «Внутренние ИТ-угрозы в России 2005» показало, что абсолютно все компании защищены антивирусами (100%). При этом многие организации используют другие популярные средства: межсетевые экраны (73%), контроль доступа (23%), фильтры спама (17%), системы обнаружения и предотвращения вторжений (15%), виртуальные частные сети (8%) и другие средства (27%). Однако лишь очень малая часть опрошенных (2%) использует решения для борьбы с утечками.

Рис. 5. Популярные средства ИТ-безопасности

С учетом обеспокоенности бизнеса проблемами внутренней ИТ-безопасности данные об используемых технологиях защиты выглядят по меньшей мере странно. Хотя по сравнению с 2004 годом рост компаний, использующих системы для борьбы с инсайдерами, составил 100%, но итоговый результат (2%) по-прежнему очень мал. Получается, что индустрия больше всего обеспокоена утечками конфиденциальной информации, но практически ничего не делает, чтобы их предотвратить.

Опросы интернациональных компаний

Ernst&Young: новейшие технологии — угроза безопасности

Компания Ernst&Young в восьмой раз представила свой ежегодный отчет «Global Information Security Survey 2005». Документ составлен на базе опроса высших исполнительных лиц более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включая Россию. Основную массу респондентов составили директора информационных служб (CIO) и отделов ИТ-безопасности (CSO).

Большой интерес в исследовании Ernst&Young представляет анализ угроз, возникших вследствие внедрения таких новых технологий, как беспроводные сети, VoIP, мобильные устройства и т.п. Известно, что любая новая технология на этапе своего внедрения проходит период, когда ее безопасность еще не отработана, и поэтому в ряде случаев новая технология вместо повышения эффективности бизнеса приводит к ее снижению из-за потерь интеллектуальной собственности и нарушения конфиденциальности информации.

На рис. 1 представлены ответы на вопрос Ernst&Young о том, какие новые технологии вызывают значительные ИТ-угрозы. Большинство опрошенных руководителей (53%) главной опасностью называют внедрение мобильных компьютеров. Мобильный офис — очень удобное решение, так как пользователь может подключиться к корпоративной сети из дома, аэропорта, отеля и т.д. Однако безопасность подобных систем требует защиты передаваемых данных с помощью механизма VPN, блокирования вирусов, червей и другого вредоносного кода. Мобильные устройства в гораздо большей степени находятся в сфере личного пользования сотрудников, и в случае потери и кражи мобильных компьютеров может происходить утечка данных.

Рис. 1. Ответы на вопрос о том, какие новые технологии признаются респондентами в качестве значительных ИТ-угроз (источник: Ernst&Young)

Второе месте занимают переносные накопители информации, поскольку сегодня, вставив в USB-порт флэшку (которая помещается на брелоке от ключей), можно за считаные минуты перекачать базу в сотни мегабайт. И такие устройства есть почти у каждого пользователя.

На третьем месте — беспроводные сети. Если незащищенная информация передается «по воздуху», ее может перехватить практически любой желающий. Хакер может достаточно легко отследить пакеты незащищенной беспроводной сети, используя, например, такие программы, как AirMagnet AeroPeek.

Поэтому при внедрении беспроводной сети необходимо принять специальные меры безопасности, обеспечивающие конфиденциальность и целостность передаваемой информации.

Как показывают исследования (рис. 2), несмотря на осознание возможных угроз, некоторые компании не спешат принимать срочные меры. Так, 42% респондентов сообщили, что, по их прогнозам, адекватных мер в ближайшие двенадцать месяцев принято не будет и что проблемы, возникающие в связи с переходом на новые технологии, в этот период даже усилятся.

Рис. 2. Ответы на вопрос о том, когда компании планируют предпринимать действия по борьбе с возникающими технологическими угрозами

Рис. 2. Ответы на вопрос о том, когда компании планируют предпринимать действия по борьбе с возникающими технологическими угрозами
(источник: Ernst&Young)

Одним из выводов исследования Ernst&Young является то, что риски, связанные с мобильными вычислениями, портативными устройствами, беспроводными сетями и VoIP, серьезно возрастут в ближайшее время. Прежде чем брать на вооружение новые технологии, компаниям следует выяснить, какими рисками это чревато, и принять надлежащие меры безопасности.

Lexmark: бумажный носитель — серьезная угроза утечки данных

Обращая внимание на опасность новых технологий, не стоит упускать из виду и старые. В этом плане интересно недавно опубликованное исследование компании Lexmark International, согласно которому одной из самых серьезных угроз информационной безопасности для европейских компаний является обычный бумажный носитель.

Опрос проводился среди более чем 1000 офисных служащих по всей Европе и выявил следующее:

25% профессиональных офисных служащих держат конфиденциальные документы открытыми на своих рабочих столах;
одним из наиболее слабых звеньев в системе безопасности является выходной лоток для бумаги на принтере — почти половина (49%) остающихся там документов содержат важную или конфиденциальную информацию о компании или ее сотрудниках. А 8% сотрудников признались, что просматривали документы своих коллег в выходном лотке принтера;
около 7% офисных служащих сообщили, что обычно хранят важные или конфиденциальные документы в своих рабочих столах среди других бумаг, вместо того чтобы вовремя отправить их на уничтожение.

Имон Райан (Eamon Ryan), вице-президент и генеральный менеджер Lexmark EMEA, утверждает, что компании игнорируют проблему безопасности документов, несмотря на высокие риски для их бизнеса.

Обычно считают, что так называемая проблема кражи личности связана преимущественно с хищением баз данных на электронных носителях, однако из опросов Lexmark следует, что 41% сотрудников оставляют свои распечатанные биографии на принтере.

Для работы с конфиденциальной информацией Lexmark предлагает простые решения — такие, например, как функция Lexmark Confidential Print, которая требует от сотрудников ввода PIN-кода для получения документа с принтера и позволяет повысить безопасность работы с документами.

IDC: троянцы и вирусы — основная угроза

Опросы, проведенные в прошлом году международной компанией IDC среди 606 компаний в Северной Америке, свидетельствуют, что наибольшую обеспокоенность у специалистов вызывает угроза со стороны вирусов и троянцев, а на втором месте находятся ошибки персонала (рис. 3).

Рис. 3. Ответы на вопрос о том, что является угрозой информационной безопасности корпораций, %

Рис. 3. Ответы на вопрос о том, что является угрозой информационной безопасности корпораций, %
(источник: IDC, 2005)

Александр Прохоров

Лишь несколько организаций так или иначе минимизировали риски внутренней ИТ-безопасности. Однако, как отмечает аналитический центр InfoWatch, наблюдается постепенный рост числа компаний, находящихся в авангарде, и положительная тенденция к перелому ситуации.

Как объяснить выявленный опросом парадокс? Ответы на следующий вопрос (рис. 6) показывают, что по сравнению с прошлым годом препятствия, стоящие на пути внедрения соответствующих решений, изменились. Так, доля ответа «Отсутствие технологических решений» снизилась вдвое — с 58 до 29%. И хотя именно эта причина осталась основной, ее количественное изменение свидетельствует о том, что бизнес стал более информированным о рынке специализированных продуктов и услуг.

Рис. 6. Препятствия для внедрения защиты от утечки

Далее с небольшим отставанием идут следующие причины: бюджетные ограничения (17%), нехватка квалифицированного персонала (14%), отсутствие стандартов (9%), юридические препятствия (2%), другое (11%). Необходимо особо отметить высокий процент респондентов, затруднившихся ответить на вопрос. Аналитический центр InfoWatch считает, что представители этой группы компаний еще не преодолели психологический барьер по отношению к внедрению защиты от утечки конфиденциальной информации. Другими словами, они не видят причин, чтобы отказываться, но еще не готовы дать положительный ответ.

Следует отметить три другие группы респондентов. Прежде всего, как ни странно, налицо снижение доли «бюджетных ограничений» — обычно это препятствие является ключевым на пути любых проектов. В то же время ровно в два раза выросла доля обеспокоенных нехваткой квалифицированного персонала (с 7 до 14%). В данном случае сложилась ситуация, прямо противоположная положению дел в индустрии информационных технологий: средства есть, но некому их осваивать.

И наконец, интересна динамика показателя «отсутствие стандартов» как препятствия для внедрения защиты от утечки данных. Такие проекты отличаются высокой сложностью, сочетают разнообразные технические и организационные аспекты. Это зачастую отпугивает предприятия, которые не могут точно определить методику внедрения. По сути, они выступают в роли первопроходцев. С одной стороны, организации совместно с поставщиками самостоятельно ищут оптимальный вариант, а с другой, государству самое время задуматься о разработке федерального стандарта защиты данных. Это уже сделано в большинстве развитых стран. К тому же многие международные стандарты уже оказывают влияние на российские компании: акт Сарбаниса-Оксли, соглашение Basel II, ISO 17799 и многие другие. Российский стандарт мог бы укрепить общий уровень защищенности и обеспечить соответствие мировым тенденциям для коммерческих и государственных организаций.

Есть и еще одно подтверждение противоречию теоретической озабоченности инсайдерскими угрозами и практическими шагами по их нейтрализации (рис. 7). Абсолютное большинство респондентов (90%), отвечая на вопрос о теоретических путях защиты от утечки информации, поддержали комплексные информационные решения. Этот показатель значительно обогнал все остальные способы: организационные меры (36%), ограничение связи с внешними сетями (15%), обучение сотрудников (15%) и др. Однако на практике оказалось, что самым популярным инструментом пользуется всего лишь 2% участников исследования, в то время как 59% вообще не предпринимают никаких шагов в этом направлении.

Рис. 7. Пути защиты от утечки данных

Как и в 2004 году, самой популярной защитой от утечки конфиденциальной информации стали организационные меры — их практическое применение подтвердили 16% респондентов. На втором месте оказалось «ограничение связи с внешними сетями» — 13%.

Интересную тенденцию позволил выявить вопрос относительно планов компаний по внедрению специализированных защитных систем в ближайшие три года (рис. 8). По сравнению с предыдущим годом более чем на 20% снизилось число организаций, которые вообще не планируют установку таких систем (17%). Одновременно значительно увеличилось (31%) количество сторонников комплексного мониторинга сетевых ресурсов. Это, безусловно, положительная тенденция, поскольку она демонстрирует, что бизнес уже понимает, что для эффективной защиты информационных активов необходимо контролировать все возможные каналы утечки.

Рис. 8. Планы внедрения защиты от утечек

Итоги

сследование «Внутренние ИТ-угрозы в России 2005» выявило ряд очень важных тенденций и проблем. Прежде всего, организации по-прежнему чрезвычайно озабочены такими угрозами, как кража информации и халатность собственных сотрудников. При этом обеспокоенность вопросами внутренней ИТ-безопасности значительно превосходит озабоченность внешними атаками, что не удивительно, так как абсолютно во всех опрошенных государственных и коммерческих организациях используются антивирусные средства, а в большинстве — еще и межсетевые экраны.

Следующим критическим моментом является то, что компании практически никак не защищаются от утечки конфиденциальной информации. Доля предприятий, уже внедривших у себя комплексные системы защиты, еще очень низка, однако она растет год от года, что, безусловно, является позитивной тенденцией.

В целом многие организации планируют реализовать у себя проект по защите от инсайдерских атак, однако для этого им необходимо преодолеть несколько барьеров: психологическую неподготовленность, неосведомленность о существующих технологических решениях и нехватку квалифицированных специалистов. Сравнение результатов опроса за 2004 год с прошлогодними свидетельствует о том, что компании постепенно решают эти проблемы.

Таким образом, налицо позитивные сдвиги в сторону адекватной оценки инсайдерских угроз и поиска эффективной защиты от них. Конечно, ситуация еще далека от идеала, но Россия уже успешно преодолела первый, чрезвычайно важный этап осознания актуальности проблемы. В дальнейшем ей предстоит пройти долгий, полный трудностей путь выбора решений и их внедрения.

КомпьютерПресс 3'2006

1999	1	2	3	4	5	6	7	8	9	10	11	12
2000	1	2	3	4	5	6	7	8	9	10	11	12
2001	1	2	3	4	5	6	7	8	9	10	11	12
2002	1	2	3	4	5	6	7	8	9	10	11	12
2003	1	2	3	4	5	6	7	8	9	10	11	12
2004	1	2	3	4	5	6	7	8	9	10	11	12
2005	1	2	3	4	5	6	7	8	9	10	11	12
2006	1	2	3	4	5	6	7	8	9	10	11	12
2007	1	2	3	4	5	6	7	8	9	10	11	12
2008	1	2	3	4	5	6	7	8	9	10	11	12
2009	1	2	3	4	5	6	7	8	9	10	11	12
2010	1	2	3	4	5	6	7	8	9	10	11	12
2011	1	2	3	4	5	6	7	8	9	10	11	12
2012	1	2	3	4	5	6	7	8	9	10	11	12
2013	1	2	3	4	5	6	7	8	9	10	11	12