Управление рисками внутренней безопасности в крупных компаниях
Риски внутренней информационной безопасности
Решение для защиты последнего эшелона
Внутренняя информационная безопасность — «как есть»
Внутренняя информационная безопасность — «как должно быть»
Проблема утечки конфиденциальной информации актуальна сегодня как никогда. Хотя основной технологической задачей все еще является безопасность периметра, многие эксперты уже сейчас ставят проблему инсайдеров на первое место среди остальных угроз безопасности. Тем не менее открытым остается вопрос: как обеспечить сохранность важной информации в компании при условии, что изолировать пользователей от нее нельзя?
Проблема информационной безопасности (ИБ) не нова. Многие компании давно озабочены обеспечением надлежащего уровня своей защищенности, а потому тратят колоссальные средства на приобретение и внедрение решений, позволяющих минимизировать внешние угрозы ИБ. Безусловно, антивирусные решения, сетевые экраны и VPN-средства в совокупности обеспечивают хорошую и стабильную защиту периметра. Однако информационные ресурсы, находящиеся на внутренних серверах, остаются незащищенными от кражи собственными сотрудниками. Проблема усугубляется еще и тем, что критическая для бизнеса информация пересылается между отдельными сегментами сетей в незащищенном виде.
Сегодня многие компании уже научились решать задачу безопасности периметра и умело защищают внешние стены своей информационной системы от атак хакеров, вирусных эпидемий, вредоносных и нежелательных рассылок. При этом все вопросы внутренней информационной безопасности они относят к компетенции отдела кадров, корпоративной культуре и доверию к сотрудникам. Однако следует четко понимать, что в условиях конкуренции главный источник опасности для ценной информации исходит отнюдь не из внешнего мира — все эти угрозы уже давно известны и защита от них хорошо отработана, а изнутри компании. Это сами сотрудники, которые, согласно исследованиям Gartner, осуществляют около 70% неавторизованного доступа к информационным ресурсам и тем или иным образом участвуют в 95% атак с целью кражи информации, а также ее дальнейшего использования за пределами компании. Сухие факты подкрепим финансовыми результатами: согласно исследованию «2006 Annual Study — Cost of a Data Breach» (Ponemon Institute LLC), одна утечка в среднем обходится компании в 4,8 млн долл. Достаточно вспомнить средний ущерб от успешной вирусной атаки, который, по данным ФБР, составляет всего 60 тыс. долл.
Риски внутренней информационной безопасности
Не станем скрывать, что наиболее очевидным риском внутренней информационной безопасности является человеческий фактор. Кадровые сотрудники, в служебные обязанности которых входит работа с важными документами, должны иметь эти данные по умолчанию. Чтобы предотвратить злоупотребления или вопиющую халатность со стороны этих пользователей, необходимо использовать защиту последнего эшелона, причем делать это следует по возможности незаметно для трудового процесса. Между тем практика показывает, что управлять доступом к важным документам для доверенных сотрудников крайне сложно — проще закрыть все данные на большой замок, и никого к ним не допускать.
Рассмотрим известный пример точечной вирусной атаки. Обширный опыт борьбы многих компаний с промышленным шпионажем свидетельствует: для того чтобы украсть все необходимые конфиденциальные сведения, достаточно создать вирус точечного направленного действия и заразить им хотя бы один компьютер в сети. Дальше зараженный компьютер подготовит и проведет атаку на внутренние ресурсы. Причем для этого от исполнителя не требуются какие-то специальные компьютерные навыки. Другими словами, в большинстве случаев злоумышленники используют инсайдеров «втемную» — пользователь, как правило, даже не подозревает о том, что установил у себя зловредную программу (направленного действия), которая может навредить разными способами. Рассмотрим наиболее характерные из них.
Во-первых, получение прав пользователя или администратора. В первом случае программа сможет просто выдавать себя в сети за легитимного пользователя и красть документы в пределах его полномочий, а во втором — это самый настоящий rootkit, который может глубоко внедряться в систему, прятаться от антивирусов и делать все, на что его запрограммировали. Во-вторых, сбор конфиденциальных сведений с рабочих мест сотрудников для промышленного шпионажа или в других целях. И в-третьих, изменение или уничтожение важной информации для нанесения финансового ущерба компании. Таким образом, даже столь опасное точечное заражение вредоносным кодом основано именно на использовании инсайдеров.
Кроме того, угрозы внутренней безопасности напрямую связаны с операционными рисками бизнеса. Из-за утечки данных компания может сильно пострадать — например похищение клиентской базы данных испортит ее репутацию, в результате чего фирма лишится своих клиентов. Если в руки конкурентов попадут технологические секреты, то компания может стать неконкурентоспособной. Наконец, утечка означает несоответствие требованиям государства и различных органов, которые предписывают защищать персональные данные пользователей. Следовательно, ни одна успешная организация не захочет рисковать своим благополучием из-за утечки конфиденциальной или персональной информации.
Решение для защиты последнего эшелона
Исходя из всех отрицательных последствий утечки становится ясно, что от этой угрозы необходимо защищаться. Выше уже упоминалось о защите последнего эшелона, а теперь поговорим об этом подробнее.
Под безопасностью последнего эшелона и подразумевается защита от угроз, исходящих изнутри компании. По мнению аналитического центра InfoWatch, она требует глубоких превентивных мер на нескольких уровнях. Во-первых, должны быть установлены политики информационной безопасности, которые не в последнюю очередь будут учитывать вопросы внутренней информационной безопасности. Во-вторых, пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию в информационной системе. В-третьих, весь исходящий трафик (SMTP, HTTP, Instant Messaging и т.д.) следует проверять на предмет утечки данных. В-четвертых, на рабочих станциях нужно защитить все конфиденциальные документы, а кроме того, установить политики работы с периферийными и мобильными устройствами, на которые можно записать конфиденциальный документ с целью его похищения. В-пятых, должен проверяться поток отсылаемых на печать документов. В-шестых, все запросы к базам данных следует проверять на наличие в них опасных запросов, извлекающих секретные сведения. В-седьмых, критическую информацию на блочных устройствах и на ноутбуках нужно шифровать. В-восьмых, транспорт внутри сети, где распространяются чувствительные данные, должен быть зашифрован. При этом следует отметить, что, если хотя бы одно из этих требований не будет выполнено, важная информация в сети будет подвергаться серьезным рискам.
Внутренняя информационная безопасность — «как есть»
Посмотрим теперь, как сегодня построено управление внутренней информационной безопасностью в крупных российских компаниях. В принципе, система внутренней информационной безопасности медленно, но верно становится неотъемлемой частью управления операционными рисками, область действия которых распространяется на человеческие ресурсы и физическую безопасность. Уже сейчас на больших предприятиях, которые ощутили необходимость защиты от инсайдеров, вводятся такие дисциплины, как режимы конфиденциальности, аутентификации и авторизации пользователей при работе в критических приложениях. Большое внимание уделяется шифрованию трафика на разных уровнях коммуникационной сети. Все это становится частью политики корпоративной безопасности.
На рис. 1 представлена наиболее общая архитектура информационного окружения в компании, включающая инфраструктуру и бизнес-приложения, такие как ERP-, CRM- и SCM-системы.
Рис. 1. Общая архитектура информационного окружения
Следуя концепции «все в одном», многие ERP-системы используют встроенные возможности безопасности (например, Oracle Vault в Oracle e-Business Suite, подсистема SNC и SSF в SAP R/3), но ни одна из них не обладает всеми средствами защиты от инсайдеров. На стадии внедрения компании сталкиваются с несколькими проблемами. Во-первых, внедрение сложных систем безопасности требует трудоемкого и дорогого реинжиниринга бизнес-процессов и расширения аппаратной части сетевой инфраструктуры, которую саму по себе тоже нужно защищать. Во-вторых, встроенные средства шифрования и аутентификации в бизнес-приложениях требуют модификации кода для каждого приложения. Конечно, для больших компаний это вполне по силам, но на данный момент подобные меры все равно не решают вышеописанных проблем защиты от утечек.
Внутренняя информационная безопасность — «как должно быть»
Новый подход к управлению внутренней безопасностью, о котором пойдет речь далее, имеет все шансы преодолеть ограничения, налагаемые сетевой инфраструктурой, средствами защиты периметра и встроенными средствами ERP-систем. Концепция предполагает введение дополнительного слоя ПО в корпоративной сети. Его основная цель состоит в управлении безопасностью на промежуточном уровне (Managed Security Middleware, MSM), расположенном между ИТ-инфраструктурой предприятия и текущими бизнес-процессами в компании (рис. 2).
Рис. 2. Концепция промежуточного слоя
Этот «прозрачный» слой обеспечивает невидимый режим функционирования внутренней безопасности на рабочих местах пользователей. Это позволяет им, с одной стороны, свободно работать на своих компьютерах, а с другой — каждый пользователь, образно говоря, находится под колпаком и должен выполнять ряд правил по работе с конфиденциальными документами. Этот невидимый колпак охраняет ценные данные компании.
Эксперты InfoWatch отмечают, что данная концепция абсолютно не зависит от инструментов безопасности бизнес-приложений — она с ними просто не пересекается, поскольку это разные слои. Теперь вся внутренняя безопасность вынесена в отдельный слой, а следовательно, сложность системы зависит от скорости взаимодействия между слоями и от управления безопасностью в целом.
Обратим внимание еще на один момент. При необходимости расширения области информационной и внутренней безопасности непосредственно на рабочих местах пользователей в компании возникает серьезная проблема обучения рядовых сотрудников элементарным вопросам компьютерной безопасности. В связи с этим существенно возрастает загрузка сервисных служб (helpdesk). Предложенный подход промежуточного слоя ощутимо сокращает издержки и при этом не требует серьезного изменения инфраструктуры или замены приложений. Плюс ко всему централизованное управление позволяет избежать трудоемкой поддержки этого «монстра». По оценкам аналитического центра InfoWatch, концепция выглядит очень привлекательно в плане возврата инвестиций в безопасность. Наряду с защитой приложений, использование этого дополнительного слоя помогает внедрить недорогие по стоимости, но эффективные контрмеры для улучшения управления операционными рисками. В сравнении с традиционным подходом к безопасности периметра концепция промежуточного слоя значительно снижает совокупную стоимость владения ПО и способствует возврату инвестиций.
Итоги
Последние независимые исследования (например, «2006 Annual Study — Cost of a Data Breach») показывают, что в среднем убытки компании вследствие всего одной утечки исчисляются несколькими миллионами долларов. Однако практика использования решений для защиты от утечек cвидетельствует, что служащие по халатности или по злому умыслу ежемесячно допускают как минимум одну утечку конфиденциальной информации. Следовательно, гораздо выгоднее предотвращать такого рода инциденты, чем потом нести убытки.
На практике компании сталкиваются с серьезными трудностями при защите конфиденциальной информации потому, что пытаются использовать те средства, которые внедряются в существующие аппаратные и программные системы, технические и бизнес-процессы. Тем не менее выход из этой ситуации есть. Достаточно с самого начала задаться целью построить эффективный промежуточный слой, который будет следить за утечками. Отметим, что необходимые решения для этого на рынке уже существуют, — теперь дело за бизнесом.