БЕЗОПАСНОСТЬ
Екатерина Дербенцева
Так уж исторически сложилось, что большинство средств защиты информации направлено на защиту от внешних угроз. Организация защищенного периметра вызывает иллюзию полной безопасности, и все силы в первую очередь бросаются на поддержание актуального состояния защищенности именно этих рубежей.
В то же время большие объемы информации часто неудобно и рискованно передавать по сети: это может занимать много времени, отсюда весьма высок риск, что затянувшимся сеансом воспользуются злоумышленники. И внимание охотников за чужими секретами обратилось в сторону нелояльных внутренних сотрудников, которые есть в любой организации. Гораздо легче и проще путем подкупа, шантажа или с помощью других средств воздействия вынудить инсайдера воспользоваться своим служебным положением и украсть информацию. Поэтому сегодня ситуация такова, что компании зачастую оказываются не готовы противостоять утечке ценных данных по этому каналу.
Говоря об организации защиты от утечки данных, стоит обратить внимание на тот факт, что даже если в компании имеются средства разграничения доступа к корпоративной сети и аудит доступа сотрудников к особо ценным информационным ресурсам (например, базам данных), даже если используются средства защиты от копирования, то такие каналы передачи информации, как интернет-пейджеры, файлообменные сети и т. д., обычно никак не контролируются. Некоторые компании запрещают применять у себя эти средства, но многие считают это нецелесообразным с точки зрения бизнеса (так, сотрудникам отдела продаж удобно общаться с клиентами через всем известную ICQ и т. п.).
Немного цифр
Исследование Deloitte ("2006 Global Security Survey") наглядно показало, что утечки изнутри оказывают наибольшее отрицательное влияние на имидж и репутацию организации. В опросе, проведенном среди ведущих финансовых компаний, 49% респондентов зафиксировали за прошедшие двенадцать месяцев внутренние инциденты. Причем в 31% случаев речь шла о вирусах, которые сотрудники занесли в корпоративную сеть извне, а остальные 28% представляли собой мошенничество инсайдеров. Из общего количества участвовавших в опросе организаций 18% стали жертвами утечки приватной информации клиентов, а 10% обнаружили, что инсайдеры скомпрометировали корпоративную сеть.
В этом году 72% финансовых компаний, которые пострадали от утечки, оценили свои прямые и косвенные убытки на уровне 1 млн. долл., а у 2% респондентов ущерб превысил 5 млн. Следует отметить, что 69% компаний провели классификацию своих информационных активов, чтобы отделить конфиденциальные документы фирмы и приватные сведения клиентов от публичных данных. Это подтверждает возросшую обеспокоенность банков и страховых компаний вопросом утечки важной информации.
Законодательство
Если на Западе уже давно сформировано законодательство в сфере безопасности обрабатываемых данных о клиентах (личных, финансовых и др.) и существуют прецеденты по привлечению к ответственности компаний, не сумевших обеспечить надлежащий уровень защиты и допустивших утечку (например, Choice Point, Teledata Communications и др.), то в России нечто подобное до недавнего времени казалось очень далекой перспективой, о которой предпочитали "думать завтра". Но вот 28 июля 2006 г. наш президент подписал федеральный закон "О персональных данных".
Основным предназначением этого документа является защита прав граждан на неприкосновенность частной жизни при сборе и обработке приватной информации, а также обеспечение правовых гарантий защиты конституционных прав людей при обработке их персональных данных.
Закон вступит в силу в 2007 г. и потребует от коммерческих и государственных структур дополнительных вложений в обеспечение безопасности обрабатываемых персональных данных. Под персональными данными подразумевается всякая информация, относящаяся к физическому лицу: фамилия, имя, отчество, год и место рождения, адрес проживания, сведения о семейном положении, доходах и др. Это значит, что любая компания, ведущая электронный учет сведений о своих сотрудниках, любая поликлиника и даже частный практикующий стоматолог обязаны соответствующим образом защищать попавшие в их ведение персональные данные граждан.
Если обратить внимание на экономические вертикали, наиболее чувствительные к утечкам данных, а конкретнее - на кредитно-финансовую сферу, то здесь проблема инсайдеров обозначена законодательно. В стандарте по информационной безопасности (пункт 5.4) Банка России (первая версия стандарта была принята в 2004 г.: ЦБ РФ СТО БР ИББС-1.0-2004, вторая - в марте 2006-го: ЦБ РФ СТО БР ИББС-1.0-2006) записано: "Наибольшими возможностями для нанесения ущерба организации РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации". Это еще раз заставляет банки и страховые компании всерьез задуматься о решении проблемы соответствия своих информационных систем нормативным актам и применении средств защиты от инсайдеров.
Не только ИT-проблема
Для начала должны быть определены пути утечки информации, наиболее вероятные для данной конкретной организации, и выделен круг (возможно, не один) сотрудников, через которых подобная информация может быть вынесена наружу. Программные и аппаратные средства контроля помогают свести к минимуму риск случайной утечки, утечки по халатности, а также позволяют защититься от действий тех сотрудников, кто не считает нужным задумываться о возможности контроля над его действиями.
Однако вынести за охраняемый периметр важную информацию можно вовсе и не на электронном носителе, а, скажем, на листке бумаги или в таком универсальном "устройстве", как человеческий мозг. И здесь не помогут никакие ИT-средства контроля. Поэтому с сотрудниками должна вестись постоянная работа: люди, которые дорожат своим местом в компании, представляют гораздо меньшую опасность как инсайдеры, а сотрудники с высокой зарплатой, имеющие доступ к важной информации, редко бывают заинтересованы в ее разглашении.
Строго говоря, проблема инсайдеров - это проблема комплексная, панацеи от которой не существует. Необходимо понимать и всегда помнить, что в борьбе с инсайдерами недостаточно установить некое программное или аппаратное обеспечение, которое будет фиксировать попытки передачи информации по таким каналам, как электронная почта, Интернет, различные съемные устройства и т. п.