Ежегодно компании теряют миллионы рублей из-за инцидентов, связанных с внутренними нарушителями. Имеют место как халатность, случайные утечки данных, так и атаки, спланированные с участием сотрудников организации-жертвы.
По данным RTM Group, на инциденты с участием внутренних нарушителей приходится сегодня не менее трети всех инцидентов ИБ. Как защитить данные от тех людей, которым доступ к ним предоставлен по служебной необходимости? Что недобросовестные сотрудники используют для «слива» конфиденциальных данных? Как защититься от внутренних угроз, если стоимость DLP-системы составляет годовой бюджет IT? Обсудим это в статье, подготовленной Артемом Православским, консультантом в области ИБ RTM Group.
Материал будет интересен как сотрудникам, непосредственно ответственным за защиту информации, так и руководящему составу, формирующему долгосрочную стратегию развития ИБ.
Почему внутреннего нарушителя стоит бояться
Внутренним нарушителем принято считать сотрудника компании, имеющего легитимный доступ к защищённым ресурсам, данным, инструментам, которые он использует с целью нарушения целостности, конфиденциальности и доступности информации. Он может действовать как самостоятельно, так и в сговоре с внешним нарушителем. Ко внутренним нарушителям можно относить лиц, которые получили санкционированный физический или логический доступ к инфраструктуре, хотя не являются сотрудниками организации (представители аутсорсинговых компаний, аудиторы, уборщики и охрана, предоставляемые компании владельцем арендованных помещений).
Для ИБ важно разделять возможных нарушителей по категориям, чтобы обеспечить соразмерную реакцию:
1. Низкий потенциал
- рядовые сотрудники, имеющие только минимальный пользовательский доступ к системам (например – чтение из базы данных)
- обслуживающий персонал, имеющий только физический доступ к объектам информатизации
2. Средний потенциал
- сторонний технический персонал, занимающийся нерегулярным обслуживанием или первоначальной настройкой ПО и оборудования
- пользователи, имеющие повышенные права доступа (в т.ч. к функциям, которые могут нанести финансовый или иной ущерб компании)
3. Высокий потенциал
- системные администраторы, администраторы безопасности
- сторонний технический персонал, который постоянно или на регулярной основе имеет доступ к критичным информационным активам и оборудованию
Внешние злоумышленники нередко атакуют через это слабое звено. Ищут тех, например, кто недоволен своей заработной платой, не прочь отомстить за что-то своему работодателю и т.д. и делают конкретный заказ. Реже сотрудники организации действуют в связке с внешним хакером, однако такие угрозы также встречаются. Особенно опасны работники, ответственные за ИТ или ИБ, уволенные или увольняющиеся из компании самостоятельно. Они могут не только сообщить ценные сведения о конфигурации оборудования, уязвимостях в сети, но и оставить бэкдор, которым позже воспользуется другой нарушитель.
В сети регулярно появляются сведения о новых уголовных делах, возбуждённых в отношении сотрудников операторов сотовой связи, занимающихся так называемым «мобильным пробивом» (предоставлении сведений о входящих и исходящих вызовах абонента, предоставлении ПДн абонента по телефонному номеру). Отсутствие автоматизированного контроля действий рядовых сотрудников рождает возможность незаконного поиска и передачи данных, и хоть цена подобных услуг год от года растёт (по данным обзора Data Leakage & Breach Intelligence), спрос не будет удовлетворён до тех пор, пока сохраняется доступ к персональным данным абонентов.
Внутренний нарушитель сегодня
Доверие собственным сотрудникам – стратегия, которой придерживается абсолютное большинство предприятий в мире. Подход несёт вполне очевидные риски, связанные не только с защитой данных, однако принятие возможных последствий для многих компаний – не выбор, а неизбежность. Действительно, для организации качественного и полного контроля за сотрудниками необходимы значительные финансовые вложения, трудозатраты, возможно даже создание целого подразделения.
И зачастую при выделении ресурсов на различные направления ИБ защитой от внутреннего нарушителя пренебрегают, поскольку возможные траты на неё велики, а угроза от такого типа злоумышленников недооценивается.
Не стоит забывать, что сотрудники организации обладают гораздо более высоким потенциалом воздействия на системы организации. Если компания действительно заботится о своей безопасности, она должна уделять защите внутренней не меньше внимания, чем внешней.
По данным Financial Times, более 100 тысяч сообщений электронной почты армии США было направлено на почтовые адреса правительства Республики Мали, а не на внутренние почтовые адреса вооружённых сил (опечатка в доменном имени – ml/mil). Некоторые из писем содержали конфиденциальные сведения о военнослужащих. Инцидент можно было бы назвать примером обычной человеческой ошибки, если бы он не был доказательством критических недостатков в системе защиты от утечек организации, которая полностью заинтересована в защите своих данных и имеет для этого исключительные возможности.
Гипотетический внутренний нарушитель не встретил бы препятствий при попытке направить конфиденциальные сведения на внешний почтовый адрес, хотя реализация такой угрозы может оказать серьёзное влияние на обороноспособность целой страны.
Что можно сделать? Что нужно сделать?
Самый часто встречаемый недостаток, выявляемый в ходе оценки защищённости информационных систем от внутренних нарушителей, — это некачественное или отсутствующее разграничение прав доступа к информации. Для инсайдера или недобросовестного сотрудника нет ничего полезнее, чем пробелы или недоработки в управлении правами доступа. Открытая всем информация о договорах компании на файловом сервере, контактные данные всех сотрудников организационной вертикали в CRM, ПДн сотрудников, передаваемые в общих excel-формах, – всё это позволяет сотрудникам аккумулировать конфиденциальные сведения, которые не нужны им для исполнения непосредственных обязанностей. И, в то же время, могут в любой момент «утечь» на сторону, по злому умыслу или неосторожности.
Прежде всего должна быть выстроена надёжная модель управления правами доступа. Средства для этого содержит почти каждая информационная система, представленная на рынке. Некоторые из них поддерживают реализацию удобного централизованного управления доступом, например при помощи контроллера домена. Все механизмы для защиты от таких угроз доступны любой организации, однако это требует некоторой дисциплины в организации рабочего процесса.
После того, как условный нарушитель в том или ином виде получит информацию, ему будет необходимо её передать за периметр защиты. Существует значительное количество каналов утечки, информацию можно распечатать (переписать) и вынести с личными вещами, сфотографировать монитор компьютера на смартфон или прямо воспользоваться каналами связи компании, как это произошло в примере из нашей предыдущей главы. Самый эффективный и простой способ защиты от утечек по внешней связи (электронная почта, мессенджеры, облачные хранилища) – это полное блокирование доступа к ним. Пусть это не всегда применимо (зачастую сотрудникам необходим доступ к интернет-сервисам), но в отдельных случаях это позволяет полностью исключить возможность утечки.
Рабочий процесс не предполагает использования съёмных носителей? → Отключите ненужные порты ввода-вывода средствами операционной системы. Информационная система полностью автономна и не требует доступа к сети? → Отключите систему от локальной вычислительной сети.
Сотрудники не используют в ходе своей работы электронную почту → Заблокируйте популярные почтовые протоколы на пограничном межсетевом экране.
В крайнем случае (для обеспечения максимальной конфиденциальности) можно прибегнуть и к такому эффективному инструменту, как полное блокирование каналов связи. Если же осуществить это невозможно ввиду производственной необходимости, существуют и иные способы защиты от утечек. Обобщённо, все они заключаются в контроле возможных точек выхода данных. Автоматизированный контроль осуществляют DLP-системы – весьма дорогостоящие и трудоёмкие в обслуживании. Их использование оправдано, если речь идёт о крупной организации со значительным количеством рядовых сотрудников, которые ежедневно знакомятся с чувствительными сведениями и направляют их за периметр защиты (например, сотрудники линий поддержки).
Неавтоматизированный контроль, как регулярное мероприятие, проводимое системными администраторами, практически бесплатен и может принести некоторую пользу. Даже поверхностный анализ статистики по событиям, собираемой встроенными средствами устройств и систем, может помочь выявить подозрительные действия:
- Использование МФУ в нерабочие часы, печать необычно большого количества листов;
- Резкое увеличение трафика между ПК сотрудника и некорпоративным облачным хранилищем;
- Подключение неизвестного съёмного носителя. Главный недостаток ручного контроля – выявление утечки постфактум.
Вы сумеете найти нарушителя, вероятно даже привлечь его к уголовной ответственности, однако избежать распространения данных не удастся.
Одному из наших клиентов по собственным каналам стало известно об утечке информации. Можно было предположить по косвенным признакам, что она происходит по каналам печати, однако поймать с поличным сотрудника долгое время не удавалось – направление информационной безопасности в организации находилось в зачаточном состоянии. В частной беседе мы порекомендовали использовать встроенный функционал одного из имеющихся средств защиты, который реализует копирование файлов, отправляемых на печать. Вскоре было обнаружено несколько подозрительных случаев использования принтера в обеденный перерыв, так удалось локализовать ПК и учётную запись, с которой осуществлялась несанкционированная печать, а позже и найти самого нарушителя.
Заключение
Противодействие внутренним угрозам было и остаётся одной из наиболее трудоёмких задач специалиста по безопасности, пренебрежение которой делает угрозу утечки информации на порядок более осязаемой. На рынке представлено довольно большое количество решений, которые предлагают значительное увеличение защищённости, однако их стоимость не приемлема для абсолютного большинства компаний. Мы предлагаем три инструмента, на которые стоит обратить внимание при реализации защиты от внутреннего нарушителя, которые не потребуют значительных финансовых вложений:
- Ревизия системы управления доступом, ограничение прав доступа сотрудников до минимально необходимых;
- Блокирование всех каналов связи, наличие которых не необходимо для работы сотрудников (что явное не разрешено, то запрещено);
- Регулярный контроль трафика, автоматизированный либо ручной, с целю выявления подозрительных действий.
Ну и еще одной, необязательной, но крайне желательной мерой является проведение регулярного обучения сотрудников ИБ. Пусть перечисленные инструменты и не обеспечат полной защиты от утечек, однако с их помощью возможно значительно снизить риски, связанные с внутренними нарушителями, а также поднять общий уровень защищённости информационных ресурсов компании.
Аутсорсинг информационной безопасности набирает популярность, особенно в последнее время, когда иллюзии защищенности данных развеивает беспощадная статистика, а квалифицированных специалистов по ИБ на всех не хватает. Только за прошедший год количествокибератак на российские компании увеличилось в 2 раза (Ростелеком-Солар), а числоинцидентов —…