Российские компании стали несколько серьезнее и больше не обходят стороной проблему защиты от утечек информации. Однако тенденция к сокрытию периодически возникающих инцидентов такого рода — и не только от клиентов, но и от своего высшего руководства — наблюдается до сих пор.
Утечкам особенно подвержены две группы отраслей.
Первая — это отрасли с традиционно низким уровнем защиты информации, прежде всего здравоохранение и государственный сектор. Вторая группа — это банковский, страховой и другие «лакомые» секторы, в которых используется много ценной информации.Причина приблизительно половины утечек, согласно статистике InfoWatch, — неумышленные действия сотрудников. Это говорит о низком уровне знаний правил работы с информацией ограниченного доступа, характерном для многих российских компаний.
Как определить
С корпоративной точки зрения инсайдером является сотрудник, который имеет доступ к информации в силу своих должностных обязанностей.
«Корпоративные риски, связанные с описанным понятием «инсайдер», возникают только тогда, когда есть риски финансовых или репутационных издержек для бизнеса, либо риски намеренной порчи или утери информации, доступ к которой предоставлен инсайдеру», — объяснил Сергей Вахонин, директор по решениям ЗАО «Смарт Лайн Инк». Таким образом «защита от инсайдера», по его словам, — это на самом деле защита от рисков, связанных с несанкционированной передачей информации, ее порчей, утерей или искажением.
Проблема инсайда — это проблема, непосредственно связанная с человеческим фактором, с вопросами мотивации человека.
«Только хорошо понимая природу инсайда, можно эффективно ему противодействовать», — объяснил руководитель службы внутреннего контроля «МСП Банк» Александр Голубчик.
Основные причины инсайда — это желание сотрудников обладать информацией, которая может пригодиться им на будущем месте работы (например, базами данных клиентов, шаблонами, примерами документов); желание выгодно продать ценную информацию конкурентам; обида и стремление «насолить» своему работодателю; пренебрежение правилами обработки информации ограниченного доступа или незнание этих правил; простая невнимательность.
Еще один распространенный способ утечки — через разработчиков и тестировщиков информационных систем. Кроме того, когда применяются ограничивающие правила (запрет доступа, запрет использования технологий, запрет взаимодействия и пр.), всегда возникают исключения из них.
«Исключения чаще всего связаны с нежеланием топ-менеджмента придерживаться общекорпоративных стандартов», — объяснил Юрий Шелихов, руководитель направления отдела безопасности банковских систем департамента консалтинга и аудита компании «Информзащита». Именно из-за таких исключений, по его словам, происходят крупные утечки информации, приводящие к дополнительным издержкам на обработку возникших рисков.
Как поймать
Чтобы выявить людей, потенциально способных на использование инсайда или склонных к этому, по словам Александра Голубчика, необходим анализ некоторых составляющих человеческой личности. Это приверженность корпоративным интересам (то есть соответствие корпоративных и личных целей, удовлетворенность амбиций индивидуума) и культурные ценности (например, образование, отношение к религии, духовные ценности и пр.). Степень сбалансированности этих характеристик будет являться индикатором склонностей человека.
С учетом серьезности угрозы и последствий неправомерного использования инсайдерской информации работодателям стоит рассматривать с позиций инсайда каждого кандидата на вакантную должность — независимо от того, где он работал до этого и сколько ему лет. При этом соглашение о конфиденциальности инсайдерской информации также стоит заключить с каждым из сотрудников.
Как защитить
Решение проблемы инсайдеров должно выстраиваться в комплексе. В компании должен быть спланирован, обеспечен и реализован комплекс мер организационно-технического характера, включающий в себя выбор, развертывание, настройку и дальнейшее обслуживание ряда специальных инструментов — программных и аппаратно-программных средств.
Снизить риск неумышленного раскрытия информации может и сама организация. Среди эффективных методов — формирование и поддержание определенной корпоративной культуры, обеспечение информационной безопасности и разграничение доступа с помощью технических средств и программного обеспечения, предъявление квалификационных требований к персоналу организации, документальное оформление трудовых и правовых отношений с работниками и контрагентами организации.
Вторая линия защиты, а именно защита от умышленного использования инсайдерской информации — это уже прерогатива государства. Она, по словам Александра Голубчика, заключается в формировании норм и правил на уровне законодательства, судебного производства и культурных ценностей, а также в экономических и социальных мерах, направленных на улучшение материального благосостояния граждан.
«Решая задачу противодействия утечкам, следует в первую очередь решать вопросы контроля потенциальных каналов утечки в целях предотвращения и протоколирования несанкционированных попыток передачи корпоративных данных, и особенно — большого объема, который нелегко запомнить или сфотографировать», — объяснил Сергей Вахонин. Для этого и предназначены системы DLP.
«При построении защиты следует ориентироваться на комплексный подход, начиная от разработки перечня информации ограниченного доступа, правил и процедур и заканчивая внедрением специализированных средств защиты», — объяснил Андрей Прозоров, ведущий эксперт InfoWatch. При этом в первую очередь стоит говорить о решениях, позволяющих контролировать и блокировать различные каналы передачи информации (такие, как электронная почта, интернет, съемные носители, принтеры и пр.) Современные системы позволяют также вести архив всех передаваемых сообщений с целью дальнейшего расследования инцидентов.
«Применение только лишь средств защиты не способно в полной мере обеспечить полноценную защиту от инсайдеров», — объяснил Юрий Шелихов.
«Помимо специализированных средств защиты стоит ориентироваться на организационные меры: разработка и документирование правил и процедур обработки и защиты информации ограниченного доступа, ознакомление с ними всех сотрудников и другое», — объяснил Андрей Прозоров.
Как распланировать
Использовать два основных подхода — аналитический и системный — для грамотной защиты от внутренних утечек информации предлагает Юрий Шелихов. Первый подход целесообразно осуществлять методом управления рисками: общий риск утечки информации разделить на сценарии возможных утечек, определить возможных нарушителей, уязвимости, возможности таких сценариев и тяжесть последствий. Затем выработать решения по устранению таких сценариев или, например, страхованию высоких, но маловероятных рисков утечки.
Второй подход к решению проблемы, по словам Шелихова, предполагает следующие действия: выявить все известные и взаимосвязанные факторы (взаимосвязанные элементы системы), влияющие на риск утечки информации; выявить те факторы-элементы, влияние которых на риск утечки информации наиболее велик; понять, какие связи поддерживают существование этих факторов-элементов в организации (оптимальную точку приложения рычага); применять принцип рычага методом применения целенаправленных мер на ослабление и уничтожение этих связей, что позволит снизить вероятность реализации утечек информации.
В целом, по оценке экспертов, эффективная безопасность достигается лишь тогда, когда на это направлены совместные усилия служб ИБ, ИТ и других подразделений организации, в том числе топ-менеджмента и кадровиков.