Утечки информации — не важно, умышленные или неумышленные, — приводят к самым печальным последствиям. Ущерб от деятельности инсайдеров в мировом масштабе имеет все шансы достичь триллиона долларов уже по итогам текущего года. В России в среднем происходит как минимум две такие утечки в неделю, причем ущерб в 70% случаев превышает миллион долларов. А помимо прямого ущерба не меньше вреда может нанести и косвенный, связанный с потерей репутации, оттоком клиентов и заказчиков. Тем не менее уже накоплен успешный практический опыт борьбы с подобного рода явлениями. И данный материал — попытка этот опыт некоторым образом систематизировать.
Внутренний злоумышленник: кто он?
В целом можно выделить две категории злоумышленников, пытающихся получить доступ к конфиденциальной информации: те, кто делает это целенаправленно, и те, кто не преследует каких-то определенных целей. Наиболее опасны конечно же первые — как правило, выискивающие нечто такое, что представляет интерес для конкурентов. Это могут быть и промышленные шпионы, методам работы которых посвящена отдельная статья настоящего спецвыпуска. И если такой профессионал проникает внутрь, он скорее всего требуемую информацию получает. Однако такого рода специалистов не так много, и к их услугам прибегают не слишком часто.
А чаще всего речь идет о нелояльных сотрудниках. Например, о тех, кто решил сменить место работы и прихватить с собой кое-что, чтобы поднять свою значимость на новом месте. Или кто посчитал себя обиженным, обделенным и пытается отомстить. Как показывает опыт, последние обычно активизируются при слияниях и поглощениях, а также при смене менеджмента. Эти категории, пожалуй, наиболее опасны. Именно через них, как правило, и происходят утечки критически важной информации, которая попадает к прямым конкурентам или на черный рынок. А помимо этого от них можно ожидать и актов диверсии, например намеренного искажения или уничтожения каких-либо данных.
Среди «любопытных» преобладают, как правило, молодые сотрудники, практиканты, стажеры. В принципе никаких серьезных целей они не преследуют, но тем не менее бывают весьма активны в попытках пролезть в закрытые каталоги на файловых серверах или в различные базы данных. Так, от них можно вполне можно ожидать, например, попыток подбора паролей, в том числе и с помощью всякого рода «хакерских» инструментов. Особой опасности эта категория обычно не представляет, к тому же эта их деятельность быстро сходит на нет, особенно после бесед с сотрудниками службы информационной безопасности. И чем меньше временной лаг между попыткой проникновения в закрытые области и такой беседой, тем лучше. Уже то, что о такой попытке стало известно «кому следует», с вероятностью в 99% умерит излишнее любопытство. Хотя ущерб, нанесенный по незнанию или халатности, может быть и немалым. Простой пример тому — случайное удаление «мимо корзины» тех или иных файлов.
Однако и в том и в другом случае многое зависит от морального климата в коллективе. Естественно, чем лучше отношения между сотрудниками, тем меньше возникает желания кому бы то ни было навредить. Однако это уже не в компетенции ни ИТ-отдела, ни ИБ-подразделения.
Как утекает информация
Естественный способ бороться с утечками — перекрыть их возможные каналы, по крайней мере наиболее «популярные» у злоумышленников. Напомним, что основными каналами утечки информации являются мобильные накопители (а также любые другие устройства, которые могут быть использованы в этом качестве: мобильные телефоны, КПК и коммуникаторы, цифровые фотоаппараты, мультимедийные плейеры, ноутбуки и многое другое), электронная почта, Web (прежде всего форумы, блоги, бесплатные почтовые службы), сервисы мгновенного обмена сообщениями (ICQ, MSN и другие; сюда же можно отнести ряд приложений IP-телефонии, позволяющих помимо общения голосом обмениваться файлами, например Skype). На них приходится свыше 75% всех выявленных утечек по результатам прошлогоднего опроса, проведенного компанией InfoWatch (см. «Факторы риска в области информационной безопасности. Итоги 2006 г.» в Intelligent Enterprise, № 7/2007). До сих пор популярны и старые добрые твердые копии. На них приходилось более 60% всех выявленных утечек, и их доля по сравнению с предшествующим годом удвоилась, что связывают с внедрением средств мониторинга электронной почты, расширением использования терминальных решений и т. д. Отмечается и многократный рост применения фотопринадлежностей, включая мобильные телефоны с фотокамерой, хотя в целом удельный вес кражи информации с помощью такого рода средств пока не слишком велик — около 20%.
Особенно специалисты по информационной безопасности обращают внимание на блоги, которые являются одним из самых незащищенных сегментов Интернета. Тем не менее более 80% пользователей сетевых сообществ, по данным securitylab.ru, загружают незнакомые файлы из чужих блогов, а в собственных дневниках без опасения указывают свои точные данные (имя, место работы и т. д.). При этом доступ к своим дневникам можно существенно ограничить, что заметно облегчает общение злоумышленника со своими заказчиками.
Для перекрытия этих каналов существует много средств, как организационных, так и технологических, и об этом еще будет сказано ниже. Надо только иметь в виду, что во главу угла должны быть поставлены интересы бизнеса. К примеру, та же ICQ часто является основным инструментом для сотрудников отделов маркетинга, рекламы, продаж, и лишение её буквально парализует работу этих подразделений. Зато внедрение клиентского ПО, в котором нет возможности пересылать файлы, наверное, не вызовет больших неудобств, скорее даже наоборот. А вот запрет на использование IP-телефонии ведет к заметному росту затрат на междугородную и международную связь, что вряд ли понравится руководству. Это наиболее яркие примеры того, как несоблюдение такого баланса может пойти против интересов дела.
Кроме того, затраты на мероприятия по борьбе с любыми угрозами не должны превышать стоимости возможного ущерба, и к утечкам информации это также относится. А полная стоимость защиты одного рабочего места, напомним, составляет как минимум 500 долларов.
Меры организационные и технологические
В решении задачи предотвращения утечек информации преобладает все же организационная составляющая. Прежде всего это правильный подбор, расстановка и воспитание кадров. Не меньшую роль играет информирование и обучение. Чем ниже квалификация пользователей, тем больше проблем будет при этом возникать, в том числе и с информационной безопасностью. Что касается информирования, то действующее законодательство просто не оставляет выбора. Сотрудник должен знать, что его электронная почта и телефонные переговоры на рабочем месте контролируются, в противном случае эти меры прямо подпадают под статью УК о вмешательстве в частную жизнь.
И чем меньше компания, тем выше доля организационной составляющей. Так, по оценке Юрия Лысенко, начальника управления информационной защиты Росевробанка со штатом в полторы тысячи сотрудников, на нее приходится 80%. Кстати, это совпадает с оценками американского журнала CSO, публикующего материалы на эту тему. Дмитрий Сергеев, руководитель группы департамента информационной безопасности Raiffeisenbank Austria, где уже более 8000 сотрудников, считает, что на нее приходится около двух третей. А в совсем небольшой фирме можно ограничиться одними организационными мерами. Василий Окулесский, начальник отдела информационной безопасности Банка Москвы (интервью с ним опубликовано в настоящем спецвыпуске), полагает, что если в компании работает сто человек, там еще можно обойтись без технических средств, но придется научиться быстро бегать.
Так что одно лишь только внедрение тех или иных систем задачу предотвращения утечек не решает. Хотя информирование пользователей о том, что почта просматривается (еще лучше просто пустить слух об этом), уже благотворно влияет на дисциплину. Но и злоумышленники со временем адаптируются к таким решениям. Например, заклеивание USB-портов нисколько не мешает «слить» информацию на другой компьютер с помощью кроссовер-кабеля, и это не требует вскрытия корпуса ПК. Так что разумнее все же использовать программные средства, которые позволяют управлять поведением USB-портов, тем более что многие производители комплектуют ими свое оборудование. К тому же порты могут понадобиться по прямому назначению, для подключения периферии. В конце концов, злоумышленник вполне может вскрыть корпус компьютера и просто подключить дополнительный жесткий диск, записывающий оптический привод или любое другое устройство. Впрочем, и с этим можно бороться, например с помощью средств Intel AMT, используемых в платформе vPro, где отслеживается вскрытие корпуса. Но даже если применяются самые «тупые» терминальные решения, то остаются электронная почта, Web, печать.
С системой мониторинга электронной почты процесс адаптации занимает около месяца. После этого, по мнению Василия Окулесского, фильтры необходимо настраивать заново. Здесь очень часто имеет место ошибка второго рода, или ложное срабатывание. В результате на одно письмо, где действительно передавалась конфиденциальная информация, приходится до десяти безобидных, особенно в первое время. И чтобы отделять зерна от плевел, нужен специальный сотрудник, с чем приходится мириться.
А есть задачи, которые просто не имеют решения технологическими методами. Например, защита от фотографирования. Пока не придумано ничего лучше, чем полный запрет на использование такого оборудования или заклеивание объектива пленкой вроде той, что применяется для изготовления гарантийных стикеров, которая меняет цвет, если ее отклеить. Нет технологических способов борьбы и с ограничением доступа посторонних к твердым копиям, которые сотрудники оставляют на рабочих местах. И борьба с такого рода нарушениями часто занимает львиную долю ресурсов подразделений информационной безопасности. Бороться же с этим можно только сочетанием административных и экономических мер воздействия. Как утверждает Юрий Лысенко, обычно для «дрессировки» самого забывчивого сотрудника бывает достаточно два раза лишить его премии.
—Что касается использования Web и средств печати, то вендоры рапортуют о том, что у них есть средства, позволяющие строить проактивную защиту, где анализируется не то, куда пользователь ходил, а то, что он смотрел, что загружал. Но эти решения появились совсем недавно, да и сами технологии до конца не отработаны, так что с их внедрением пока не спешат. Выступать в роли бета-тестера мало кто соглашается. Тем более, что сетевые экраны, прокси- и DNS-серверы позволяют ограничить доступ в Интернет лишь по определённому списку ресурсов, что организовать очень просто даже в SQUID, недружественность которого вошла в легенду. Хотя и тут есть слабое место. Оно возникает в тех случаях, когда кому-то дали доступ, естественно, по производственной необходимости, а потом забыли вновь установить ограничения или сделали это слишком поздно. А этого вполне может быть достаточно для того, чтобы заразить корпоративную сеть вредоносным ПО или открыть канал для утечки информации. Что касается средств печати, то тут все сложнее. Контролировать их другими средствами, конечно, можно, но это создает массу неудобств, к тому же их очень легко обойти. Так что техническим средствам контроля печати сложно найти альтернативу, и их, похоже, будут внедрять более активно.