По данным InfoWatch, 62% нарушений информационной безопасности так или иначе связаны с действиями инсайдеров, 44% - с халатностью персонала (рис. 1). Как тут не вспомнить всем известные "законы Мерфи" и входящее в них "следствие Джонсона из закона Хеллера": "Никто не знает, что происходит в действительности в пределах данной организации".
Согласно InfoWatch, самыми распространенными путями утечки информации являются почта, Интернет и Интернет-пейджеры, такие как ICQ. И в то же время системы защиты от утечки данных составляют всего 1% среди внедряемых систем ИБ. Михаил Башлыков, руководитель направления информационной безопасности компании "Крок", уверен, что традиционные "страшилки" - вирусы, хакерские атаки и спам - действительно переоценены общественным мнением и средствами массовой информации. "Опыт "Крок" подтверждает, что собственные сотрудники часто оказываются виновниками проблем в области информационной безопасности", - сказал он в своем выступлении на семинаре по вопросам обеспечения информационной безопасности на конференции "ИТ-лидер 2005"
Складывается парадоксальная ситуация. Несмотря на то что большинство компаний согласны - подавляющее большинство попыток несанкционированного доступа к информации и ее модификации исходит от собственных сотрудников, средства выделяются в первую очередь на защиту от внешних злоумышленников, то есть защиту периметра корпоративной сети (рис. 2).
"Самая опасная угроза - это внутренние пользователи. Большинство атак на наш сервер были на уровне школьников и студентов, это простое баловство. В 99% случаев - не атака конкретно на наши информационные ресурсы, чтобы получить информацию, а просто хулиганство непрофессионалов, - говорит представитель отдела информационной безопасности одного крупного энергетического предприятия. - И для защиты от таких "атак" нам вполне хватает технических средств. А вот на собственный персонал обращают куда меньше внимания. Например, никто не обращает внимания на уборщиц, порой даже выходят из кабинета, когда уборщица приходит. При этом на столе остаются документы, компьютер может быть включен, есть все возможности для кражи информации".
С тем, что злоумышленники атакуют не снаружи, согласен и начальник Функционального направления информационной безопасности ФК "Уралсиб" Владимир Ануфриев. "Как показывает практика, свыше 80% проблем в области ИБ создает собственный персонал. Злоумышленники редко атакуют снаружи, не имея поддержки внутри организации. - говорит он. - Чаще всего это свои действующие и бывшие сотрудники - обиженные, озлобленные или просто нечистоплотные. Если у вас работает 100 человек, то у службы HR есть шанс отфильтровать потенциальных нарушителей еще на этапе приема на работу, а если несколько тысяч, то начинают действовать статистические закономерности. Среди большого количества людей всегда найдутся и "пробьются" через входные барьеры те, кто имеет наклонности, способные повредить бизнесу. Чем сложнее и многоэтапнее фильтрация при приеме на работу, тем меньше такая возможность. Однако, здесь важно не переусердствовать и осуществлять постоянный мониторинг уже работающего персонала".
Внутренние угрозы информационной безопасности могут исходить как от "злоумышленников" - это намеренные нарушения установленного порядка сбора, обработки, хранения и передачи информации, так и от "разгильдяев" - это ошибки персонала. Часто все это случается на фоне недостаточной подготовки персонала всех уровней по вопросам ИБ, слабой управляемости ИТ-инфраструктуры, банального недофинансирования мероприятий по информационной безопасности. Кроме того, в компаниях часто нет никаких регламентирующих и нормативных документов в отношении внутренних нарушений ИБ.
Строгие правила
По мнению Михаила Емельянникова, начальника отдела защиты информации ОАО "Связьинвест", основные меры по противодействию нарушений в области ИБ - ограничение прав пользователей и блокирование действий пользователей (в частности, использования ICQ). При этом необходим контроль за работой персонала, то есть контроль исполняемых программ, внешних связей (почта, Интернет, телефон), контроль над электронными документами и контроль за использованием устройств ввода-вывода и хранения.
Например, в компании "Phones 4u" надеются уменьшить расходы до 1 млн фунтов стерлингов в год за счет запрета на внутреннюю переписку между своими сотрудниками. Таким образом уменьшится нагрузка на серверы и более продуктивно будет использоваться рабочее время. "Электронная почта при неверном использовании может стать настоящим бедствием для вашего бизнеса", - говорит глава компании Джон Кодвелл.
По мнению Михаила Емельянникова, мероприятия по противодействию нарушениям в области информационной безопасности предполагают три этапа. Первый - уменьшение необоснованной нагрузки на средства телекоммуникации и сетевое оборудование, что предотвращает проникновение в сеть вредоносного контента и, как следствие, несанкционированное уничтожение или модификацию информации. Второй этап - контроль за использованием средств телекоммуникации исключительно для выполнения работниками должностных обязанностей, предупреждение непроизводительных потерь рабочего времени, необходимость поддержания служебной дисциплины. И третий этап - предотвращение неправомерных действий работников (например, пересылки конфиденциальной информации по общедоступным каналам, нанесения ущерба репутации организации и т. д.).
Закон на стороне сотрудника
Однако попытки контролировать действия сотрудников не так безобидны для организации. На Западе есть масса примеров, когда сотрудники компании, уволенные в результате прослушивания их телефонных переговоров или просматривания электронной почты, выигрывали иски против своих бдительных работодателей, обвинив тех в нарушении прав на конфиденциальность и неприкосновенность частной жизни. Российское законодательство в этом отношении также находится на стороне сотрудника.
23-я статья Конституции РФ гласит: "1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения". А за нарушение этих прав, особенно "с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации", статьей 138 уже Уголовного кодекса РФ предусмотрены меры вплоть до ареста: "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений"
Понятно, что компьютер и телефон на рабочем месте предназначены для выполнения должностных обязанностей, а не для личных целей. А владелец электронного почтового ящика, абонент телефонной сети - организация, а не физическое лицо. И тем не менее судебные иски против компаний, которые мониторят переписку своих сотрудников, в России возможны.
"Чтобы полностью обезопасить себя от возможных судебных конфликтов, необходимо четко определить и довести до сотрудников правила использования средств коммуникации и доступа в Интернет, а также регламент проведения мониторинга", - говорит Михаил Емельянников. Действительно, комментарий к Уголовному кодексу РФ определяет, что нарушение тайны переписки, переговоров и иных сообщений имеет место только в случае, "когда корреспонденция становится достоянием других лиц без согласия адресата". По мнению Емельянникова, можно включить в трудовые договоры (или дополнения к ним) обязательства сотрудника соблюдать установленные правила пользования средствами коммуникации, ответственность за невыполнение их (вплоть до увольнения, расторжения контракта, договора), а также получить добровольное согласие работника на проведение мониторинга со стороны администрации. Это предполагает использование телефона, факса, электронной почты, доступа в Интернет только для выполнения служебных задач. Сотрудники предупреждаются о наличии установленного регламента использования электронной почты, то есть допустимого объема передаваемых сообщений, видов файлов, разрешенных (запрещенных) к передаче, порядка рассылки многоадресных, рекламных и политических материалов и т. п. Возможно установление запрета на рассылку по незащищенным каналам конфиденциальной информации, как принадлежащей организации, так и полученной ею от других физических и юридических лиц, а также информации, зашифрованной средствами, официально не принятыми в организации. В правилах и регламенте должны быть четко оговорены исключительные права организации на используемые средства коммуникации, указано, что сотрудник не может рассчитывать на конфиденциальность своих сообщений и отправлений, а согласие на мониторинг является добровольным
Владимир Масловский, начальник отдела по информационной безопасности МГТС, предлагает еще одно важное дополнение: "Хотелось бы напомнить, что даже государственные и военные секреты, на охрану которых брошены колоссальные ресурсы, иногда удается украсть. И это при том, что за такие действия злоумышленникам грозит в лучшем случае тюремное заключение. Не нанесет вреда организации не тот сотрудник, который окружен запретами и угрозами, а тот, который лоялен к своей организации. Поэтому порой немаловажные меры для обеспечения безопасности - создание нормального климата в коллективе, "человеческое" отношение к сотруднику".
Кто есть кто
Помимо контроля действий сотрудников, есть немаловажная и при этом куда более этически нейтральная (в отличие от вопросов "шпионажа") мера защиты корпоративных ресурсов: управление идентификацией пользователей. Это позволяет консолидировать разрозненные данные о субъектах и объектах информационного обмена, сформировать единый профиль пользователя, снизить затраты на управление информацией и поддержание ее актуальности. По словам Михаила Барышникова, аутентификация пользователей должна быть многофакторной. Она подразумевает недоступность средств тиражирования идентификаторов, более надежное опознавание пользователей за счет применения защищенных хранилищ идентификационной информации или биометрических сведений, наличие отторгаемых носителей секретных ключей, одноразовые пароли и биометрические средства аутентификации. "Мы говорим о безопасности, а безопасность оценивается рисками. Основные риски, я считаю, связаны с самими бизнес-процессами и людьми, которые ими занимаются, - говорит Дмитрий Устюжанин, начальник отдела информационной безопасности компании "ВымпелКом". - Например, у нас в компании 350 информационных систем и около 15 тысяч пользователей по всей России. В связи с этим возникает масса вопросов: кто имеет доступ к информационным ресурсам, кем и как распределяется доступ... Поэтому мы построили процесс предоставления доступа и внедряем у себя систему IBM Tivoli Identity Manager, которая консолидирует информацию о пользователях и системах и позволяет автоматизировать исполнение заявок в процессе предоставления доступа. Для доступа к наиболее критичной информации и удаленного доступа внедрена система использования смарт-карт и цифровых сертификатов. Все это в совокупности дает возможность решать проблемы информационной безопасности, связанные с организацией контроля доступа. Внедрение систем класса Identity Manager - трудная, но интересная и благодарная задача, ведь от ее использования выигрывают и системные администраторы, и руководство, и пользователи".
Но с биометрической аутентификацией, которая становится все более модной, связан ряд своих сложностей. Сергей Вихорев, директор аналитического департамента "Элвис-Плюс", приводит такой пример - один из руководителей крупной российской компании, следуя последним тенденциям обеспечения информационной безопасности, установил у себя на ноутбуке идентификатор отпечатка пальца. А потом случайно серьезно повредил себе палец. В результате полтора месяца доступа к компьютеру не было. Есть примеры, когда компании отказываются от применения подобных средств по этическим соображениям. В частности, так поступил один из ведущих производителей ПО, имеющий филиалы во многих странах мира, именно в связи с тем, что в ряде стран снятие отпечатка пальца считается унижающей человека процедурой.
ИТ-отдел - угроза безопасности?
На прошедшей в сентябре конференции "Обеспечение информационной безопасности. Региональные аспекты" многие участники обратили внимание на такую щекотливую тему, как угрозы для информационных ресурсов со стороны самого ИТ-отдела. ИТ-сотрудники - такой же персонал компании, и на них распространяются все те же риски, связанные с потенциальной утечкой информации. Более того, как показывает печальная практика, многочисленные базы данных на любые темы, которые сегодня свободно можно купить в любом подземном переходе, попадают к пиратам порой благодаря нечистоплотным сотрудникам ИТ-служб соответствующих организаций либо сторонних ИТ-компаний, которые обслуживают ИТ-инфраструктуру организации на условиях аутсорсинга.
Отдел информационной безопасности может быть создан как внутри отдела ИТ, так и отдельно, в структуре подразделения безопасности. Все больше компаний выбирают второй вариант именно потому, что задачи у отдела ИТ и отдела безопасности - принципиально разные. В подходах к защите внешнего периметра, как правило, наблюдается полное единство мнений, а вот любые процедуры безопасности внутри компании при всей своей эффективности, как правило, так или иначе затормаживают процесс работы ИТ-инфраструктуры. ИТ-сотрудники хотят, чтобы все работало быстро, а "безопасникам" это совершенно не важно, главное - эффективная защита. Но "чугунный самолет не взлетит", нужна золотая середина. В случае конфликта между такими отделами, у которых нет единого управления, найти компромиссы может быть трудно. Может быть, необходимо создавать единые структуры, отвечающие на предприятиях и за ИТ, и за информационную безопасность?
Вот слова одного представителя службы ИБ электростанции: "Иногда, пытаясь решить вопрос, мы слышим от отдела ИТ - а мы вам не подчиняемся, и ваши решения нам не указ. Поэтому сейчас мы хотим обратиться к руководству с просьбой создать из ИТ-подразделения и нашего отдела единую структуру безопасности. Сегодня безопасность и ИТ - настолько взаимопроникающие вещи, что просто нельзя работать, функционально полностью отделив их друг от друга".