Защита от внутренних угроз

Защита от внутренних угроз

Рамиль Яфизов, ведущий технический специалист компании Symantec в России и странах СНГ

ЕСЛИ вопрос о защите от инсайдерской угрозы многих правительственных ИТ-работников приводит в дрожь, то для этого есть все основания. Миллионы людей работают в правительственных учреждениях, возрастает число федеральных гражданских служащих, так же как и число людей, работающих в финансируемых правительством подрядных организациях и организациях, которые получают государственные субсидии. Если добавить к этому число почтовых работников и военнослужащих, то "истинный размер" федеральных служащих составит около 14,6 млн работников (по данным Павла C. Лай-та, государственного профессора Нью-Йоркского университета). Да, такое число инсайдеров впечатляет!

Угрозы, исходящие от сотрудников или контракторов, являются реальной проблемой. Основная трудность, с которой приходится сталкиваться менеджерам, заключается в том, что инсайдеры являются доверенными лицами. Различные исследования показывают, что до 80% угроз безопасности исходят от самих сотрудников организации. Это может быть один человек, нанесший непоправимый ущерб данным, системам, операциям и репутации. Федеральное правительство - в зависимости от взаимосвязанных сетей и систем связи - значительно увеличивает риск ущерба, который может возникнуть в результате злоумышленной внутренней деятельности. Поэтому очень важно, чтобы государственные учреждения обучали своих сотрудников следить за признаками, характеризующими атакующего, а также использовать решения по безопасности, предназначенные для обнаружения и предотвращения этих угроз.

Определение поведения

Умение распознавать определенные типы поведения, выраженные сотрудниками, которые готовятся к ИТ-атаке, может помочь предотвратить потенциальную угрозу. Результаты исследования, проведенного секретной службой США в 2006 г., показывают, что внутренний взлом компьютеров и сетей не является импульсивным шагом. Большинство из них запланировано заранее, и образованные сотрудники и менеджеры часто могут выявить шаги потенциальных взломщиков до возникновения проблемы.

Вот некоторые другие выводы из исследования секретной службы:

• у 80% инсайдеров, которые совершали нападения на свои компании, было негативное поведение до инцидента;
• 92% сталкивались с негативом на работе, таким как понижение в должности, перевод, предупреждение об увольнении;
• во время инцидента 41% инсайдеров все еще получал в компании заработную плату, 59% злоумышленников - это бывшие сотрудники или подрядчики;
• из числа бывших сотрудников 48% были уволены, 38% ушли в отставку, а 7% перешли на другую работу;
• 86% были заняты на технических позициях. Из них 38% - системные администраторы;
• 21% был программистами, 14% - инженерами и столько же ИТ-специалистами;
• 96% инсайдеров были мужчины;
• чуть менее одной трети инсайдеров привлекались ранее к уголовной ответственности;
• 57% инсайдеров были восприняты другими как недовольные;
• большинство инсайдеров скомпрометировали компьютерные аккаунты, создали точки несанкционированного входа или использовали общие аккаунты в целях нападения;
• удаленный доступ был использован для выполнения большинства нападений;
• наиболее распространенным мотивом была месть.

Меры предосторожности

Как уже говорилось, только комплексный методологический подход, учитывающий социальные и технологические аспекты, может дать возможность минимизации рисков, связанных с утечками данных. С организационной стороны, очень важна правильно созданная и эффективно работающая политика безопасности, подкрепленная приказами и должностными инструкциями, регламентирующими поведение каждого сотрудника. Кроме того, необходимо проведение профилактических мероприятий по разъяснению важности отдельных ее положений, направленных на борьбу с утечками информации, чтобы сотрудники знали об их существовании и чувствовали ответственность за те действия и решения, которые могут нанести большой вред компании.

Если говорить о технологических средствах контроля и противодействия утечкам информации, существует много решений и технологий, позволяющих минимизировать инфраструктурные риски. Хотя защита ИТ-пери-метра от внешних атак является важным элементом, необходимо также знать и контролировать действия сотрудников внутри периметра. Это требует решений по контролю сетевого доступа и защите конечных точек и баз данных.

Правительство состоит из сотрудников и контракторов, которые имеют те или иные формы доступа к сетям и коммуникационным системам, принадлежащим самому правительству. В то же самое время угроза от инсайдеров становится все более общей, ее все сложнее обнаружить и предотвратить. Правительственные ИТ-системы содержат информацию, важную для национальной безопасности, поэтому риск быть скомпро-ментированным здесь не допускается. Однако знание того, за чем следует следить, и комбинация этих знаний с установленными мерами внутренней ИТ-безопасности являются наилучшим методом в сохранении правительственных сетей в безопасности, а вместе с ними и национальной безопасности.