Как защититься от инсайда?

Думаю, для всех очевидно, что на фоне нынешнего кризиса происходит грандиозный передел собственности, особенно в финансовой сфере. Конкуренты не гнушаются никакими средствами. На войне как на войне - в ход идёт всё. Использование инсайдерской информации часто становится ключом к победе, а для кого-то источником поражения.

Речь уже идет не об ущербе репутации фирмы или о некоторых финансовых трудностях. Часто речь идет о банальном выживании предприятия.

Классическое определение инсайдера - член ограниченного круга людей, имеющих доступ к важной закрытой информации. С точки зрения финансовых структур, инсайдер — это злоумышленник, использующий свои знания об эмитентах ценных бумаг для игры на фондовой бирже или продающий эти сведения третьим лицам. Правоохранительные органы будут считать инсайдером оперативника, продающего сведения об операциях МВД организованному преступному сообществу.

Специалисты по информационной безопасности считают инсайдерами сотрудников компании, имеющих доступ к неким конфиденциальным данным, размещенным в локальной сети предприятия.

Разгласить эти сведения сотрудники могут вольно или невольно. Кроме откровенного хищения данных с целью их дальнейшей перепродажи или разглашения во вред предприятию, существует огромный пласт случаев, когда информация попала не в те руки по ошибке или по недоразумению. Это может быть и письмо с важными спецификациями, отправленное не туда «глупой» секретаршей, а может и недостаточно четкое указание начальства, в результате которого на сайт корпорации выкладываются «исходники» нового программного продукта.

Какие же данные чаще всего интересуют злоумышленников?

Как ни странно, по статистике, инсайдеров больше всего интересуют персональные данные. 68% респондентов исследования «Инсайдерские угрозы в России 2009» отметили, что именно этот тип информации становится объектом нездорового внимания сотрудников. И это несмотря на то, что такая информация не приносит такой коммерческой выгоды, как технические спецификации новых продуктов, финансовые отчеты или бизнес-планы… Эти сведения также привлекают внимание инсайдеров, но они традиционно лучше защищаются у нас в стране.

Хочется отметить, что защитить абсолютно всю информацию от утечек, нереально. По мнению специалистов нашей компании, имеет смысл сфокусироваться на защите двух основных категорий данных:

Информации о клиентской базе - названия компаний, имена и контактные данные клиентов (телефонов, адресов, электронной почты).
Информации, которая может вызвать панику у клиентов или срыв крупных сделок. Это может быть информация о массовых сокращениях персонала, замораживании вкладов, задержках выплат и т.п.

Следует отметить, что системы защиты от несанкционированного доступа (НСД) или распределения прав (DRM) в данном случае помогут весьма ограниченно. Это происходит оттого, что, именно люди, имеющие доступ и соответствующие права, как правило, становятся источником утечки информации. Зато весьма эффективными будут так называемые DLP-системы (Data Leakage Prevention) – системы предотвращения утечек.

Информацию о клиентах можно защитить с помощью формальных методов защиты баз данных. Это анализ формальных атрибутов файла или отслеживание файловых отпечатков (fingerprints). На данный момент эти методы защиты поддерживают большинство разработчиков DLP-систем.

Относительно утечек "панической" информации можно сказать, что отследить их реально только с помощью так называемой контентной фильтрации. Эта популярная технология, используемая антивирусами и спам-фильтрами. Суть ее состоит в сортировке и классификации всего потока информации в информационной инфраструктуре предприятия на основе их содержания (контента). Это весьма сложные и специфические продукты, которые должны настраиваться профессионалами.

Ключевой функцией для предотвращения инсайдерской утечки информации является блокирование перемещения информации из внутренней информационной системы наружу. Это, прежде всего – пересылка по электронной почте и по интернет-каналам (что есть не во всех системах). Многие предприятия останавливаются на обычном мониторинге информации с последующим ее анализом. Это представляется более простым методом, чем разбираться на лету с возможными ложными срабатываниями DLP-систем. Но стоит отметить, что предотвратить утечку действительно важной для существования предприятия информации значительно лучше, чем пост-фактум наказать виновных. Поэтому внедрение и обслуживание DLP-систем – лучшее вложение средств для защиты вашего бизнеса от инсайда.

Автоматизированные системы по предотвращению утечек информации на основе контентной фильтрации – далеко не единственное звено в цепи защиты. Эффективная защита конфиденциальных данных может быть создана только из комбинации технических, административных и организационных мер! Как неотъемлемая часть борьбы с инсайдом, на предприятии должны выполняться следующие мероприятия:

Стандартизация программного обеспечения с четким выполнением требований специалистов по безопасности. Через различное, нестандартное ПО, установленное пользователями на своих компьютерах улетучивается весьма приличный процент информации.
Неукоснительное соблюдение правил безопасности предприятия, в том числе организационных (ограничения доступа в помещения, ограничения использования переносных накопителей и т.п.)
Юридически закрепленная ответственность персонала за разглашение конфиденциальной информации с четким определением, что именно входит в перечень такой информации.
Централизованный и полностью контролируемой ИТ-службой и службой безопасности выход сотрудников любого ранга в сеть Интернет.
Использование методов аутентификации пользователей при работе в информационной среде предприятия.
Обучение сотрудников безопасной работе с информацией, компьютерами и сети Интернет.