Как уберечь информацию от утечки из информационных систем
18 декабря 2008 ФГФинансовая газета
#51, 18 декабря 2008 г.
Евгений Лобачев, ведущий системный аналитик, отдел информационной безопасности компании Открытые Технологии.
В 2007 г., по данным американского Института компьютерной безопасности (Computer Security Institute, CSI), проблемы, связанные с действиями инсайдеров, вышли на первое место, обогнав лидирующие ранее проблемы, связанные с компьютерными вирусами. Сегодня в условиях кризиса и массовых сокращений угроза злоупотреблений нелояльных сотрудников как никогда высока.
Подходы к решению
Прежде всего необходимо в политике безопасности компании сформулировать критерии, по которым можно отличить информацию, утечка которой может нанести ущерб, от прочей. Пропустить этот шаг не получится, поскольку нет никакого способа остановить утечку неизвестно чего, если происходит информационный обмен между ИТ-системами компании и внешним миром. Затем нужно утечку этой информации предотвратить. Можно наметить два вектора приложения усилий - затруднить операцию вывода информации за границы ИТ-системы компании или обнаружить и обезвредить инсайдеров. Рассмотрим эти направления более подробно.
Затруднить операцию вывода информации
Первое, что приходит в голову, это желание лишить сотрудника возможности вынести информацию из ИТ-системы техническими мерами. Вот пути, по которым информация может покинуть компанию:
- электронная почта;
- web-сайты (web-почта, форумы и т.п.);
- программное обеспечение для обмена мгновенными сообщениями;
- сменные носители;
- распечатки;
- сети Wi-Fi , Bluetouth;
- модемы (сотовые и обычные);
- снимки экрана фотоаппаратом или камерой сотового телефона;
- утечка информации с помощью устного общения.
Из перечисленного можно сделать следующие выводы. Во-первых, каналы утечки характеризуются пропускной способностью. Если через 4-й и 6-й каналы можно легко унести базу данных в несколько гигабайт, то, для того чтобы сделать это по 1-му или 7-му каналу, потребуется уже много времени и усилий, а по 5-му, 8-му или 9-му каналам сделать это, вероятно, не удастся и вовсе. В то же время утечка персональных данных отдельно взятого клиента возможна по любому из этих каналов, точно так же как и маркетинговых планов компании.
Для некоторых каналов есть возможность обеспечить довольно развитую политику безопасности. Например, для почты, доступа в Интернет и сменных носителей можно запретить передачу конфиденциальной информации. Дальше хуже. Печать, Wi-Fi, модемы можно или разрешить, или запретить. Фотоаппараты запретить крайне тяжело. Устное общение запретить нельзя. Более того, теоретически доказано, что, если информационная система не замкнута, т.е. взаимодействует с внешним миром, существование скрытых каналов возможно. Вопрос может ставиться только о пропускной способности такого канала или о времени, которое потребуется, чтобы его построить.
Обнаружить и обезвредить инсайдеров
Тех, кто разглашает или торгует конфиденциальной информацией, можно найти и наказать (уволить или посадить в тюрьму). В условиях, когда инсайдеры будут полагать, что разглашение конфиденциальной информации с высокой вероятностью приведет их за решетку, большинство откажется от такой деятельности. Те же из них, для кого торговля является основным заработком, сменят работодателя.
Помимо выполнения организационных мероприятий необходимо также применить некоторые технические средства. Следует обеспечить фиксирование всех попыток выноса информации из ИТ-системы компании и выполнение принципа персональной ответственности, т.е. сопоставить каждый факт вывода информации с человеком (пользователем), который это действие выполнил.
WebSense CPS позволяет обнаруживать конфиденциальную информацию в трафике HTTP, E-mail, ICQ и др., DeviceLock - выполнять копирование на специальный сервер всей информации, которая дублируется на сменные носители, прозрачно для пользователя — в теневом режиме. Тот же функционал возможен и для печати на бумажные носители. К недостаткам такой стратегии можно отнести тот факт, что работоспособной она становится только после нескольких увольнений или «посадок», а значит, несколько фактов утечки все же произойдет. Так как же лучше поступить?
Попробуем построить оптимальную стратегию. Следует перекрыть лишь те пути утечки, которые могут привести к потере большого объема конфиденциальной информации, например зашифровать сменные носители и диски ноутбуков с помощью Checkpoint Endpoint Security. Все остальные пути надо контролировать и готовиться действовать по второму пути.
Важно также отметить, что нелояльность персонала крайне затрудняет любые работы по противодействию экономическому саботажу, в том числе и краже конфиденциальной информации. Если по причине специфической кадровой политики, вызванной особенностями бизнеса или ошибкой менеджмента, большая часть сотрудников нелояльна, этот факт может привести к повышению вероятности экономического саботажа, даже бессмысленного для злоумышленника с экономической точки зрения. Поэтому, на наш взгляд, правильный подход к проблеме защиты от утечки конфиденциальной информации содержит следующие шаги:
- формулирование кадровой политики, ведение работы по обеспечению лояльности персонала;
- формулирование политики информационной безопасности в части, касающейся конфиденциальной информации;
- проведение организационных мероприятий, направленных на обеспечение юридической ответственности за разглашение конфиденциальной информации;
- разграничение доступа к конфиденциальной информации в соответствии с политикой, устранение путей утечки больших объемов информации;
- контроль, архивирование информационных потоков, расследование инцидентов утечек информации с привлечением виновных к ответственности, вплоть до уголовной.
Предыдущая новость:
Внедрение СУИБ - шаг за шагом
Следующая новость:
Безопасность бизнеса в финансовой отрасли