Защита информации от утечки из информационных систем

10 февраля 2008 ИБ
Информационная безопасность
#2, февраль 2008 г.
Евгений Лобачев,
Ведущий системный аналитик, отдел информационной безопасности, Открытые Технологии.


Проблема

По дороге на работу уличный торговец предложил вам приобрести диск, содержащий базу данных с адресами и телефонами ваших клиентов? На отраслевом форуме опять обсуждают ваши маркетинговые акции, которые еще не стартовали, а только что были описаны в рассылке для внутреннего использования? Поиск в Google по фамилии вашего начальника находит конфиденциальные документы, опубликованные в чьем-то блоге с забавными комментариями? Вероятно, следует сделать вывод о том, что имел место факт утечки информации из вашей информационной системы.

Как так получилось? Конкуренты прослушивают переговорную комнату или телефонные линии? Оставим это за рамками данной статьи вместе с вопросами утечки через ПЭМИН, возможных атак хакеров на ресурсы организации для получения доступа к конфиденциальным документам. Коснемся лишь части проблемы -утечки информации из информационных систем организации в результате злонамеренных или ошибочных действий авторизованных пользователей, обслуживающего персонала.

В 2007 г., по данным американского Института компьютерной безопасности (Computer Security Institute, CSI), проблемы, связанные с действиями инсайдеров, вышли на первое место, обогнав лидирующий ранее класс проблем, связанный с компьютерными вирусами. На третьем месте - угрозы утраты данных вместе с носителем, прежде всего кражи ноутбуков. С вами этого еще не произошло? Что ж, вам повезло. Пока повезло, как и 54% представителей компаний, опрошенных CSI в ходе ежегодного опроса в 2007 г.


Подходы к решению

Сформулируем критерии, по которым можно отличить информацию, утечка которой может нанести ущерб, от всей прочей. Наверное, они уже сформулированы в вашей политике безопасности, ведь так? Нет? Очень жаль. Пропустить этот шаг не получится. Нет никакого способа остановить утечку неизвестно чего, если есть информационный обмен между ИТ-системами организации и внешним миром. Поэтому сформулировать, утечка какой информации может нанести ущерб, необходимо.

Сформулировали? Что ж, замечательно. Теперь нужно утечку этой информации предотвратить. Можно в целом наметить два вектора приложения усилий - затруднить операцию вывода информации за границы ИТ-системы организации или обнаружить и обезвредить инсайдеров. Рассмотрим подробнее эти направления.


Законопатим все дырки!

Первое, что приходит в голову, это желание лишить сотрудника возможности вынести информацию из ИТ-системы техническими мерами. Вот пути, по которым информация может покинуть организацию:

  1. электронная почта;
  2. Web-сайты (Web-почта, форумы и т.п.);
  3. ПО для обмена мгновенными сообщениями;
  4. сменные носители;
  5. распечатки;
  6. сети Wi-Fi , Bluetouth;
  7. модемы (сотовые и обычные);
  8. снимки экрана фотоаппаратом или камерой сотового телефона;
  9. утечка информации с помощью устного общения.

Из вышеперечисленного можно сделать следующие выводы. Во-первых, каналы утечки характеризуются пропускной способностью. Если через 4-й и 6-й каналы можно легко унести базу данных в несколько гигабайт, то для того, чтобы сделать это по 1-му или 7-му каналу, потребуется уже много времени и усилий. А по 5-му, 8-му или 9-му каналам сделать это, вероятно, не удастся и вовсе. В то же время утечка персональных данных об отдельно взятом клиенте возможна по любому из этих каналов, точно так же, как и о маркетинговых планах компании.

Для некоторых каналов есть возможность обеспечить довольно развитую политику безопасности. Например, для почты, доступа в Интернет и сменных носителей можно запретить передачу конфиденциальной информации. Дальше хуже. Печать, Wi-Fi, модемы можно или разрешить, или запретить. Фотоаппараты запретить крайне тяжело. Устное общение запретить нельзя. Более того, теоретически доказано, что если информационная система не замкнута, то есть взаимодействует с внешним миром, существование скрытых каналов возможно. Вопрос может ставиться только о пропускной способности такого канала или о времени, которое потребуется, чтобы его построить.


Обнаружим и обезвредим инсайдеров

Тех, кто разглашает или торгует конфиденциальной информацией, можно найти и наказать (уволить или посадить в тюрьму). В условиях, когда инсайдеры будут полагать, что разглашение конфиденциальной информации с высокой вероятностью приведет их за решетку, большинство откажется от такой деятельности. Те же из них, для кого ее торговля является основным заработком, сменят работодателя.

Кроме выполнения организационных мероприятий необходимо также применить некоторые технические средства. Следует обеспечить фиксирование всех попыток выноса информации из ИТ-системы организации и обеспечить выполнение принципа персональной ответственности, то есть сопоставить каждый факт вывода информации с человеком (пользователем), который это действие выполнил.

Infowatch Traffic Monitor и WebSense CPS позволяют архивировать информационный обмен по HTTP, Е-mail, ICQ и др. и проводить поиск в архиве. DeviceLock позволяет выполнять копирование на специальный сервер всей информации, которая копируется на сменные носители, прозрачно для пользователя - в теневом режиме. Тот же функционал возможен и для печати на бумажные носители. К недостаткам такой стратегии можно отнести тот факт, что работоспособной она становится только после нескольких увольнений или "посадок", а значит, несколько фактов утечки все же произойдет. Так как же лучше поступить?

Попробуем построить оптимальную стратегию. Следует перекрыть лишь те пути утечки, которые могут привести к потере большого объема конфиденциальной информации. Все остальные пути следует контролировать и готовиться действовать по второму пути.

Отметим также, что нелояльность персонала крайне затрудняет любые работы по противодействию экономическому саботажу, в том числе и по краже конфиденциальной информации. Если по причине специфи ческой кадровой политики, вызванной особенностями бизнеса или ошибкой менеджмента, большая часть персонала нелояльна, этот факт сильно увеличивает вероятность экономического саботажа, даже бессмысленного для злоумышленника с экономической точки зрения. Поэтому, на наш взгляд, правильный подход к проблеме защиты от утечки конфиденциальной информации содержит следующие шаги:

  • формулирование кадровой политики, ведение работы по обеспечению лояльности персонала;
  • формулирование политики ИБ в части, касающейся конфиденциальной информации;
  • проведение организационных мероприятий, направленных на обеспечение юридической ответственности за разглашение конфиденциальной информации;
  • разграничение доступа к конфиденциальной информации в соответствии с политикой. Устранение путей утечки больших объемов информации;
  • контроль, архивирование информационных потоков. Расследование инцидентов утечек информации с привлечением виновных к ответственности, вплоть до уголовной;
  • учет прочих факторов, вынесенных за рамки данной статьи (ПЭМИН и т.п.).




Предыдущая новость:
Особенности защиты современных бизнес-приложений
Следующая новость:
"Платформа АТОЛЛ": точная информация в нужное время