|
|
Обзор Защита информации и бизнеса от инсайдеров подготовлен Легенды и мифы об инсайдерах: защиты нет?С проблемой утечки данных из организаций, о которой сегодня столько говорят, бороться можно – но, похоже, победить в этой борьбе нельзя. Как в любой другой ситуации, завязанной на человеческом факторе. Однако соответствует ли в данном случае озвучиваемый масштаб угрозы реальному? Ведь самое главное — не втянуться в решение проблемы, которой нет, или которая не решается принципиально. В последнее время все издания, публикующие материалы по информационной безопасности, буквально наводнены статьями о том, что самой страшной угрозой становятся инсайдеры. На конференциях по ИБ производители средств защиты наперебой уверяют, что их решения разрабатывались для борьбы именно с этой угрозой. Отчасти, общая озабоченность проблемой вполне объяснима: по данным мировой статистики — например, отчетов ФБР «Computer Crime and Security Survey» — максимальный ущерб компании несут в контексте внутренней угрозы. Однако при внимательном анализе всех публикаций и выступлений замечаешь некоторые несуразности. Во-первых, термин «инсайдер» везде дается без определения, как нечто само собой разумеющееся, а во-вторых, понятие инсайдера и злоумышленника, находящегося внутри сети, практически сливаются. В итоге, рассказывая про угрозы от инсайдеров, приводят в пример потерянные ноутбуки с информацией, сбиваются на тему обычных атак типа подбора пароля, попытки воспользоваться чужим логином, взлома компьютера коллеги и т.п. Что говорит либо об искреннем заблуждении/недопонимании авторами предмета и попытках скрыть это за красивым термином, либо же о сознательной манипуляции читателем. Кстати, сложившаяся ситуация немного напоминает эпопею борьбы со спамом, которая активно велась года два назад. Никто не отрицает — проблема спама существует. Но она в большей степени касается провайдеров, (которые вынуждены хранить на своих серверах значительные объемы писем, и организовывать более широкий пропускной канал), нежели корпоративных пользователей. При этом рынок почти заставили принять идею нанесения спамом ущерба через конечных пользователей. Как разобраться в предмете, понять и оценить риски, которые представляют инсайдеры в каждом конкретном случае и выбрать действительно адекватные меры защиты? Начать нужно с самого главного, без чего бессмысленно продолжение разговора – с определения термина «инсайдер». Говорить «по понятиям» Вот лишь несколько определений термина «инсайдер», которые легко отыскать в том же интеренете. «Инсайдер» определяется как «член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер – это член группы, обладающий информацией, имеющейся только у этой группы». По другому источнику, «инсайдер (англ, insider, от inside – буквально, внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках. Ключевой фразой в обоих определениях является «имеющие доступ к информации». Уже эти определения позволяет переформулировать проблему «инсайдеров». Не следует валить все в одну кучу. Есть проблема внутреннего злоумышленника, которая включает как инсайдеров, имеющих доступ к информации, так и сотрудников, пытающихся такой доступ получить. На этом можно остановиться, считая, что термин «инсайдер» теперь понимается правильно. Однако для того, чтобы строить защиту, необходимо еще определиться с понятием «информация», которое прозвучало в обоих вышеприведенных определениях. Понятие «информация» по своей сути является крайне дискуссионным и в каждой области знания понимается по-своему. Это приводит к тому, многими оно начинает восприниматься интуитивно. Будем считать, что информация – это пояснение к чему-то, некие сведения. Не будем смешивать это понятие с понятием «данные» – т.е. представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе. Различие понятий информации и данных
Видеть разницу между этими понятиями необходимо хотя бы для того, чтобы понимать, что мы собираемся защищать (данные или информацию) и что для этого необходимо. Почему боятся инсайдеров? Согласно приведенным выше определениям, инсайдерами в первую очередь являются директора, старшие менеджеры, а также владельцы компании. Созданный же сегодня в СМИ образ инсайдера ассоциируется с тем человеком, который «выносит» вовне списки клиентов, документы, базы данных и любую другую информацию. Такие действия, по утверждениям, наносят компаниям значительный ущерб и неизбежно влекут потерю клиентов. Кстати, практически нигде не мелькает угроза уничтожения или намеренного искажения данных. На это никто не обращает внимания — или просто средств защиты пока нет? Задачи, которые ставят в борьбе с инсайдерами, формулируются просто. Необходимо соответствовать требованиям нормативных актов и стандартов, обеспечивать сохранность информации и данных, выявлять утечки и доказывать непричастность. Но все ли они легко могут быть реализованы? И какие технические средства могут помочь? Инсайдеры непобедимы Если компания просто хочет соответствовать определенным требованиям, которые к ней предъявляет государство или профессиональное сообщество, то задача сводится даже не к приобретению и внедрению средства защиты, а к грамотному документированию процессов обеспечения безопасности. Если же говорить о борьбе с утечками информации (учитывая определение, данное выше), то пресечь их возможно несколькими путями. Это самоконтроль инсайдеров, дабы случайно не разгласить некую информацию; назначение на руководящие должности ответственных, проверенных, морально устойчивых людей; акцентирование внимания этих людей на том, что не вся информация предназначается для широкой публики. К сожалению, проблема целиком лежит в области человеческого фактора. Печально, но с ней не всегда справляются даже самые лучшие спецслужбы. С проблемой утечки данных (файлов, баз данных, печатных копий документов и т.п.) бороться можно. Но только именно бороться — победить эту проблему нельзя. Как бы мы ни ограничили доступ людей к информации, человек может переписать данные с экрана на листок, зачитать по телефону или наговорить на диктофон, сфотографировать экран, может просто запомнить, в конце концов. Кроме всего прочего, тот же ноутбук с данными может быть утерян или украден — даже вместе со всеми ключами на тот случай, если данные там хранились в защищенном виде. Частично проблема решается путем отслеживания каналов утечки. В этом случае технические средства как раз могут собрать полную статистику обращений к ресурсу, скоррелировать факт обращения, скажем, к файлу с отправкой этого же файла по почте и т.п. Единственная неприятность – технические средства могут дать слишком много информации, проверять и анализировать которую придется, все-таки, людям. Если говорить о доказательстве непричастности, то возможность решения этой проблемы техническими средствами тоже под большим вопросом. Но причина здесь больше политическая, чем техническая. Допустим, выходит статья о том, что в некоей компании произошла утечка базы данных. Журналисты на все лады муссируют эту тему, опрашивают экспертов по безопасности о причинах, вспоминают историю предыдущих утечек, гадают о причинах этой и т.п. Заявления о том, что компания непричастна, и информация утекла не по ее вине, мало кого интересуют. Если таковую и опубликуют, то уже тогда, когда интерес к теме несколько утихнет. О чем не говорят борцы с инсайдерами Любые средства защиты создают неудобства – это аксиома. Любые внедряемые средства защиты, так или иначе, надо обслуживать – это закон жизни. Т.е. установить средство защиты и не следить за тем, какие результаты оно выдает, глупо. Представим сеть из 1000 компьютеров, на каждом из которых хотя бы раз в день в USB-порт втыкают флэшку/мобильник/фотоаппарат. Значит, необходимо ежедневно анализировать минимум 1000 событий, связанных с использованием этих устройств. Вряд ли терпения хватит больше чем на 2 дня. Решение все запретить тоже не всегда самое правильное. Начальник все равно спросит, почему не читается его флэшка, а сотрудник отдела рекламы начнет выяснять, как ему теперь передавать в типографию макеты листовок и т.п. Можно говорить, что если мы контролируем, скажем, все обращения к файлу с данными, то он защищен. По крайней мере, мы сможем найти «крайнего» — того, кто разгласил эти данные. В случае если мы схватили его за руку – например, при попытке переслать файл по почте. В прочих ситуациях это скорее похоже на самообман. Если доступ к файлу был разграничен, можно узнать, кто из «допущенных» пользовались информацией. Это ценно, но, тем не менее, почти бесполезно. Можно выявить некоторые вызывающие подозрения особенности: например, кто-то обратился к файлу посреди ночи. Наверное, это необычно, но еще ни о чем не говорит – особенно, если хозяин учетной записи не отрицает факта обращения. Другими словами, проблема контроля в том, что от инсайдера он не защитит, а от обычного сотрудника должен быть скрыт. Два варианта обеспечения безопасности Золотое, и потому невыполняемое правило: внедрять средства защиты надо в соответствии с политиками безопасности. Конечно, неплохо, что внедрение системы контроля электронной почты подвигло организацию к тому, чтобы разобраться, что же и кому можно пересылать, какую информацию следует считать конфиденциальной, а какую нет. Но если бы представление о том, что можно, а что нельзя было сформировано заранее, компания могла бы подобрать более удовлетворяющее ее решение. Если вообще согласилась бы с тем, что это средство ей необходимо. Важно также, чтобы люди, работающие в организации и отвечающие за ее безопасность, решили для себя раз и навсегда, что им нужнее и проще: хранить все данные в общей куче и пытаться найти того, кто передал тот или иной файл за пределы организации — или разграничить доступ к данным так, чтобы с каждым участком могли работать только те, кому они нужны. Первый вариант – зрелищен, демонстративен. Все видят, что вот специалисты отдела безопасности заклеивают USB порты, а сегодня не работает почта – внедряют новую систему контроля. Второй путь – это кропотливая работа по анализу того, кому что нужно, трудоемкие настройки механизмов разграничения доступа и т.п. Каждый выбирает путь сам, но первый больше напоминает поиски монетки под фонарем: ее там ищут не потому, что там потеряли, а потому что там светлее. На трезвую голову Если уж какая-нибудь тема начинает разрабатываться профессионалами пера, то в кучу начинает валиться все. Хотелось бы отметить, что никоим образом под понятие «угрозы инсайдеров» и, следовательно, под действие технических средств контроля за информацией не попадают факты потери ноутбуков, флэшек и т.п. Это просто халатность, а кражи ноутбуков, компьютеров, винчестеров с резервными копиями – сродни взлому. К инсайдерской угрозе не относится и такой случай, как утечка базы клиентов вместе с директором по продажам. Можно отобрать у него на выходе телефонную книжку, но как отобрать сложившиеся отношения с заказчиком, годы совместной учебы в институте и т.п.? Важно не позволять втягивать себя в решение проблемы, которой нет, или которая не решается принципиально. Правда жизни в том, что проблем, связанных с инсайдерами, очень много. Некоторые специалисты по безопасности, как это не прискорбно, порой ограничены во взглядах на ту или иную проблему именно в силу своего профессионализма. Информация для них – это файлы и базы данных (и первая ошибка, как уже говрилось – путаница понятий данных и информации). Они начинает бороться с этими утечками, как могут: отказ от отчуждаемых носителей, контроль почты, контроль за числом печатных копий документа и постановка их на учет, проверка портфелей на выходе из здания и пр. При этом, настоящий инсайдер, который, к слову, часто в курсе всех перечисленных средств контроля, воспользуется для отправки документа факсом. Возможно, прежде чем кидаться в омут борьбы с проблемой, стоит оценить эту проблему, сравнить ее с другими и сделать более обоснованный выбор? Михаил Савельев |