Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Чтобы успешно противостоять инсайдерам, надо их узнать

Знать врага — это половина успешной борьбы с ним. Особенно, если дело касается информационной безопасности, где действия нарушителей как нигде характеризуются поведенческими моделями. Понимая их мотивацию и цели, контрмеры всегда будут опережать действия. Именно в этом залог успеха в противостоянии наиболее опасной угрозе ИТ-безопасности — инсайдерам.

Если называть вещи своими именами, то подход к обеспечению ИТ-безопасности (ИБ) всегда отличался одной простой истиной — обнести информационную систему стенами, чем выше и толще — тем лучше. Постепенно эта парадигма обрастала умными словами про системность, интегрируемость, учет, обеспечение непрерывности, прозрачное встраивание в существующие бизнес-процессы, необходимость реализации комплексного подхода и пр. Не оспаривая важность этих аспектов, все же хочется отметить, что таким образом внимание ИБ-специалистов отвлекалось от качественного развития системы.

В течение многих лет компании отчаянно боролись с вирусными эпидемиями, обносили периметр межсетевыми экранами и системами предотвращения вторжений, внедряли VPN и мощные инструменты против неавторизованного доступа. Защита от враждебного внешнего окружения достигла небывалых высот — вторгнуться в информационную систему мог только профессионал самого высокого класса, да и то не каждый и не в каждую. Впопыхах гонки вооружений и сопутствующих умных слов организации упустили из вида главную опасность — внутреннего нарушителя, собственного сотрудника, прошедшего все рубежи авторизации и получившего неограниченный доступ к корпоративной информации в пределах своей компетенции.

Пока периметр оборудовался новым суперсовременным файрволом, инсайдер беспрепятственно «сливал» налево финансовую информацию и интеллектуальную собственность компании, персональные данные. Так продолжалось годами.

А дальше, как обычно: схватились за голову, посчитали и прослезились. Например, свежее исследование Deloitte Touche Tohmatsu показало, что 100 % опрошенных канадских банков зафиксировали утечки за прошедший год, причем 72 % респондентов потеряли в результате инцидентов более 1 млн долларов. Данные PricewaterhouseCoopers за 2005 г. не менее обескураживающие: источником 33 % всех ИБ-инцидентов были собственные сотрудники, 28 % — бывшие сотрудники и контрактники.

Суть проблемы

Первым шагом к осознанию необходимости срочных мер по решению любой проблемы является понимание противника. Именно эти сведения позволят понять его мотивацию, цели и средства. Это даст необходимый первоначальный материал для создания эффективной системы противодействия, внедрению специализированных технических средств и реализации комплекса организационных мер.

Инсайдер, как мы будем в дальнейшем именовать внутреннего нарушителя, вне зависимости от его намерений, далеко не так однообразен, как может показаться. Даже простая классификация на лояльных и нелояльных далеко не отражает всей глубины этого явления и, таким образом, не может дать полной картины для понимания его действий. А ведь имеется опыт общения с уважаемыми людьми из ИТ-бизнеса, которые однозначно считали всех сотрудников потенциальными инсайдерами и ко всем применяли одинаковые меры. Так-то оно так, действительно, предупрежден — значит вооружен. Однако обобществление явления приводит к опасной близорукости, из-за чего можно недооценить противника. Цели и методы, например, лояльных инсайдеров, допускающих ошибки по незнанию в корне отличаются от целей и методов нелояльных, совершающих преступление умышленно и мотивированно. Каждый тип инсайдера требует специфического учета, анализа и уже на этой основе можно построить действительно эффективную систему защиты. Такую систему, которая знает врага в лицо и понимает каждый его шаг.

Классификация инсайдеров

Существует несколько подходов к классификации внутренних нарушителей. Одной из первых шаг в этом направлении сделала международная научно-исследовательская компания IDC, представившая свой взгляд на проблему два года назад. По версии IDC экосистема инсайдеров имеет четыре уровня: «граждане», «нарушители», «отступники», «предатели».

Верхний уровень составляют «граждане» — лояльные служащие, которые очень редко (если вообще когда-нибудь) нарушают корпоративные политики и в основном не являются угрозой безопасности.

Чуть ниже находятся «нарушители», составляющие большую часть «населения» корпорации. Эти сотрудники позволяют себе небольшие фамильярности, работают с персональной веб-почтой, играют в компьютерные игры и совершают онлайн-покупки. Представители данного слоя представляют угрозу ИТ-безопасности, но сопутствующие им инциденты являются случайными и неумышленными.

На следующей ступени находятся «отступники» — работники, которые проводят большую часть дня, делая то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к интернету, самовольно устанавливают и используют P2P-клиенты и IM-приложения. Более того, такие сотрудники могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники» представляют серьезную угрозу ИТ-безопасности.

Наконец, на самом низу находятся «предатели». Это служащие, умышленно и регулярно подвергающие конфиденциальную информацию компании опасности. Обычно за финансовое вознаграждение от заинтересованной стороны. Такие сотрудники представляют самую опасную угрозу. Одновременно, их сложнее всего поймать.

Классификация неплохая, но самый большой ее недостаток — отсутствие полной картины. Разделить сотрудников на группы и указать, чем они занимаются на рабочем месте всего лишь пол дела. За рамками остались такие важные моменты, как цели, мотивации, последовательность действий, методы. А главное, нет четкой привязки классификации к проблеме защиты конфиденциальности и целостности информации. Ведь именно это больше всего волнует компании, совсем не то какими играми увлекаются сотрудники.

Свою экосистему инсайдеров представляет российская компания InfoWatch. Фокус здесь исключительно на защите данных от утечки, искажения и уничтожения и поэтому их взгляды отличаются большей глубиной анализа.

Экосистема внутренних нарушителей

Источник: InfoWatch, 2006

InfoWatch выделяет 6 типов инсайдеров. «Халатный» и «манипулируемый» из группы лояльных, а также «обиженный», «нелояльный», «подрабатывающий» и «внедренный» из группы злонамеренных. На первый взгляд может показаться, что некоторые из них дублируют друг друга, однако более близкое знакомство с каждым в отдельности развеет это заблуждение. В таблице также приведены более подробные сведения о целях, мотивации и последовательности действий каждого из перечисленных типов.

Халатный инсайдер

«Халатный» инсайдер (также известен под названием «неосторожный») является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, не обремененного интеллектом, но зато крайне невнимательного. Его нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти.
Эти сотрудники создают незлонамеренные ненаправленные угрозы, т.е. они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т.д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.

Манипулируемый инсайдер

Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, пин-кодов, номеров кредитных карт и адресов. Экс-хакер Кевин Митник, ныне называющийся «консультантом по вопросам ИТ-безопасности», считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник, показывают, например, что «добросовестная» секретарша, действуя по принципу «хотели как лучше, получилось как всегда», может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки почты в филиальную сеть (временные технические сложности, конечно). И просит переслать ему некоторую информацию на его личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем он представился. Настолько убедительно звучали его слова. И в считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Кем на самом деле был звонивший, остается только догадываться. Ясно одно, что он был очень заинтересован в получении этих данных. И ясно, что не в самых благих целях.

Поскольку манипулируемые и халатные сотрудники действуют из своего понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить дурацкие инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Но ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Обиженные инсайдеры

Следующая группа нарушителей — злонамеренные. В отличие от сотрудников, описанных выше, они осознают, что своими действиями наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на четыре типа — «обиженные», «нелояльные», «подрабатывающие» и «внедренные».

«Обиженные» (по-другому, саботажники) — это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей. Во-первых, сотрудник не собирается покидать компанию и, во-вторых, сотрудник стремится нанести вред, а не похитить информацию. То есть, он стремится, чтобы руководство не узнало, что утечка произошла из-за него и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например, на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, для соответственно оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.

Нелояльные инсайдеры

Следующий тип внутренних нарушителей — нелояльные сотрудники. Прежде всего, это сотрудники, принявшие решение сменить место работы или миноритарные акционеры, решившие открыть собственный бизнес. Именно о них в первую очередь думают руководители компании, когда речь заходит о внутренних угрозах — стало привычным, что увольняющийся сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового — копию финансовой базы. В последнее время также увеличилось количество инцидентов, связанных с хищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу.

По направленности угроза, исходящая от таких нарушителей является не направленной — нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать — это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется, как гарант для обеспечения комфортного увольнения — с компенсацией и рекомендациями.

Эти два типа нарушителей все же не так опасны, как последние. Обиженные и нелояльные сотрудники все же сами определяют объект хищения, уничтожения или искажения и место его сбыта. Коммерческий директор, решивший уволиться, унесет с собой базу данных клиентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на нее покупателя. Во всех этих случаях информация не нанесет вред владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой для этого.

Подрабатывающие инсайдеры

Однако если еще до похищения информации обиженный или нелояльный сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне. Теперь его дальнейшая судьба — работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

«Подрабатывающие» и «внедренные» нарушители — это сотрудники, цель которым определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. Сюда включаются люди, решившие подхалтурить на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле — шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами.

Внедренные инсайдеры

Из шпионских триллеров времен холодной войны нам хорошо известен последний тип внутренних нарушителей — «внедренный». В современных условиях к таким методам все чаще прибегают не только для государственного шпионажа, но также и для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень привлекательное предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR-службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться. Или этот специалист предлагается системному администратору в качестве замены (вроде того, что это входит в комплект услуг рекрутингового агентства). Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и сливает ее заказчику. После этого следы агентства и специалиста теряются — они просто испаряются. Компания остается без корпоративных секретов, а системный администратор без работы. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети, «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты. И «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.

***

В эту классификацию не случайно не включены более мелкие группы инсайдеров, а также те внутренние нарушители, которые не пользуются корпоративной информационной системой. В этом смысле следует упомянуть распространенную группу экономических преступников — сотрудников, передающих с целью получения выгоды внутреннюю корпоративную информацию, которая, например, может повлиять на стоимость акций. Дело в том, что техническими и организационными мерами пресечь утечку такой информации практически невозможно. Эта информация обычно очень невелика, часто всего несколько цифр или одно предложение, и может даже не существовать в электронном виде. Например, это прибыль компании за какой-то период, разведанные запасы нефти, информация о предстоящем поглощении компании и т.п. В отличие от прессы, проверяющих органов и т.п., клиентам инсайдеров не нужны подтверждения в электронном виде. С технической точки зрения пресечь вынос такой информации (названия компании и дату запуска) за пределы компании «в оперативной памяти человеческого мозга» невозможно. Для предотвращения таких утечек действует законодательно закрепленный запрет на использование инсайдерской информации при торговле ценными бумагами. Поэтому этот тип нарушителей не принимается в предложенной классификации во внимание.

Чем крупнее компания, чем большими средствами она оперирует, тем агрессивнее и профессиональнее будут атаки с использованием внутренних нарушителей. Средний и малый бизнес вполне может устоять после даже очень серьезного инцидента — хищения клиентской базы, know-how или финансового отчета. Крупные организации, в особенности «отягощенные» листингом на фондовых биржах, могут рассыпаться как колосс на глиняных ногах. Вспомните корпоративные скандалы с участием инсайдеров: банкротство британских корпораций Polly Peck и Bank of Credit and Commerce International, мошенничество с пенсионным фондом фирмы Maxwell Communications, банкротства американских гигантов Enron, HeathSouth, Adelphia, Tyco, WorldComm, Quest Communications, CardSystems Solutions и Global Crossing. Во всех этих случаях инвесторы потеряли десятки и сотни миллиардов долларов. Между тем, проблема была именно в недостаточном контроле над собственными сотрудниками, в особенности топ-менеджметом и непонимании экоситемы внутренних нарушителей. Чем дальше будут развиваться информационные технологии, интегрироваться в бизнес-процессы, тем большую опасность будут приобретать внутренние ИТ-угрозы.

Денис Зенкин