Файл: Методы и технологии противодействия угрозам кадровой безопасности (Распознавание источника проблем).pdf
Добавлен: 30.06.2023
Просмотров: 57
Скачиваний: 2
После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантиии. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.[35]
2.3. Способы хранение информации
После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных порталах, хранилищах документов, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попыток сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.
Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:
- сводная информация;
- конфиденциальные документы;
- интеллектуальная собственность.[36]
Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. В качестве примера можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. Вместе с тем, сюда же можно отнести и персональную информацию, которую компания обязана защищать по закону. В случае хищения подобного типа информации злоумышленнику важно сохранить ее полноту, достоверность и структуру. В противном случае ее цена упадет. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.[37]
К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.[38]
Хищение документов, содержащих неструктурированную информацию, также может привести к различным потерям. Защита от утечек подобной информации крайне затруднена.[39]
Одним из вероятных путей утечки информации, с использованием санкционированного доступа, являются клиентские приложения. Большинство используемых рабочих станций - компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Таких угроз практически нет при использовании тонких клиентов.
Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе конфиденциальных. Следует помнить, что закрытие всех портов ввода-вывода на ноутбуках осуществить достаточно сложно технически, а кроме того это затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.[40]
Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.
Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, применение специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.[41]
На сегодня самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако носители информации делаются все меньше, флэш-память встраивается в часы и плееры, так что такой контроль становится все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.
Для защиты от внутренних утечек информации крайне важно не только, кто получил доступ к файлу, но и что именно он делал с документом, ведь разные люди будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это:
- перемещение документа, как единого целого;
- копирование информации из документа;
- изменение документа с целью обмана следящих систем.
К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Internet, печать.
Ко второй - копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.
К третьей группе - переименование файла или изменение его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.[42]
Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать в службу безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только сотруднику службы информационной безопасности.[43]
Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:
- злоумышленники;
- проявляющие халатность;
- действующие по заказу;
- действующие в собственных интересах;
- охотники за конкретной информацией;
- ворующие все, что можно.
Для составления прогноза действий конкретного нарушителя его поведение нужно правильно классифицировать. Внутренних нарушителей можно разделить на следующие категории (см. Таблицу 2):
- неосторожные;
- подвергшиеся манипуляции;
- саботажники;
- нелояльные;
- мотивируемые извне.
Таблица 2. Мотивы внутренних нарушителей
|
Тип |
Умысел |
Корысть |
Постановка задачи |
Действия при невозможности |
|
Халатный |
Нет |
Нет |
Нет |
Сообщение |
|
Подвергшиеся манипуляции |
Нет |
Нет |
Нет |
Сообщение |
|
Обиженный |
Да |
Нет |
Сам |
Отказ |
|
Нелояльный |
Да |
Нет |
Сам |
Имитация |
|
Подрабатывающий |
Да |
Да |
Сам Извне |
Отказ Имитация Взлом |
|
Внедренный |
Да |
Да |
Сам Извне |
Взлом |
Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.[44]
В свою очередь незлонамеренные нарушители подразделяются на:
- жертв манипуляции;
- неосторожных.
Такие пользователи нарушают правила из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.[45]
Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.[46]
Другим примером манипуляции может служить сотрудник, начальник которого - злоумышленник, отдавший этому сотруднику преступный приказ.
Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам действий их можно разделить на:
- саботажников;
- нелояльных;
- мотивируемых извне;
- прочих.
Саботажники чаще всего стремятся нанести вред компании в силу личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанесение вреда, а не похищение информации. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.[47]
Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.
Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.
Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда и жизнь напрямую зависят от полноты и актуальности похищенной информации.[48]
Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.[49]
В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций компании. В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока. Пресечь утечку такой информации техническими средствами невозможно.[50]
Если основная цель внедрения - выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.[51]
Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми регламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.
Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить задачу взломщика. В первую очередь - лишить пользователей прав локальных администраторов на их рабочих местах. Однако эта простая мера до сих пор не реализована в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов, и размещение их в отдельной подсети.
Однако необходимо понимать, что это временное решение и постепенно нужно отбирать у сотрудников права локальных администраторов.
Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое программное обеспечение из этого списка может быть использовано для противоправных действий.[52]