Чем больше информации переводится в электронный вид, чем больше она консолидируется в базах данных различных организаций, тем более уязвимыми становятся ее владельцы. У процесса перехода на безбумажный документооборот, помимо положительных сторон, — скорости доступа и поиска нужных данных — есть и отрицательная сторона — простота похищения. Действительно, если информация находится в бумажном виде в территориально распределенном архиве, время и стоимость процесса ее похищения могут быть соизмеримы со стоимостью информации и временем ее устаревания. У всех на слуху воспеваемые массовой культурой хакеры, эдакие Бони и Клайды XXI века, несколькими нажатиями клавиш бескровно грабящие банки, залезающие в базы данных спецслужб и изменяющие в них информацию. Паранойя, охватившая мир после событий 9/11, поставила электронную войну в один ряд с реальными боевыми действиями.

Профессионалы в области информационной безопасности признают, что вовсе не хакеры и не электронные террористы представляют основную угрозу конфиденциальным данным компаний и ведомств. Последнее время средства массовой информации, как деловые, так и профессиональные, все больше внимания стали обращать на внутренние угрозы информационной безопасности. Отчасти это связано с тем, что большинство утечек конфиденциальной информации последних лет связано с участием «инсайдеров», отчасти — с тем, что методы и средства борьбы с внешними угрозами — вирусами, хакерами, спамом — уже отточены конкуренцией и внешние угрозы отступили на второй план. С одной стороны, понятно — для владельца информации любой стремящийся получить несанкционированный доступ к ней — враг, объект защиты — информационная система, «линия фронта» проведена. Сотни компаний производят межсетевые экраны, программные и аппаратные, интегрированные в телекоммуникационное оборудование и независимые. Появление аппаратных антивирусов и интегрированных устройств безопасности, присутствующих на рынке под названием appliance, сделало средства защиты конфиденциальной информации от внешних угроз доступными не только крупным компаниям, но и малому и среднему бизнесу. По данным отчета PricewaterhouseCoopers, количество компаний, использующих антивирус и межсетевой экран, приближается к 100%.

Возможно, благодаря успехам производителей и пользователей средств информационной безопасности в защите периметра сети, утечки информации через сотрудников, допущенных к ней, забираются все выше в «хит-параде» наиболее опасных инцидентов в информационной сфере. Также на этот риск оказывает влияние то огромное количество персональных данных, которые накопили правительственные организации, финансовые институты, телекоммуникационные компании и которые время от времени похищаются. Именно утечки таких данных становятся (а в некоторых странах — должны становиться) гласными. Большинство же утечек данных через сотрудников, имеющих к ним доступ, остаются либо скрытыми от общественности, либо даже нераскрытыми. Именно из-за того, что факты утечек и их размеры неохотно раскрываются руководством компаний, исследования в этой области пока носят весьма субъективный характер, сдерживая оценку эффективности различных средств борьбы с утечками.

Большинство опрошенных сходятся в одном — внутренние угрозы — наиболее беспокоящий компании класс угроз. И при этом — наименее исследованный. Даже терминология, что именно считать внутренними угрозами, а что — внешними, до сих пор не устоялась. Например, ФБР США под термином «внутренние угрозы» подразумевает, в числе прочих, несанкционированный доступ к документам и приложениям со стороны сотрудников компании. Все типы инцидентов, связанные с использованием информации или компьютера, к которым у сотрудника нет доступа, американская терминология относит к внутренним угрозам. С точки зрения же российской терминологии, эта угроза считается внешней, поскольку средства ее предотвращения те же, что и средства предотвращения доступа к корпоративной информации любых посетителей офиса компании — разделение физического и информационного доступа. В дальнейшем под внутренними угрозами мы будем подразумевать угрозы утечки информации в ходе доступа к ней пользователей, имеющих этот доступ ввиду служебных обязанностей. Причем утечки только в электронном виде или в виде печатных копий — такие типы утечек, как фотографирование экрана и переписывание данных от руки, не рассматриваются.

Приведем несколько примеров, иллюстрирующих разницу в подходах к классификации. Предположим, сотрудник, работающий с конфиденциальной информацией, отошел на время от компьютера, не заблокировав его, а в это время сосед по кабинету сбросил на флеш-накопитель данные, с которыми работал сотрудник. По классификации ФБР, это реализация внутренней угрозы, так как злоумышленник находился внутри компании. С точки зрения российской классификации — реализовалась угроза внешняя, так как злоумышленник не имел служебного доступа к данным и нарушил не правила хранения информации, а правила разделения доступа к информации.

Определение конфиденциальной информации

Определив, от кого мы защищаем конфиденциальную информацию, хранящуюся в корпоративной информационной сети, неплохо теперь определить, что мы защищаем. Прежде всего, в компании необходимо дать определение конфиденциальной информации и установить разрешенные действия с ней для разных групп пользователей. В каждой компании существует (или, по крайней мере, должно существовать) «Положение о конфиденциальной информации», описывающее порядок работы с конфиденциальной информацией, находящейся в бумажных документах. Прежде всего, необходимо адаптировать его к электронным документам. В реальности эта процедура занимает несколько недель и сводится к регламентации действий с такими отсутствующими в бумажных документах сущностями, как копия документа, часть документа и т. п. Регламенты работы с конфиденциальной информацией в электронном виде также с небольшими изменениями приходят из регламентов обращения с документами в бумажном виде. То есть определяется цикл жизни документа — где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается.

С документами более или менее понятно, по большому счету, нет разницы, электронные они или бумажные. Есть нюансы, касающиеся, например, переписки по электронной почте. Регламенты обращения с электронной почтой, конечно, строго регулируют отправку документов, содержащих конфиденциальную информацию. Однако в процессе адаптации «Положения о конфиденциальной информации» к информации в электронном виде необходимо особо отметить виды информации, которые запрещено отправлять по электронной почте. Почти во всех компаниях есть стандартный набор информации, которую может отправлять с корпоративной почты одно подразделение и не может другое. Так, посылать письма, в которых содержатся упоминания первых лиц компании, может лишь служба связей с общественностью, банковские реквизиты — бухгалтерия, цены на продукцию — служба сбыта, тендерную документацию — отдел закупок и т. д. Конечно, в каждой компании есть свои нюансы. О технических методах реализации этих регламентов поговорим ниже.

Регламенты использования документов, содержащих конфиденциальную информацию, должны включать описание системы хранения документов и организации доступа к ним. Здесь тоже нет ничего принципиально нового — опыт работы с бумажными документами накоплен огромный. Те же нехитрые правила — перед получением доступа к документам для чтения или внесения изменений сотрудник указывает, на каком основании и для чего он собирается обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и т. д. Этот «журнал» работы с документом в случае с электронными документами вести даже проще, чем с бумажными документами, так как большая часть операций (например, проверка прав доступа или прав на изменение содержания, учет времени работы и контроль изменений) может идти в автоматическом режиме. Термин «журналирование», обозначающий процесс ведения журнала доступа к документу, встречается в источниках наряду с термином «логирование».

Также в положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.

После построения документарной базы можно переходить к следующей процедуре: классификации имеющейся информации. Необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Таким образом создается так называемый реестр конфиденциальных документов, содержащий, помимо описания документов и прав доступа, еще и правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в каждой компании каждый день создается множество новых документов, часть из них — конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.

Особо следует обратить внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по которой следящие программы могли бы определить степень его конфиденциальности. Здесь выбор за заказчиком. Если все защищаемые документы хранятся исключительно в формате MS Office, то в качестве метки может использоваться запись «конфиденциально» в соответствующих полях свойств документов. Автор сталкивался и с программными метками, но наиболее распространенный способ — принудительное добавление в имя файла идентификатора «conf». Это удобно и для визуального контроля — даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же нелишне еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

После создания реестра конфиденциальных документов можно приступать к реорганизации их хранения. В крупных компаниях организационными и техническими мерами запрещается хранение конфиденциальной информации локально — на рабочих станциях. Обычно конфиденциальная информация хранится в специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т. д.), которые разделяют права доступа пользователей и защищают информацию от сохранения в несанкционированном месте. Защита таких данных на сервере является многоуровневой (на уровнях аппаратной платформы, операционной системы, СУБД и приложения). Однако риски утечки этой информации с рабочих станций, тем не менее, существуют.

Способы хранения конфиденциальной информации

Компания должна защищать от утечки информацию трех основных типов — сводную информацию, конфиденциальные документы и интеллектуальную собственность.

К сводной информации обычно относят разнообразные структурированные данные в формате базы данных или электронных таблиц. Это может быть не только информация о продуктах и ценах, финансовая информация и т. д., которая представляет ценность для конкурентов, но и персональная информация о клиентах, которую компания должна охранять по закону. При похищении информации такого типа похитителю важно сохранить полноту, достоверность и структуру информации — ценность неполной информации в общем случае резко уменьшается. Отдельным случаем рассматривается «заказ» на похищение конкретной информации из базы данных, а не всей базы данных. Однако большинство инсайдеров допускают утечки информации, не имея конкретных заказчиков на нее, поэтому второй случай встречается гораздо реже. В любом случае, здесь и далее рассматривается утечка данных такого объема, чтобы вынос их «в оперативной памяти человеческого мозга» или «переписанными на бумажку» не представлялся возможным.

Интеллектуальная собственность — любая информация в электронном виде, которая обеспечивает компании конкурентные преимущества. Это могут быть любые внутренние материалы — шаблоны документов, должностные инструкции, описание бизнес-процессов, справочно-нормативная информация, документы, содержащие сведения об изобретениях, патентах, перспективных разработках и другие, охраняемые законом. Эта информация может храниться в любом месте — в документном хранилище, базе данных, в специальных папках на серверах, на локальных рабочих станциях. Форматы хранения — любые форматы приложений, в том числе и отсканированные образы документов, чертежей. В отличие от предыдущей группы информации, ценными являются не только сами документы, но и их фрагменты, черновики и т. п.

Все остальные документы, содержащие неструктурированную конфиденциальную информацию, можно отнести к оперативному документообороту. Это приказы по компании, электронная переписка внутри компании. Информация, находящаяся в них, имеет оперативный интерес для конкурентов и партнеров компании, и ее похищение также может привести к моральным и материальным потерям. В 2000 году по компьютерной прессе гуляла копия приказа по одной из компаний «программистам принимать душ не реже двух раз в неделю». Вряд ли она привела к материальным потерям, но пятно на репутации компании оставила. А вот утечка документа, содержащего себестоимость коммерческого предложения, попавшая к заказчику, может привести к конкретным убыткам — заказчик будет знать, до какой суммы компания готова уступать. Поскольку такая информация разрознена, хранение ее никак обычно не регламентировано, защита ее от утечек особо затруднена.

Один из путей утечки информации через санкционированный доступ — клиентские приложения. Большинство рабочих станций в офисах крупных компаний — компьютеры на платформе Wintel. Архитектура таких рабочих мест делает информацию, открытую с помощью клиентских приложений, практически беззащитной. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних угроз. Заметим, что таких угроз нет при доступе к информационной системе через тонкие клиенты или системы мэйнфрейм-терминал.

Другой потенциальный источник утечек — копии информации на мобильных рабочих местах. Требования бизнеса сегодня привели к тому, что часть сотрудников проводит большую часть времени вне офиса. Есть виды бизнеса, практически немыслимые без мобильных рабочих мест, такие, как консалтинг, аудит и другие. Для эффективной работы вне доступа к корпоративной сети необходимы копии служебных документов, в том числе и конфиденциальных. Простой запрет на хранение информации на мобильных рабочих местах приведет к невозможности выполнять служебные обязанности вне офиса, что непременно скажется на эффективности бизнеса компании. Поэтому практически все мобильные сотрудники имеют копии конфиденциальной информации. Закрытие всех портов ввода-вывода на ноутбуках, во-первых, достаточно сложно технически, а во-вторых — затруднит работу мобильным пользователям, так как последние по своим служебным обязанностям должны использовать как сменные носители, так и коммуникационные порты.

От кого защищаем информацию

Сотрудники, допускающие утечку конфиденциальной информации, будучи допущенными к ней, классифицируются по нескольким критериям — злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких — нет.

Мы разделяем нарушителей на пять основных видов — неосторожные, манипулируемые, саботажники, нелояльные и мотивируемые извне. Рассмотрим каждый вид и их подвиды подробнее.

Неосторожные

В других источниках также встречается название «халатные». Эти сотрудники создают незлонамеренные ненаправленные угрозы, то есть они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода-вывода.

Манипулируемые

Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, персональных идентификационных номеров, реквизитов кредитных карт и адресов. Известный экс-хакер Кевин Митник считает, что именно социальная инженерия сегодня является «бичом» информационных систем. Примеры, которые приводит Митник в своей книге «Искусство обмана», показывают, например, что «добросовестная» секретарша может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Таким образом может быть осуществлена утечка.

Поскольку манипулируемые и неосторожные сотрудники действуют из своего понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить дурацкие инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Как уже говорилось выше, ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Следующая группа нарушителей — злонамеренные, то есть в отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на три типа — саботажники, нелояльные и мотивируемые извне.

Саботажники

Саботажники (в других источниках — обиженные сотрудники) — это сотрудники, стремящиеся нанести вред компании из-за личных мотивов. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей — во-первых, сотрудник не собирается покидать компанию и, во-вторых, цель сотрудника — нанести вред, а не похитить информацию. То есть он стремится к тому, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое, например на уничтожение или фальсификацию доступной информации, или похищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, соответственно для оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.

(Продолжение следует)