Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

25.09.2018

Новости:


Все новости

Безопасность

Инсайдеры наступают

Успешный российский системный интегратор. Бизнес развивается. Прибыли растут. Руководство регулярно поднимает зарплату персоналу. Все работают с полной отдачей. Некоторые даже с огоньком. Идиллия? Да, но не надолго. Директор IT-департамента инициировал внедрение системы мониторинга почтового трафика. Создали базу контентной фильтрации. С ее помощью фильтр научился выявлять конфиденциальную информацию в почте без участия человека. В течение месяца все спокойно. Потом появились аномалии. Один из служащих повел себя подозрительно — фильтр просигнализировал об этом офицеру безопасности. Начали разбираться. Проверили несколько последних писем и ахнули! Менеджер по работе с клиентами пытался проводить контракты на поставку софта не через своего законного работодателя, а через им самим созданную подставную компанию. Слава богу, инсайдера вычислили заблаговременно — ущерба удалось избежать.

В описанной истории нет ни капли вымысла. Заинтересованный читатель без труда найдет в Интернете название системного интегратора, марку внедренной системы защиты, подробности об афере инсайдера и проведенном расследовании. Хотя такие инциденты придают огласке довольно редко, именно этот случай, к счастью, стал достоянием общественности. Но оставим в стороне восторги, связанные с удачным выявлением инсайдера, и не будем останавливаться на том, чем перспективы роста, хорошая зарплата и регулярные премии не устроили менеджера по продажам. Вместо этого мы сконцентрируемся на самом прагматичном вопросе: а может ли то же самое произойти в вашей компании?

В поисках ответа на столь злободневный вопрос опустим рассуждения о высоких материях, как, например, доверии или лояльности, и сразу обратимся к последней статистике. Это позволит, по крайней мере, взглянуть на проблему в целом и увидеть размах инсайдерской угрозы.

ФБР об инсайдерах

Прежде всего рассмотрим результаты исследования 2006 CSI/FBI Computer Crime and Security Survey. Справедливости ради отметим, что наши специалисты обычно скептически относятся к выводам Западных аналитиков. Ведь все мы прекрасно понимаем, что информационная безопасность (ИБ) в США и России — это, как говорят в Одессе, «две большие разницы». Тем не менее, на сей раз следует сделать исключение по двум причинам.

Во-первых, мы можем проследить корреляцию между статистикой ФБР и соответствующими выкладками российских аналитиков.

Во-вторых, американцы впервые в своем исследовании предложили респондентам открытый вопрос (без вариантов ответа). Надо сказать, полученные результаты оказались весьма неожиданными.

Вначале остановимся на ключевых выводах исследования 2006 CSI/FBI Computer Crime and Security Survey. Итак, вследствие реализации угроз ИБ почти три четверти (74%) всех финансовых потерь бизнеса вызваны четырьмя угрозами: утечкой конфиденциальной информации, кражей ноутбуков и мобильной техники, неавторизованным доступом и вирусными атаками. При этом большинство респондентов (68%) серьезно опасаются внутренних угроз.

Практически каждая пятая компания (19%) считает, что на долю инсайдеров приходится свыше 60% всего ущерба от угроз ИБ, а 7% респондентов убеждены, что инсайдеры несут ответственность более чем за 80% всех потерь. Кроме того, свыше одной трети респондентов (39%) винят инсайдеров более чем в 20% всех своих потерь, вызванных реализацией угроз ИБ. Однако такой высокий уровень опасности не мешает подавляющему большинству организаций (75%) замалчивать утечки и другие внутренние инциденты. Наконец, заключительный открытый вопрос показал, что наибольшей опасносждут именно со стороны инсайдерских атак, то есть от утечек персональной и конфиденциальной информации.

Довольно любопытно, что, вопреки маркетинговому давлению индустрии ИБ, аналитики ФБР зафиксировали снижение числа инцидентов ИБ и средних финансовых убытков каждой компании, нанесенных реализацией угроз ИБ. Другими словами, успешных атак стало меньше, а те, что все-таки достигли цели, стали менее опасными. Однако, перечисляя ключевые выводы исследования, мы уже указывали на озабоченность бизнеса проблемой инсайдеров.

За счет чего же тогда образуется столь позитивная динамика по совокупности всех угроз ИБ? Оказывается, за последний год более чем на 60% снизился ущерб от таких распространенных угроз, как неавторизованный доступ, вирусные атаки и атаки типа «отказ в обслуживании». Именно эти три кита снизили все агрегированные показатели и даже перевесили стремительный рост потерь от других угроз (например, потери в результате кражи ноутбуков и портативной техники, подскочившие на 65%).

Если посмотреть на структуру самых опасных угроз ИБ (диаграмма 1), то легко заметить, что вирусные атаки и неавторизованный доступ сохранили за собой первое и второе место по совокупному ущербу. Третье и четвертое места заняли соответственно кража ноутбуков и утечка конфиденциальной информации. Эти угрозы демонстрируют неприятную для бизнеса динамику. В то время как частота и средний ущерб от большинства угроз снижаются, как минимум, одна из этих угроз — кража мобильной техники — движется в прямо противоположном направлении. При этом аналитики ФБР отмечают, что кража классифицированной информации по числу инцидентов и причиняемому ущербу осталась примерно на том же самом уровне, что и в прошлом году. Между тем, согласно исследованию 2005 CSI/FBI Computer Crime and Security Survey, средний ущерб вследствие утечки составил для каждой компании $355,5 тыс. за год. Для сравнения: по сведениям того же источника, средний ежегодный ущерб от вирусной угрозы составляет менее $70 тыс.

По мнению аналитического центра InfoWatch, изменение структуры максимально опасных угроз вполне логично. Вирусные атаки и неавторизованный доступ сдают свои позиции: число инцидентов сокращается или, по крайне мере, не растет, а совокупные и средние убытки стабильно снижаются из года в год. Почему так происходит? Потому что бизнес уже научился более-менее эффективно противостоять вирусным атакам и неавторизованному доступу. Чтобы убедиться в этом, достаточно посмотреть на применяемые сегодня средства ИБ. Мы не станем приводить очередной рисунок из исследования ФБР, поскольку он практически не изменился за прошедшие годы. Отметим лишь, что 98% респондентов используют межсетевые экраны, 97% — антивирусы, 79% — антишпионские средства, 70% — серверные списки контроля доступа и 69% — системы обнаружения вторжений. Это самые популярные технологии ИБ, предназначенные для предотвращения вирусных атак и неавторизованного доступа. Между тем, средства для защиты от угроз, ставших новыми «лидерами» (утечка конфиденциальной информации и кража ноутбуков), далеко не так популярны.

Теперь ненадолго оставим отчет ФБР и обратимся к аналогичной российской статистике. Уже не один год в нашей стране тоже проводится масштабное исследование ИБ, в рамках которого компания InfoWatch опрашивает несколько сотен отечественных организаций. Анкетирование более 300 компаний, проведенное в 2005 году, показало, что российский бизнес так же, как и американский, довольно неплохо защищен от внешних угроз (диаграмма 2), причем популярностью пользуются все те же антивирусы, межсетевые экраны и средства контроля доступа.

Результаты российского исследования «Внутренние IT-угрозы в России ‘2005», представленные на диаграмме 2, демонстрируют интереснейший контраст. В то время как бизнес буквально забаррикадировался от внешних угроз, организации остаются почти полностью беззащитными перед угрозами внутренними. Таким образом, если инсайдер захочет продать кому-то конфиденциальную информацию или создать свою собственную подставную фирму, а потом обокрасть работодателя, то его ничто не остановит.

Узкое место

Но вернемся к исследованию ФБР. Комментируя объемы ущерба, причиненного каждой из названных выше четырех основных угроз, аналитики ФБР и Института компьютерной безопасности крайне скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов.

Дело в том, что такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура 74% всех финансовых потерь из-за угроз ИБ не поддается точному определению.

На такие же проблемы указывают результаты исследования «Внутренние IT-угрозы в России ‘2005»: подавляющее большинство отечественных организаций (62%) вообще затрудняются подсчитать ежегодное количество утечек информации из своей компании (диаграмма 3).

Более того, как указывают эксперты InfoWatch, все четыре угрозы-лидера имеют очень тесную взаимосвязь, и, похоже, именно это упустили из виду аналитики ФБР. Например, похищение мобильного компьютера опасно именно тем, что может привести к утечке конфиденциальных сведений. По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в $4,6 тыс. за аппаратное обеспечение и $46 тыс. за потерянные конфиденциальные документы. Как видите, цифры говорят сами за себя.

Посмотрим теперь на угрозу вредоносных кодов. Широко известны случаи, когда для конкретной организации писались троянские программы, которые потом внедрялись в корпоративную сеть с помощью инсайдеров. Разумеется, это делалось только для того, чтобы выкрасть торговые секреты компании. Таким образом, налицо взаимосвязь четырех самых опасных угроз — на практике часто бывает невозможно отделить ущерб одной из этих угроз от остальных.

Вот почему названные угрозы нужно устранять одновременно, иначе 74% финансовых потерь очень быстро перетекут к угрозе, оставшейся без внимания специалистов ИБ.

В подтверждение этих слов следует рассмотреть финансовые убытки, причиненные компаниям в связи с реализацией внутренних угроз ИБ. К сожалению, российский бизнес пока не научился подсчитывать ущерб от подобных угроз, так что снова обратимся к исследованию ФБР. Прежде всего, лишь 32% респондентов полагают, что инсайдерские инциденты вообще не принесли им денежных потерь за прошедший год (диаграмма 4). Однако здесь снова нельзя обойти вниманием сомнения аналитиков ФБР и Института компьютерной безопасности по поводу точной оценки ущерба при реализации внутренних угроз, например, кражи конфиденциальной информации и злонамеренного использования информационных ресурсов фирмы.

Диаграмма 4. Принесли ли вам инсайдеры финансовый ущерб?

Посмотрим теперь на финансовые потери вследствие реализации внутренних угроз. На диаграмме 5 представлены результаты опроса, пересчитанные для тех респондентов, которые зафиксировали финансовые убытки из-за инсайдерских атак. Можно видеть, что почти для четверти организаций (28%) инсайдеры представляют не просто основную, а критическую угрозу ИБ. На их долю пришлось более 60% всего ущерба. Примерно для такой же группы респондентов (30%) инсайдеры являются главной угрозой ИБ — доля потерь от внутренних атак превышает 20%, но не дотягивает до 61%.

Диаграмма 5. Доля инсайдерских убытков в общем объеме финансовых потерь

Другими словами, инсайдерские инциденты, успешно реализовавшие угрозы ИБ, по-прежнему составляют одну из основных статей расхода компаний.

Что на самом деле волнует бизнес?

Наконец, в последнем исследовании ФБР был впервые представлен следующий открытый вопрос: «Как вы думаете, какой аспект обеспечения ИБ будет являться наиболее важным для вашей организации в течение ближайших двух лет?»

Ответы 426 респондентов просуммированы в таблице 1.


Проблема Число респондентов
Защита данных 73
Совместимость с нормативными актами 63
Защита от утечек и кражи личности 58
Вирусы и черви 52
Управление рисками 47
Контроль доступа 43
Тренинги персонала 43
Безопасность беспроводных сетей 41
Защита от инсайдеров 38

Таблица 1. Главные проблемы ИБ на ближайшие два года

Между тем, детальный анализ ответов демонстрирует живописную картину. Несмотря на выводы аналитиков, касающиеся опасности таких угроз ИБ, как вирусные атаки и неавторизованный доступ, респонденты спокойно и уверенно указали, что больше всего их заботит именно защита данных от утечек и инсайдеров.

Посмотрим на первую строку в таблице — «Защита данных». Это и есть предотвращение той самой угрозы, которую в англоязычных странах называют data breach, а в России — «утечка информации». Далее следует совместимость с нормативными актами. Кроме того, респонденты отдельно указали американский закон SOX (SarbanesOxley Act of 2002), печально известный своим параграфом № 404, который требует от бизнеса организовать внутренний контроль и обеспечить целостность, защиту от искажения и гарантию конфиденциальности финансовой отчетности и информационных активов.

Эта проблема отнюдь не чужда российским компаниям, ведь у нас тоже есть Кодекс корпоративного управления ФСФР, Стандарт Центробанка по ИБ, закон «О персональных данных» и т. д. Далее, на третьей строчке таблицы, указана такая задача, как защита от кражи персональных данных, интеллектуальной собственности и т. п.

То есть респонденты напрямую выразили озабоченность проблемой утечек. Наконец, в десятку главных угроз вошла и защита от инсайдеров. Другими словами, респонденты самыми разными способами попытались донести до аналитиков свое беспокойство по поводу того, что в России принято называть «утечки и инсайдеры». Кстати, следует отдать должное аналитикам ФБР, весьма своевременно включившим открытый вопрос в свою анкету, — это позволило в значительной мере уточнить реальные страхи респондентов.

Заключение

Ну а теперь пришло время вернуться к вопросу, который мы поставили в самом начале статьи. Может ли та же самая история с инсайдером, решившим обокрасть своего работодателя через подставную фирму, произойти в вашей компании? Глубокий анализ статистики, представленной авторитетными российскими и американскими организациями, позволяет дать более или менее объективный ответ: к сожалению, это может случиться в любой компании. Причем инсайдер может использовать самые разнообразные средства и схемы.

Например, финансовое мошенничество (как раз случай с российским системным интегратором), кража и продажа торговых секретов (базы клиентов всегда в цене), троянские программы (чтобы «самому не подставляться») и т. п. Что же может воспрепятствовать угрозе? Ответ прост: система активного мониторинга действий служащих. Но, как показывает практика, бизнес еще не начал массовое внедрение подобных решений. Так что перед инсайдерами все равны.

Комментарии специалистов

Евгений Преображенский, генеральный директор компании InfoWatch

Задавать открытые вопросы всегда нелегко. Особенно в конце исследования. Дело в том, что респонденты могут дать такие ответы, которые просто перечеркнут всю собранную ранее статистику. Так и с исследованием ФБР. Организациям позволили без обиняков выразить свои страхи. Оказалось, что заботит их вовсе не угроза вредоносных кодов, причиняющая, согласно исследованию, наибольший ущерб. Нет. Все намного проще. Респонденты боятся за свои данные. За сохранение, прежде всего, конфиденциальности и целостности собственной информации.

Именно поэтому на первой строчке в таблице оказалась защита данных (классификация, идентификация, шифрование), на второй — нормативные акты (одно из главных требований которых — контроль над чувствительными документами и информационными активами), а на третьей — защита от утечек.

Я уверен, что заботы российских компаний не слишком отличаются от перечисленных выше опасений американского бизнеса. Наши организации волнует все та же безопасность данных, которые могут утечь за корпоративный периметр посредством инсайдеров, неавторизованного доступа, а порой и вредоносных кодов.

Более того, для некоторых отраслей российской экономики уже начинают играть важную роль нормативные акты. Это особенно четко проявляется в финансовой сфере, где появились стандарты Центробанка по ИБ. Соответственно, инсайдеры и утечки превратились сегодня в глобальную проблему и одинаково серьезно беспокоят как американский, так и российский бизнес.

Я уверен, что в течение ближайших нескольких лет угроза станет еще опаснее. Так что остаться в стороне бизнес не сможет — свою информацию все равно придется как-то защищать.


Василий Окулесский, начальник отдела защиты информации ОАО «Банк Москвы»

Утечка конфиденциальной информации и мошеннические действия инсайдеров могут произойти в любой российской компании. Причем некоторые подобные инциденты уже сейчас у всех слуху: постоянно продающиеся персональные данные, предлагающиеся на рынке закрытые базы государственных организаций, точечные утечки и т. д. Однако, несмотря на такой повышенный уровень опасности со стороны инсайдеров, многие российские компании практически ничего не делают, чтобы устранить проблему. Понятно, что психологически нелегко переключиться на внутреннюю ИБ после того, как несколько лет только и делал, что «обвешивался» средствами защиты от внешних угроз.

Кроме того, иногда в обществе возникает мнение, что следить за персоналом, дескать, вообще антигуманно. Хотелось бы развеять это заблуждение. Дело в том, что современные поставщики средств защиты от инсайдеров и утечек вовсе не предлагают бизнесу создать в организации атмосферу «Большого Брата».

Напротив, все сегодняшние решения построены на автоматическом анализе действий служащих, то есть интеллектуальный фильтр сам проверит исходящую почту, а программы-агенты на рабочих станциях просто не дадут скопировать конфиденциальный документ на USB-флэшку или вывести его на принтер.

Другими словами, никто не будет копаться в почте служащих. Уполномоченный сотрудник (офицер безопасности) подключится к досмотру писем только в том случае, если фильтр уже обнаружит попытку утечки, и только тогда, когда участие человека просто необходимо.

Можно резюмировать, что бизнесу лучше не допускать внутренние инциденты, чем потом «разгребать» их последствия. Нельзя забывать одну простую формулу: утечка всего 20% коммерческих секретов в 60% случаев приводит к банкротству.



"Экспресс Электроника"

Комментарии

+1, Mon Jan 28 11:00:08 2008:
Ноут за 4,6КБакса - явно MAC
А IDC однозначно нужен и должен применяться. Пойду пинать своих одминов :)
Игорь, Wed Aug 22 15:16:58 2007:
>По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в $4,6 тыс. за аппаратное обеспечение и $46 тыс. за потерянные конфиденциальные документы. Как видите, цифры говорят сами за себя.


Что же это за корпоративный ноутбук за 4.6 килобакса ? Такие цифры действительно сами за себя говорят.
Lmd, Fri Feb 2 11:21:24 2007:
В общем-то "Эврика" кричать как бы и незачем.... Как говорят, в Сети - "Бойан!". Давно известно, что информбезопасность на 90% состоит из организационных мероприятий, и лишь на 10% - из технических. Кстати, входной скрининг кандидатов на работу тоже, в общем-то, никто не отменял. 1 отдел рулит.

Комментарии заморожены.

Последние комментарии:

Самое интересное:


© 2004–2009 Проект CITCITY.ru