Методы классификации внутренних нарушителей
Дамир Равилов
Инсайдеры были во все времена. В истории есть немало примеров того как люди, обладающие какой – либо конфиденциальной информацией передавали её третьей стороне. Иногда это происходило случайно, иногда преднамеренно. Это могла быть информация как об изготовлении каменных топов в каменном веке, так и информация о технологии изготовления ядерной боеголовки.
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.
За последние двадцать лет резко изменился характер документооборота, большинство документов стали электронными. Данное новшество гораздо упростило работу с информацией, её стало гораздо проще хранить, использовать, а самое главное передавать. Это нововведение подняло проблему инсайдеров на новый уровень. Кардинально изменились типы и характер внутренних угроз, выросли возможности злоумышленников вместе с тем, возросла вероятность потери информации и как итог нанесение ущерба компаниям. Наиболее подвержены внутренним угрозам крупные организации, имеющие распределённую инфраструктуру или же территориальные представительства. Как показала практика количество персонала и вычислительной техники обратно пропорционально сложности утечки информации.
Классификация инсайдеров
– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя, он облетит и укусит.
– Нельзя ставить вопрос какой инсайдер хуже, злонамеренный или неосторожный Оба они хуже.
Есть ряд методов классификации инсайдеров. Один из таких методов был предложен научно – исследовательской компанией IDC. По их мнению внутренних нарушителей можно разделить на четыре категории: граждане, нарушители, отступники, предатели.(Таблица 1.)
Таблица 1.
Граждане - сотрудники лояльно относящиеся к компании. Они практически некогда не нарушают корпоративную политику, и по сути не являются угрозой для внутренней безопасности компании.
Нарушители – являются основной массой сотрудников компании. Данные сотрудники позволяют себе небольшие вольности, такие как: работа с персональной web-почтой, совершение on-line покупок, игра в компьютерные игры. Хоть их действия и создают угрозу ИТ - безопасности, но возникающие в результате этого инциденты являются случайными.
Отступники – сотрудники, злоупотребляющие своими привилегиями, такими как доступ к корпоративным ресурсам, доступ в Интернет, права использования персонального компьютера. Они самовольно устанавливают Р2Р - клиенты и IM приложения, и в дальнейшем используют их для передачи корпоративной информации заинтересованным в ней внешним адресатам. Отступники являются серьёзной внутренней угрозой для компании.
Предатели – самый коварный и осторожный вид внутренних нарушителей. В данную категорию входят сотрудники, умышленно и регулярно ставящие под угрозу конфиденциальную информацию компании. Как правило, данные действия они совершают за материальное вознаграждения от заинтересованных сторон. Данный вид нарушителей достаточно сложно поймать, так как они достаточно продумано и осторожно совершают свои противоправные действия.
Данный вид классификации является достаточно простым и понятным, однако он не даёт полного представления об инсайдерах. В данной классификации не затронуты такие аспекты, как мотивация, последовательность действий, методы и цели инсайдеров. К тому же не совсем чётко прослеживается взаимосвязь между классификацией нарушителей и проблемой защиты целостности, а также конфиденциальности информации. Компаниям нужен не портрет инсайдера, а методы борьбы с ним.
Исходя из данной потребности, компания Info Watch предложило свой метод классификации инсайдеров, сфокусировав своё внимание на защите данных от утечек, искажения и уничтожения.
Они разделили инсайдеров на шесть типов: халатный, манипулируемый, обиженный, нелояльный, подрабатывающий и внедренный. (Таблица 2.)
Таблица 2.
Лояльные нарушители
Халатные инсайдеры
Халатные инсайдеры - самый распространённый вид внутренних нарушителей. В данную категорию обычно попадают среднестатистические сотрудники компании, обладающие не высоким уровнем компьютерной грамотности, а так же крайне не внимательные. Все нарушения данной категории инсайдеров, относительно конфиденциальной информации, ничем не мотивированы и не преследуют каких–либо целей. Они нарушают правила хранения и работы с конфиденциальной информацией, мотивируя свои действия только лучшими побуждениями. Угрозы, создаваемые ими, носят незлонамеренный, ненаправленный характер. Пример: сотрудник пытается скопировать и унести домой информацию, носящую конфиденциальный характер. Он не хочет её продать, он всего лишь планирует поработать над ней дома, для того, что бы уложиться в срок, сдать своевременно отчёт, запустить вовремя проект. При всей благовидности намерений, все его действия могут нанести не меньше урона компании, чем промышленный шпионаж.
Не реки случаи, когда такие сотрудники теряют носители, ноутбуки т т.д. Как правило, халатный инсайдер столкнувшись с такой проблемой, как запрет на копирование начинает действовать по инструкции. Обратившись за помощью в службу поддержки или же просто к коллегам, ему объяснят, что копирование и вынос данной информации за пределы офиса запрещён. Противостоять данному типу внутренних нарушителей можно таким техническими средствами как контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода - вывода.
Манипулируемые инсайдеры
Манипулируемые инсайдеры в большинстве своём являются жертвами социальной инженерии. Данные приёмы используются не только для получения обманным путем персональной информации пользователей, их паролей, номеров кредитных карт и т.д. По словам экс-хакера Кевина Митника, ныне называющегося «консультантом по вопросам ИТ-безопасности», именно социальная инженерия сегодня является «бичом» информационных систем. Пример: сотруднику поступает звонок от якобы директора филиала компании, который весьма уверенно представляется и исключительно правдоподобно описывает проблему, связанную с невозможностью доставки внутренней почты (временные технические сложности). Он просит переслать ему некоторую информацию (допустим финансовые прогнозы на следующий года) на его личный ящик, в какой-нибудь публичной почтовой службе. Сотрудника даже не подозревает, что звонивший вовсе не является тем, за кого он себя выдаёт. Настолько уверенно звучали его слова. И вот уже через несколько минут на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Определить звонившего человека в такой ситуации достаточно проблематично. Понятно только одно, что он был заинтересован в получении данной информации, преследуя явно корыстные цели. Так же понятно, что сотрудник действовал только из благих побуждений, однако вред от его действий как и от действий халатных инсайдеров может быть не меньше чем от промышленного шпионажа. Так как данный вид нарушителей относиться к лояльной части сотрудников, при возникновении проблем с копированием и передачей закрытой информации они обращаются к коллегам, руководству, техническому персоналу, который в свою очередь укажут им он неправомерности планируемых действий.
Злонамеренные Нарушители
Данная группа нарушителей, в отличие от описанных выше, чётко осознают, что их действия наносят ущерб компании. Их можно разделить на четыре типа, опираясь на мотивы их враждебных действий и прогноз их поведения, это обиженные, «нелояльные», «подрабатывающие» и «внедренные».
Обиженные инсайдеры
Обиженные нарушители - сотрудники, стремящиеся нанести урон компании, преследуя свои личные мотивы. Как правило, данными нарушителями движет обида, возникшая из-за недостаточной оценки их роли и компании, отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, телефон), низкая зарплата, маленькая должность, отсутствие элементов моральной мотивации. Его существенным отличаем от всех других видов инсайдеров являются два фактора его поведения: сотрудник не собирается покидать компанию; он стремится нанести вред, а не украсть информацию. Он стремится всячески скрыть свою причастность к утечке информации. Если же по какой-либо причине ему не удаётся похитить информацию, он может направить весь свой потенциал на уничтожение или фальсификацию информации, к которой у него есть доступ. Обиженный инсайдер сам определяет ценность информации и тяжесть урона нанесённого её утечкой. Он сам определяет, какую информацию и кому передать. Как правило, он передаёт информацию в прессу, для придания огласки или же теневым структурам для дальнейшего шантажа. Пример: сотрудник предприятия по утилизации токсических отходов передаёт в прессу информацию о нелегальном захоронении отходов на территории заповедника.
Нелояльные инсайдеры
Нелояльные инсайдеры – сотрудники, планирующие в ближайшее время сменить нынешнее место работы. Именно эти сотрудники попадают под подозрения в первую очередь, если речь заходит о внутренних угрозах. Как показала практика, семь из десяти сотрудников при увольнении забирают с собой часть доступной им информации, будь то база клиентов или же финансовая база. Так же достаточно распространено хищение интеллектуальной собственности в высокотехнологических компаниях. В основном это стажёры из развивающихся стран или же временные сотрудники. Их угрозы носят не направленный характер, так как они часто даже и подозревают о ценности информации и не представляют себе, как и где они смогут её применить. Чаще всего доступ к закрытой информации нарушители получают, имитируя производственную необходимость, что в свою очередь может привести к их разоблачению. После осуществления кражи информации они не стремятся скрыть данный факт. В некоторых случаях данная информация является залогом комфортного увольнения с полагающейся компенсацией и рекомендательными письмами.
Данный вид инсайдеров не так опасен. Они определяют объект похищения, уничтожения или же искажения, сами ищут покупателя. Нет гарантии, что переданная в прессу информация будет напечатана, что на украденные чертежи найдётся покупатель. Всё это не может привести к существенному ущербу для компании. Если данный данному типу нарушителей не удастся похитить информацию, он не будут искать техническую возможность обойти защиту, так как в большинстве случаев, они не владеют необходимым для этого уровнем технической подготовкой.
Нелояльные, как и обиженные инсайдеры могут легко превратиться в мотивированных извне. Данная метаморфоза происходит, если они находят потенциального клиента на конкретную информацию, это может быть пресса, конкуренты или же криминальные структуры.
Подрабатывающие и внедренные инсайдеры
Подрабатывающие и внедренные внутренние нарушители — самый расчетливый и неуловимый тип инсайдеров. В данную категорию входят сотрудники, которые уже получили заказ на кражу определённой информации. Все эти два вида инсайдеров стремятся как можно тише и незаметней осуществлять свои противоправные действия, но мотивация их все-таки отличается.
Подрабатывающий тип включает в себя довольно большой спектр работников компании, вступивших на путь инсайдерства по различным причинам. К данной категории относятся люди, решивших дополнительно заработать пару тысяч, которых им не хватает для покупки квартире, машины и т.д.
Бывают случаи, когда человек становится инсайдером не по своей воле в результате шантажа, вымогательства. Данные действия не оставляют им выбора и они вынуждены выполнять приказы третьих сторон. Всё это может побудить подрабатывающего инсайдера к различным действиям в случае возникновения проблемы при реализации поставленной задачи. Они могут имитировать служебную необходимость, могут вообще прекратить попытки, а могут пойти и на подкуп других сотрудников для получения нужной информации. Выбор его действий напрямую зависит от условий, в которых он находится.
Внедрённые инсайдеры - к данному типу нарушителей относятся сотрудники, устраивающиеся на работу только с получения доступа к конкретной информации для дальнейшего похищения, удаления или же искажения. Пример: системному администратору крупной компании поступает очень выгодное предложение о переходе на другую работу. Ему предлагают, более высокую зарплату, гибкий график работы, медицинскую страховку, покрывающую все виды лечения. Администратор, не задумываясь, пишет заявление об увольнении. В это время в службу по работе с персоналом данной компании поступает превосходное резюме аналогичного специалиста с рекомендательными письмами и высокой квалификацией. Разумеется, в данной ситуации компания принимает его на работу. В результате пока старый администратор сдает дела, новый уже получает доступ к конфиденциальной информации и передаёт ее заказчику. После этого агентство, предложившее новую работу администратору, и новый специалист просто испаряются, компания остается без корпоративных секретов, а системный администратор без работы. Основная опасность данного вида нарушителей заключается в том, что в случае технических ограничении на вынос информации за пределы корпоративной информационной сети «работодатели» могут обеспечить его соответствующими программными или техническими средствами для взлома защиты. Данный нарушитель пойдет на всё, для получения необходимой информации. Помимо его профессионального опыта он вооружён изощренными средствами взлома и похищения информации.
Итоги
В данной классификации пропущены более мелкие классы инсайдеров, а также те внутренние нарушители, которые не пользуются корпоративной информационной системой. Данных нарушителей можно отнести к классу экономических преступников — сотрудников компании, похищающих конфиденциальную корпоративную информацию для получения выгоды, так как она к примеру, может отразиться на стоимости акций. Основная проблема заключается в том, что практически невозможно пресечь утечку данной информации техническими и организационными мерами, так как её количество очень невелико, и оно даже может не существовать в электронном виде. К примеру, дату слияния и названия компаний можно просто запомнить, и не прибегать к помощи всякого рода носителей информации. В отличие от проверяющих органов, клиентам инсайдеров, как правило, не требуется подтверждение информации в электронном виде. Во избежание подобного рода утечек на законодательном уровне действует запрет на использование инсайдерской информации при торговле ценными бумагами. Всё это послужило основанием исключить из списка инсайдеров данную классификацию нарушителей.
Необходимо понимать, что чем крупнее и солиднее компания, тем более ухищрённей будут атаки с использованием инсайдеров. В отличие от крупных корпораций, средний и малый бизнес не так сильно подвержены атакам инсайдеров, он легко может оправиться даже после очень серьезного инцидента, будь-то хищение очередного ноу-хау или годового финансового отчета. Крупные организации, в особенности, выставляющие свои активы на фондовых биржах, могут рассыпаться как колосс на глиняных ногах. Примером тому могут служить корпоративные скандалы с участием инсайдеров: банкротство британских корпораций Polly Peck и Bank of Credit and Commerce International и американских гигантов Enron, HeathSouth, Adelphia, Tyco, WorldComm, Quest Communications, CardSystems Solutions и Global Crossing, мошенничество с пенсионным фондом фирмы Maxwell Communications. Все эти инциденты привели к потере миллионов долларов. Основной причинной послужил- недостаточный контроль сотрудников, в частности его руководством. Интеграция бизнес процессов с информационными технологиями прямо пропорционально уровню инсайдерских угроз
Согласно второго ежегодного исследования в области внутренней информационной безопасности, проводимого аналитическим центром компании Perimetrix, было выявлено, что ситуация с внутренней безопасностью в компаниях, по-прежнему, остается весьма плачевной. Организации практически всех отраслей и размеров продолжают допускать утечки и только 5% заявили об отсутствии каких-либо инцидентов в течение последнего года. Однако прослеживаются и положительные сдвиги. Гораздо большее количество специалистов стали осознавать собственную незащищенность и уязвимость своей компании перед действиями инсайдеров.
Уровень проникновения систем защиты от внутренних угроз вырос, хотя и не слишком значительно, возможно сказалось влияние мирового кризиса. Но большинство компаний до сих пор пытаются бороться с утечками исключительно с помощью административных мер, не решаясь на внедрение технических системы защиты. Однако не слишком значительный рост рынка отчасти объясняется ограниченным предложением и низким качеством доступных заказчикам продуктов.
Так же одним из негативных фактором, повышающих опасность внутренних угроз является слишком слабая ответственность нарушителей – халатные инсайдеры, как правило, наказываются строгим выговором, а злонамеренные – увольнением из компании без негативных записей в трудовой книжке. Нарушителям внутренней безопасности редко грозят серьезные санкции, такие как судебное преследование или материальные взыскания.
Узбекистан , государство с большим потенциалом и динамично развивающимися информационными технологиями. Хоть уровень внутренних угроз у нас не так велик, но уже сейчас надо задумываться о предотвращении инсайдерских атак. В нашем государстве есть всё необходимое для развития такой отрасли как внутренняя безопасность информационных систем. Уже сейчас следует на законодательном уровне прописать чёткий свод законов регламентирующих правила внутренней безопасности и уровень ответственности за их нарушение. Так же следует развивать и производство программно технических средств борьбы с внутренними нарушителями.
В данной статье использованы материалы:
1.Руководство по защите от внутренних угроз информационной безопасности. — Скиба В. Ю., Курбатов В. А. Питер, 2008.
2.Инсайдерские угрозы в России 2009 http://www.securitylab.ru/analytics/368176.php#_Toc221433879
3.«Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные
его учениками.» Федотов Н.Н. - http://forensics.ru/InFuWo_1.htm#_ftnref1
Источник:
infoCOM.UZ http://infocom.uz/2009