В конце июня американский исследовательский центр ITRC (Identity Theft Resource Center) опубликовал сведения об утечках информации за первую половину нынешнего года. По данным ITRC, за этот период на территории США случились 336 публичных утечек информации, а общее количество пострадавших достигло отметки 17 млн человек.
Частота, с которой происходят утечки информации, растет невероятно быстро: только за последние три годаона увеличилась практически в четыре раза (рис. 1). С каждым годом утечки информации становятся все более значимой проблемой безопасности, а борьба с ними - idee fixe специалистов в этой области. Однако, чтобы эффективно справляться с утечками, необходимо прежде всего знать, каким образом они происходят и какие инструменты существуют для борьбы с ними.
Рис. 1. Количество публичных утечек информации,
зафиксированных на территории США
(источник: ITRC, Perimetrix, 2008)
В качестве исходных данных для изучения проблемы был выбран отчет компании Perimetrix, опубликованный по итогам I квартала нынешнего года. В рамках подготовки отчета специалисты Perimetrix собрали и проанализировали информацию о сотне различных инцидентов, которые произошли в разных уголках земного шара. Полученной статистике вполне можно доверять, поскольку все рассмотренные инциденты имели место в реальных организациях.
На рис. 2 представлено распределение утечек по основным типам их причин. Легко заметить, что на четыре основных типа утечек пришлось подавляющее большинство (84%) инцидентов, причем почти половина этой доли (40%) приходится на самую популярную угрозу - кражу носителя. В этой статье мы постараемся рассмотреть специфику каждой из обозначенных угроз, а также дать рекомендации по снижению их опасности.
Рис. 2. Распределение утечек по основным типам угроз
(источник: Perimetrix, 2008)
Кража носителя наиболее распространенный тип инцидентов, которые происходят в результате кражи или потери различных цифровых носителей конфиденциальной информации. Большинство таких утечек случается из-за кражи ноутбуков, однако возможны и другие варианты (рис. 3). «В нашей практике встречались инциденты, причиной которых являлась кража флэшек, резервных магнитных лент, жестких дисков и даже устаревших дискет», - рассказывает директор по развитию компании Perimetrix Алексей Доля.
Рис. 3. Часто пропадающие носители информации
(источник: Perimetrix, 2008)
С точки зрения безопасности не важно, какой именно носитель похищен. Конечно, прочитать данные с ленты сложнее, чем вставить флэшку в USB-порт, однако злоумышленник, скорее всего, сможет решить эту проблему - было бы желание. Ущерб от утечки мало зависит от типа используемого носителя, однако защищать требуется каждый из них.
Сегодня существует несколько способов минимизировать риски подобных утечек. Самый элементарный из них - ограничение использования мобильных носителей - неэффективен с точки зрения бизнеса. К тому же он не позволяет избежать утечек, связанных с кражами офисного оборудования.
Второй способ предполагает контроль движения конфиденциальной информации и тоже не защищает от «офисных» утечек. Полноценную защиту дает лишь обязательное шифрование всех секретных сведений, причем не только на мобильных носителях, но и в местах стационарного хранения. Отдельно подчеркнем, что все остальные способы защиты (например, разнообразные пароли и биометрия) без шифрования малоэффективны.
По данным Perimetrix, большинство носителей пропадают из офисных помещений, а не из домов тех или иных сотрудников (рис. 4). Таким образом, организациям имеет смысл усилить физическую безопасность офисов, не забывая при этом о шифровании информации.
Рис. 4. Место пропажи оборудования
(источник: Perimetrix, 2008)
Обилие утечек из офисов еще раз показывает, что шифровать надо не только ноутбуки и прочие мобильные устройства, но и другие стационарные носители конфиденциальной информации. Конечно, незаметно украсть лэптоп значительно проще, чем вынести какой-нибудь сервер, однако такой риск тоже вероятен.
Почти треть (29%) зарегистрированных инцидентов связана с утечками на транспорте: кражами из грузовиков, угоном автомобилей с ноутбуками и другими подобными случаями. Эксперты Perimetrix отмечают, что «транспортные» утечки специфичны - в большинстве случаев услуги по перевозке накопителей осуществляют сторонние организации, которые крайне трудно проконтролировать. Впрочем, то же самое шифрование позволяет минимизировать риски и «транспортных» утечек.
В эту обширную группу инцидентов попадают все утечки, которые произошли вследствие внешнего вторжения. Для вторжения может использоваться любая технология атаки, будь то установка вредоносного ПО, взлом уязвимостей, SQL-инъекции и т.д. Главное отличие хакерской атаки от всех остальных типов - она происходит с участием внешних лиц, которые предпринимают какие-то активные действия. Отметим, что доступ к конфиденциальным сведениям совсем не обязательно является основной целью атаки. Но если он был каким-то образом получен - значит утечка произошла.
Наверное, полностью защититься от хакерской угрозы сегодня не может ни одна организация. Мы рассматриваем данный термин в самом широком смысле, а значит, единого средства защиты не существует в принципе.
В целом доля «внешних», или «хакерских», утечек оказалась меньше, чем ожидалось изначально. Большинство компаний, разрабатывающих решения по безопасности, постоянно говорят о том, что хакеры становятся все более профессиональными и стремятся получить доступ к информации, а не отформатировать жесткий диск пользователя. По мнению аналитиков Perimetrix, эта угроза несколько преувеличена, хотя она, безусловно, имеет место быть. Возможно, не слишком высокая доля хакерских вторжений отчасти объясняется еще и тем, что сами вторжения стали незаметнее.
Справедливости ради отметим, что наиболее масштабные инциденты (например, знаменитая утечка TJX) зачастую происходят именно вследствие внешних вторжений. Однако утечки миллионного масштаба происходят редко и делать какие-либо выводы из единичных случаев неверно.
К данной категории относятся инциденты, причиной которых стали действия сотрудников, имевших легальный доступ к конфиденциальной информации. Все зарегистрированные инсайдерские инциденты разделились на две примерно равные части:
Отличным примером инсайдера первого типа является бывший сотрудник Societe Generale Жером Кервьель, имя которого не сходит с заголовков газет вот уже несколько месяцев подряд. Напомним, что 31-летний трейдер разорил банк на 5 млрд евро, торгуя фьючерсами на европейские фондовые индексы. Даже далекому от банковской сферы человеку очевидно, что у рядового трейдера не могло быть прав на открытие биржевых позиций объемом в 50 млрд евро, однако Кервьель умудрился это сделать.
Вскоре после освобождения из тюрьмы
Жером Кервьель устроился на работу
в компанию LCA, которая специализируется
на… информационной безопасности
39-летний Дуайт МакФерсон
работал агентом пресвитерианского
госпиталя в Бруклине (Нью-Йорк).
Инсайдер занимался торговлей персональной
информацией с 2006 года, и на его компьютере
было найдено 50 тыс. секретных записей.
За один номер социального страхования
МакФерсон просил всего 75 центов
Впрочем, наибольшую опасность несут инсайдеры второго типа, имеющие легальный доступ к конфиденциальным сведениям. Несмотря на отсутствие точных данных, аналитики Perimetrix убеждены, что большая часть инцидентов такого рода остается за пределами общественного внимания. Более того, о таких инсайдерах часто не знают даже их собственные работодатели.
В данную категорию попадают все утечки, связанные с публикацией конфиденциальных сведений в общедоступных местах. В большинстве случаев таким местом является Глобальная сеть (отсюда название - веб-утечка), однако встречаются и аналогичные утечки в интранете. Бывают и весьма экзотические вариации на ту же тему - например ошибочная рассылка паролей для доступа партнерам.
Подавляющее большинство веб-утечек происходит из-за ошибок или неосведомленности персонала. С неосведомленностью можно бороться путем обучения, однако полностью избежать ошибок не может никто. Задача абсолютной защиты от веб-утечек весьма сложна - она предполагает классификацию всех секретных сведений и контроль их размещения на веб-серверах либо хостах корпоративной сети и требует внедрения специальных систем защиты.
Независимо от конкретного типа веб-утечки ее ключевой характеристикой остается длительность публикации приватных данных в Глобальной или корпоративной сети. Очевидно, что чем дольше хранятся эти данные, тем выше риск их компрометации. На рис. 5 приведено распределение зафиксированных веб-утечек в зависимости от их длительности.
Рис. 5. Длительность веб-утечек
(источник: Perimetrix, 2008)
Результаты анализа показали, что только четверть (23%) веб-утечек обнаруживается в течение месяца или быстрее. А более половины (58%) инцидентов длится более года. С учетом развития поисковых технологий такие результаты вызывают весьма серьезные опасения, поскольку для компрометации сведений в Интернете достаточно нескольких часов.
Огромное количество утечек, которые длятся длительное время, означает, что большинство компаний не проводят регулярный мониторинг информации, хранящейся на их веб-ресурсах. Действительно, если бы подобный мониторинг проводился хотя бы раз в год, утечки обнаруживались бы быстрее. Как правило, веб-утечки всплывают абсолютно случайно, благодаря внимательности рядовых посетителей сайта, сумевших обнаружить приватную информацию.
Типичный случай веб-утечки Рассмотрим веб-утечку, которая произошла в штате Оклахома, а именно - на сайте местного управления исправительных учреждений. Чтобы получить доступ к конфиденциальной информации, посетителю сайта требовалось всего чуть-чуть изменить ссылку, которая представляла собой стандартный SQL-запрос SELECT. http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlString=select distinct o.offender_id,doc_number,o.social_security_number....... http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlString=select distinct o.offender_id,o.social_security_number doc_number...... Таким образом, для получения доступа к информации требовалось поменять всего два поля запроса, одно из которых имело говорящее название o.social_security_number. Отметим, что из комментариев в теле HTML-страницы следует, что данные пролежали в открытом доступе в течение как минимум трех лет. Утечка обнаружилась абсолютно случайно - ее заметил журналист издания The Dailly WTF Алекс Пападимулис (Alex Papadimoulis), который впоследствии написал материал о данном инциденте. |
Данная категория сумела набрать существенную долю в общем объеме инцидентов. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях.
В отличие от всех остальных инцидентов, «бумажные» имеют менее значительные последствия по крайне банальной причине - бумага теоретически не может вместить в себя много конфиденциальной информации. Аналитический центр Perimetrix не зафиксировал ни одной бумажной утечки, в результате которой пострадало бы более 10 тыс. человек. Вместе с тем контролировать подобные инциденты все-таки необходимо, поскольку даже небольшая утечка может иметь серьезные материальные последствия.
Основной способ борьбы с бумажными инцидентами заключается в контроле печатающейся информации - практика показывает, что в большинстве случаев достаточно хранить конфиденциальные сведения в электронном виде. Если же печать необходима - требуется обеспечить безопасность документов во время перевозки или пересылки. Большинство зафиксированных инцидентов произошли именно таким образом: конфиденциальные бумаги попросту терялись в пути.
Первый квартал 2008 года вскрыл еще одну интересную проблему, касающуюся именно бумажных утечек. Ее причиной стал, как ни странно, ипотечный кризис в США, который поставил на грань разорения тысячи различных организаций. Оказалось, что компании-банкроты часто выбрасывают в мусор бумаги, которые в более благополучные времена требовались для ведения бизнеса. Аналитический центр Perimetrix зафиксировал сразу три инцидента такого рода.
Главная трудность здесь заключается в том, что за утечку никто не отвечает, поскольку допустившая ее компания обанкротилась и прекратила свою деятельность. Как бороться с подобной угрозой, до сих пор не слишком понятно.
Оставшиеся 7% утечек имели самые разнообразные и зачастую весьма экзотические причины. В качестве примера можно привести утечку в банке HSBC, которая произошла из-за того, что одно из отделений забыло закрыться на выходные. В данную категорию попадают инциденты, точную причину которых установить не удалось, а также утечки, о которых стало известно постфактум, после использования персональных сведений в незаконных целях.
Утечки бывают очень разными. В данной статье они разделены на пять основных групп в зависимости от причины возникновения. Однако в рамках одной причины может существовать множество различных аспектов. Защититься от всех угроз разом, скорее всего, не получится - эта задача требует непрерывных инвестиций в информационную безопасность и огромного желания со стороны руководства.
Второй концептуальной сложностью защиты является отсутствие единых комплексных систем, которые смогли бы обеспечить защиту для всех возможных вариантов утечки. Большинство решений, которые принадлежат к современному классу DLP, способны обеспечить лишь защиту от инсайда и некоторых типов веб-утечек, причем с довольно низкой вероятностью. Как следствие, заказчикам приходится приобретать дополнительные продукты для шифрования, что весьма неудобно, невыгодно и, прямо скажем, неестественно.
Угрозы информационной безопасности. Классификация угроз
Построение надежной защиты информационной системе организации невозможно без предварительного анализа возможных угроз безопасности системы.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Угрозами информационной безопасности называются потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам информационной системы.
Все угрозы безопасности, направленные против программных и технических средств информационной системы, в конечном итоге оказывают влияние на безопасность информационных ресурсов и приводят к нарушению основных свойств хранимой и обрабатываемой информации.
Угрозы информационной безопасности различают по следующим основным признакам (рис. 5.3)
По характеру возмущающих воздействий на систему угрозы разделяются на случайные или непреднамеренные и умышленные . Источником непреднамеренных угроз могут быть выход из строя аппаратных средств, неправильные действия работников информационной системы или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы следует держать во внимании, так как ущерб от них может быть значительным.
Умышленные угрозы в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды. Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).
По характеру нанесенного ущерба умышленные угрозы подразделяют на пассивные и активные .
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.
По области возникновения умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние .
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями).
По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
По способу реализации можно выделить классы угроз безопасности, направленных против информационных ресурсов:
Угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы , либо посредством некорректного использования системного и прикладного программного обеспечения;
Угрозы, связанные с выходом из строя технических средств системы , приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе;
Угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников;
Угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.
Рис.5.3. Классификация угроз информации
Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:
Разглашения конфиденциальной информации;
Ухода информации по различным, главным образом техническим, каналам;
Несанкционированного доступа к конфиденциальной информации различными способами.
Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.
Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.
Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.
Наиболее распространенными путями несанкционированного доступа к информации являются:
Перехват электронных излучений;
Применение подслушивающих устройств (закладок);
Дистанционное фотографирование;
Перехват акустических излучений и восстановление текста
принтера;
Чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
Копирование носителей информации с преодолением мер защиты;
Маскировка под зарегистрированного пользователя;
Маскировка под запросы системы;
Использование программных ловушек;
Использование недостатков языков программирования и операционных систем;
Незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
Злоумышленный вывод из строя механизмов защиты;
Расшифровка специальными программами зашифрованной информации;
Информационные инфекции.
Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений.
Однако есть и достаточно примитивные пути несанкционированного доступа:
Хищение носителей информации и документальных отходов;
Инициативное сотрудничество;
Склонение к сотрудничеству со стороны взломщика;
Выпытывание;
Подслушивание;
Наблюдение и другие пути.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.
Довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников.
Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:
Недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;
Использование неаттестованных технических средств обработки конфиденциальной информации;
Слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
Текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;
Организационные недоработки, в результате которых виновниками утечки информации являются сотрудники.
Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых - порча информации в базах данных и программном обеспечении компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.
Не секрет, что сегодня информация играет гораздо большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Чем чреваты сегодня утечки конфиденциальной информации для тех, кто их допускает?
Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.
Обеспокоенность внутренними угрозами информационной безопасности обоснованна. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.
Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:
Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.
В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.
Нельзя сказать, что проблема утечек информации появилась совсем недавно — такие вещи, как промышленный шпионаж, переманивание ценных специалистов вместе с их наработками и знаниями и другие подобные действия известны уже достаточно давно. В информационную эпоху возросла их актуальность и значимость, поскольку сегодняшние приемы обработки и хранения информации открывают поистине безграничные возможности для того, кто хочет эту информацию незаконно получить. Ведь если раньше нужно было выносить в буквальном смысле целые шкафы бумажных документов, то сегодня все это можно передать по электронной почте или записать на помещающуюся в карман небольшую флэшку. И объемы информации, которую сегодня можно запросто «слить», только увеличивают значимость угрозы утечек конфиденциальных данных.
Для того чтобы говорить предметно о возможных последствиях утечек информации, нужно, в первую очередь, посмотреть на то, какая информация может вообще «утекать» из компании. Сегодня, как показывает практика, сотрудники как случайно, так и целенаправленно передают за пределы родной организации чаще всего следующие сведения:
Как видите, интересы инсайдеров — сотрудников, незаконно распространяющих закрытую информацию, к которой они имеют доступ, —; достаточно широки. Во многом то, какая информация интересует конкретного инсайдера, зависит от того, для чего он в будущем собирается эту информацию применить. То есть, к примеру, как правило, инсайдеры, «купленные» конкурентами, больше интересуются бизнес-планами, клиентами и ноу-хау, в то время как сотрудники, желающие отомстить начальству, которое, по их мнению, несправедливо с ними обошлось, более склонны обнародовать документы, которые могут характеризовать в неприглядном свете это начальство или саму компанию (например, жалобы клиентов, записи с совещаний, написанные с ошибками письма в адрес сотрудников и пр.).
Каким именно образом страдает компания от утечек информации в финансовом аспекте, и всякая ли утечка несет за собой денежные последствия? Само собой, утечки информации, в результате которых, например, конкуренты получают доступ к новейшим разработкам компании, несут очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на R&D (Research & Development), оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства.
На первый взгляд может показаться, что некоторые утечки вполне безвредны, например, те же утечки персональных данных. Но, как показывает практика, именно они становятся наиболее частой причиной убытков компаний из-за утечек информации. Убытки компания получает вследствие судебных исков, предъявляемых пострадавшими из-за утечек физическими лицами, чьи персональные данные подверглись компрометации, а также от штрафов регулирующих органов, занимающихся защитой персональных данных на государственном уровне. В России пока что проблема штрафов не так актуальна, как в западных странах, где даже крупнейшие компании становятся героями новостей о штрафах за утечку персональных данных клиентов или сотрудников. Но уже всего через полгода ситуация в России должна радикально измениться в связи со вступлением в полную силу закона «О персональных данных».
Аналогичным образом приводят к убыткам и утечки внутренних данных, например, тех же служебных записок и презентаций. К прямым убыткам в виде штрафов или компенсаций они, конечно, не ведут, но могут серьезно навредить репутации компании, допустившей подобные утечки. А испорченная репутация автоматически означает упущенную выгоду, поскольку ряд потенциальных клиентов или партнеров могут изменить свои предпочтения в выборе между несколькими конкурирующими компаниями, и причиной подобных изменений может служить как информация, ставшая публичной в результате утечки, так и сам факт подобной утечки конфиденциальных данных.
Таким образом, можно говорить о том, что любая утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, говорящие о том, что безобидных утечек данных не бывает — любая из них несет в себе ущерб для бизнеса, если не сейчас, то в будущем. «Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня, считает Лев Матвеев, генеральный директор компании SearchInform — Бывает, что проходит несколько месяцев, или даже несколько лет, прежде чем информация сделает свое черное дело, попавшись, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные. Информация, не предназначенная для публики, должна оставаться закрытой. А значит ее следует защитить от возможных утечек».
Каким образом можно оценить возможный ущерб от утечки конфиденциальных данных? Для начала необходимо свериться со списком возможных источников ущерба:
Каждая утечка информации «ставит галочку» напротив как минимум одного из перечисленных выше пунктов, наиболее серьезные же утечки способны «преподнести» компании весь этот список. Соответственно, общая сумма ущерба от каждой конкретной утечки информации складывается из «цены» каждого источника ущерба.
Конечно, не для всех перечисленных пунктов подсчитать возможную стоимость ущерба достаточно просто. Если, к примеру, штрафы со стороны регуляторов или стоимость технологических разработок подсчитать не так уж сложно, то предсказать, как поведет себя рынок ценных бумаг в ответ на обнародованные инсайдерами документы, или сколько клиентов отвернутся от компании в результате ухудшившейся репутации, практически невозможно. Поэтому в своих оценках лучше не придерживаться оптимистической позиции «все обойдется», а закладывать в «бюджет» утечки максимально возможную сумму ущерба. К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.
Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов российских рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов – такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноубтуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.
Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.
Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, — то в 56 165 долларов.
Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.
Это свидетельствует о высоком уровне риска для корпоративных сетей, потому что доступ к сайтам для взрослых, поиск работы на подозрительных ресурсах и другие виды нецелевого использования рабочих ноутбуков могут привести к серьезным утечкам информации, а иногда и к проникновению вредоносного ПО в сеть организации.
Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации (например, DLP-систем — от английского Data Leak Prevention, предотвращение утечек данных). Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы. Как показывает практика, для подавляющего большинства компаний внедрение DLP-системы действительно целесообразно.
Кроме этого, при заключении контракта между руководителем предпринимательской фирмы и сотрудником необходимо вносить обязательства последнего по неразглашению коммерческой тайны . Наличие подобного документа позволяет предпринимателю - собственнику фирмы применять различные санкции к работникам, виновным в утечке конфиденциальной информации. Важнейшим направлением защиты коммерческой тайны предприятия является стабильность кадрового состава. Если состав квалифицированных специалистов меняется из-за высокой текучести, бесценные разработки фирмы могут становиться бесплатным достоянием конкурентов.
Утечка конфиденциальной информации
БЕЗОПАСНОСТЬ - создаваемые системой условия, гарантирующие предотвращение утечки конфиденциальной информации, сохранение экосистемы и здоровья человека, предотвращающие нарушение тайны, осуществление диверсий. В качестве объектов безопасности могут быть страна, регион, экосистема, фирма, человек и др. По направлениям безопасность может быть военная, экологическая, экономическая, информационная, техническая и др.
Утечка конфиденциальной информации может происходить либо по вине сотрудников предприятия, либо в результате промышленного шпионажа , предпринятого конкурентами. Несовершенство маркетинговой политики также является причиной риска усиления уровня конкуренции, в большей степени к негативным последствиям для предприятия приводят ошибки, допущенные при выборе рынков сбыта, а также неполная или неверная информация о конкурентах предприятия.
Предпринимателям необходимо помнить, что одними из важных каналов утечки конфиденциальной информации являются страховая
Источники и каналы утечки конфиденциальной информации
Очевидно, что в результате утечки конфиденциальной информации может быть причинен значительный экономический ущерб. Понятно также, что ограничение доступа к соответствующей информации является непременным условием нормального функционирования коммерческой организации . Вместе с тем доступ к определенным сведениям, охраняемым предприятием, является условием нормального функционирования целого ряда государственных органов и учреждений, осуществляющих управленческие, правоохранительные и контрольные функции.
По различным данным, США около 90% неудач малых организаций связано с неопытностью руководства, их служебной некомпетентностью и служебным несоответствием. На степень риска очень велико влияние таких факторов, как отсутствие профессионального опыта, например, в области налогообложения, слабые знания конкурентной борьбы и общечеловеческих взаимоотношений при ведении совместного бизнеса, отвратительная организация труда и прежде всего в планировании рабочего времени и досуга, утечка конфиденциальной информации по вине работников организации и т.д.
Информацию о фактах и признаках преступлений, злоупотреблениях служебным положением работников ОАО ЦУП Стройнефть и других предприятий системы Транснефть при проведении подрядных торгов , утечке конфиденциальной информации (в форме письма или служебной записки на имя директора Департамента Служба безопасности) - в течение 2-х рабочих дней после получения такой информации.
Отметим, однако, что указанные пункты Временных правил и соответствующие - Законопроекта (ст. 19 Ответственность индивидуальных аудиторов, аудиторских организаций и аудируемых лиц) чреваты существенным возрастанием риска утечки конфиденциальной информации предпринимателей. Действительно, круг экономических субъектов (аудируемых лиц), подлежащих принудительным аудиторским проверкам , при желании может быть расширен до максимума и включать всех, в том числе и бизнесменов-частников, а также индивидуалов, работающих без образования юридического лица.
Читатель, скорее всего, знает о растущей популярности таких терминов, как шпионаж, утечка конфиденциальной информации, раннее предупреждение, электронное наблюдение, контрразведка, сделки с хорошо осведомленными служащими и т. д. Популяризация шпионского лексикона хоть и напоминает о беспокойстве и двойственности нашего времени, придает некоторую степень доверия мнению,
Субъекты, совершившие несанкционированный доступ к информации, называются нарушителями. С точки зрения зашиты информации несанкционированный доступ может иметь следующие последствия утечка обрабатываемой конфиденциальной информации , а также ее искажение или разрушение в результате умышленного нарушения работоспособности АИТ.
В общем плане факт получения охраняемых сведений злоумышленниками называют утечкой, тем самым вольно или невольно отрывая его от конкретного и давая данному явлению чисто нейтральную трактовку, когда фиксируется лишь сам факт утечки, а ее виновник, равно как условия и действия, приведшие к ней, как бы отсутствуют. Одновременно с этим понятием в значительной части законодательных актов и официальных материалах применяются такие термины, как разглашение и несанкционированный доступ к конфиденциальной информации.
При подготовке и реализации актов купли-продажи , выполнения работ , оказания услуг и прочих сделок стороны могут передавать друг другу сведения, составляющие коммерческую тайну , сопровождая данную процедуру оговоркой о конфиденциальности или составлением и заключением отдельного договора о защите конфиденциальной информации . В последнем случае в предмете договора раскрывающая сторона должна определить содержание передаваемой информации, являющейся секретом компании, а получающая - указать цель получения такой информации и правовые основания передачи (договор купли-продажи , договор подряда , договор простого товарищества и др.). Получающая сторона берет на себя обязательство не разглашать полученную информацию третьим лицам и соблюдать достаточную степень секретности , позволяющую избежать утечки информации по различным каналам. Стороны могут предусмотреть особые условия, при которых сведения не будут являться коммерческой тайной , скажем, в случае, если полученная информация уже известна получающей стороне, раскрыта по требованию уполномоченного государственного органа и т.д. Сам факт заключения договора между сторонами не разглашается.
Безопасность - создаваемые системой условия, гарантирующие предотвращение утечки конфиденциальной информации, нарушения тайны, осуществления диверсий, сохранение экосистемы и здоровья человека. В качестве объектов безопасности могут быть страна, регион, экосистема, организация, человек и др. По направлени-
С егодня большинство предприятий используют многоуровневые системы обработки информации - компьютеры, облачные хранилища, корпоративные сети и т. д. Все эти системы не только передают данные, но и являются средой их возможной утечки. Утечка секретной информации - это процесс неконтролируемого разглашения ключевых для фирмы данных.
Коммерческая тайна - это информация об организации деятельности предприятия, технологии разработки продукции, данные о денежных потоках, интеллектуальная собственность и другие сведения, владея которыми фирма получает финансовую выгоду.
Каждый сотрудник предприятия является потенциальной угрозой для безопасности информации. Часто люди забирают работу домой - перемещают рабочие файлы на свои флеш-носители, передают их по незащищенным каналам соединения, обсуждают информацию с сотрудниками конкурирующих компаний.
Действия персонала бывают умышленными и непреднамеренными. Непреднамеренные действия - это следствие незнания регламента работы с коммерческой информацией.
Риск утечки информации от персонала есть всегда, и его нельзя исключить полностью. Служба безопасности может принять меры, которые ограничат взаимодействие работников с конфиденциальной информацией:
Исследование уровня ИБ в российских и зарубежных компаниях, которое «СёрчИнформ» проводила в 2018 году, показало: в 74% ИБ-инцидентов виноваты рядовые сотрудники. .
Вопросами контроля работы персонала с секретными материалами должен заниматься уполномоченный сотрудник или отдел безопасности. Их задача - следить за деятельностью работников на протяжении всего рабочего дня и оперативно выявлять все случаи утечки информации.
На практике обнаружить человека, сливающего коммерческую тайну, можно по таким признакам:
На такого работника нужно обратить внимание и проследить, не является ли его целью разузнать тайные сведения. Контролировать время пребывания персонала на рабочем месте помогают специальные системы учета доступа. Начинать расследование нужно лишь в том случае, если стали известны конкретные факты утечки защищаемой информации.
Такой вариант утечки можно отследить в компаниях, которые используют системы защиты файловой системы. Суть их работы заключается в создании общего сервера, который действует в рамках одной корпоративной или Wi-Fi-сети. Во время каждого открытия, копирования и перемещения данных на служебном ПК вся информация о процессах поступает на сервер. Таким образом, администратор безопасности может выявить, с какого ПК и в каком количестве была перемещена секретная информация.
Согласно нормам документирования, все физические папки и файлы с коммерческой тайной должны храниться в защищаемой части архива. Доступ к документам возможен только для уполномоченных работников. Все данные о получении документа с тайной на руки должны документироваться (с указанием имени работника и точного времени выдачи документа).
Если же секретный документ попал в руки недобросовестного сотрудника, отследить его несанкционированное копирование можно на сканере или ксероксе, который хранит отчет о последних действиях. Также существуют факсимильные аппараты, доступ к которым возможен только после правильного введения пары «идентификатор пользователя-пароль».
Если персонал регулярно пытается обойти систему запрета, просматривая запрещенные ресурсы, или использует личную технику для обработки секретных данных, необходимо внедрить дополнительные системы контроля пользователей. К примеру, DLP-системы. Их задача заключается в мониторинге всех переписок пользователей с коммерческой почты и других электронных ящиков, которые зарегистрированы в системе. Также модуль защиты запрещает установку стороннего ПО, а все действия сотрудника за компьютером видны администратору безопасности.
В больших компаниях работники часто общаются вне рабочего времени. Таким образом, они получают больше информации друг о друге и могут узнать о связях коллеги и работника конкурирующей организации. Вероятность обычных дружеских отношений между людьми тоже возможна, но лучше оповестить руководство компании об этом во избежание ненужных подозрений.
Частая смена персонала, масштабные изменения в организации работы компании, понижение заработных плат, сокращения сотрудников - все это является частью «текучки» кадров. Такое явление часто становится причиной утечки секретной информации.
Кризис, нехватка средств для выдачи зарплат заставляют руководство ухудшать условия работы персонала. В результате повышается недовольство работников, которые могут уйти или же просто начать распространять секретные данные конкурентам. Проблема смены персонала особенно важна для руководящих должностей, ведь все управляющие должны иметь доступ к секретной документации.
Угрозу распространения тайны могут нести не только уже ушедшие сотрудники, но и текущие работники, уровень мотивации которых понижен.
Для предотвращения проблемы следует создать для работников максимально комфортные условия работы. В случае серьезного кризиса рекомендуется собрать персонал для обсуждения возможных путей выхода из сложной ситуации. Важно уведомлять сотрудников обо всех изменениях в начислении заработных плат заранее, а не по факту выплаты оклада.
Порой неблагоприятную атмосферу в коллективе создает один сотрудник. анализирует переписку работников в электронной почте и мессенджерах и составляет их психологические портреты. Система определяет положительные и отрицательные стороны характера человека, что позволяет принимать верные управленческие решения.
Для устранения «текучки» важно выполнять следующие рекомендации:
Рабочий процесс фирмы подразумевает деловые встречи, поездки в другие филиалы компании, страны. Сотрудники, которые часто уезжают в командировки, могут непреднамеренно стать основной причиной утечки секретной информации предприятия.
В поездке такой работник всегда имеет при себе личный или корпоративный ноутбук/смартфон, который обрабатывает защищаемые документы. Техника может быть оставлена в общественном месте, сломана или украдена. Если за сотрудником ведется слежка или же он встречается с руководителями конкурирующей компании, утерянный ноутбук может стать главным источником разглашения служебной информации.
Для предотвращения подобных случаев важно использовать системы шифрования жесткого диска тех ПК, которые выдаются сотрудникам на время деловых встреч. Даже в результате кражи и несанкционированного доступа информация будет надежно защищена, и взломать ее без знания ключа будет невозможно.
Большинство автоматизированных систем защиты способны ограничить доступ к служебной информации только в рамках одного здания или одного предприятия (если несколько филиалов используют общий сервер хранения данных).
В процессе совместного выполнения проекта несколькими фирмами службы безопасности не могут в полной мере проследить за тем, как реализуется доступ к служебной тайне каждого из предприятий.
Как и в предыдущем случае, использование криптоконтейнеров (систем шифрования жесткого диска) позволит защитить тайную информацию от взлома.
Крупные корпорации используют комплексные системы защиты служебных сведений. Автоматизированные системы подразумевают наличие нескольких отделов безопасности и работу более пяти системных администраторов, задача которых заключается только в поддержании сохранности коммерческой тайны.
Сложность системы тоже является риском утечки, ведь одновременная работа нескольких человек бывает недостаточно налаженной. К примеру, один администратор может внедрить или удалить правила разграничения доступа, а другой - забыть внести данные прав доступа к серверам.
При использовании сложных систем защиты информации важно грамотно разделять все обязанности и контролировать их своевременное выполнение. В противном случае созданная система может навредить компании.
В можно разграничить доступ сотрудников службы безопасности к определенным отчетам и операциям в системе. Максимальное число полномочий надежнее доверить руководителю ИБ-службы.
Всевозможные сбои в работе программного обеспечения возникают постоянно. В момент появления уязвимости защищаемые файлы рискуют стать перехваченными хакером. Важно вовремя выявлять все неполадки в работе установленных программных и аппаратных компонентов. За работоспособность и взаимодействие всех модулей защиты ответственен администратор безопасности.
В результате сбоя в базе данных теряется значительное количество важной документации. Восстановление жестких дисков - это сложная задача, которая не дает гарантии возврата утерянных сведений.
Безопаснее хранить всю информацию с использованием облачных вычислений. Cloud-платформы повышают скорость обработки информации. С их помощью каждый сотрудник сможет получить доступ к нужному файлу с любого устройства. Система шифрования используется удаленным сервером, поэтому нет необходимости защищать каналы передачи.
Сбои на серверах поставщика услуг могут случаться из-за природных катаклизмов или из-за массивных хакерских атак. Как правило, владельцы облачных платформ всегда хранят архивированные резервные копии содержимого пользовательских аккаунтов, поэтому сбои быстро устранятся без утери важных документов.
Для сохранности коммерческой тайны рекомендуется защищать не только операционные системы и гаджеты, но и весь периметр офисного помещения, а также зону контроля уличных коммуникаций. Для этих целей используются заглушки на окна, уплотнители архитектурных конструкций (для предотвращения прослушек), устройства для экранирования и зашумления (для невозможности перехвата радиоволн) и прочие гаджеты.
Из-за поломки одного из таких устройств возникает канал утечки информации, который становится доступным злоумышленнику для перехвата секретных данных.
В случае поломки компьютеров и других средств обработки данных, их необходимо отремонтировать в сервисном центре. Вынос гаджета за пределы помещения и передача его постороннему человеку (даже если он не заинтересован в получении служебной тайны) является возможной причиной утечки. Департамент безопасности компании не может контролировать гаджеты, пока они находятся за пределами фирмы.
Канал утечки данных - это физическая среда, внутри которой не контролируется распространение тайной информации. На любом предприятии, которое использует компьютеры, серверные стойки, сети, есть каналы утечки. С их помощью злоумышленник может получить доступ к коммерческой тайне.
Существуют следующие каналы утечки:
Также следует заземлить все коммуникации, которые выходят за пределы помещения и контролируемой зоны (трубы, кабели, линии связи).
Существует несколько действенных способов, которые помогут снизить риск утечки и разглашения информации. Предприятие может использовать все методы защиты или только несколько из них, ведь система безопасности должна быть экономически выгодной. Убытки от потери секретной информации не могут быть меньше стоимости внедрения и поддержки системы безопасности.
Шифрование - это простой и действенный метод защиты коммерческой тайны. Современные алгоритмы шифрования используют мировые стандарты в области криптографии (шифры AES, ГОСТ), двусторонний обмен ключами (с его помощью хакер не сможет взломать шифр даже после получения доступа к каналу передачи), эллиптические кривые для генерации защиты. Такой подход делает взлом шифрованного сообщения невозможным для стандартных компьютеров.
Преимущества использования шифрования в целях предотвращения утечки коммерческой информации:
Отметим, что шифрование не является единственным вариантом защиты тайны от всех возможных атак. Работники способны без проблем прочитать содержимое электронных документов в рамках коммерческой сети, поэтому риск несанкционированного разглашения третьим лицам остается. Использование криптографии является неотъемлемой частью функционала каждой комплексной системы безопасности.
Если технические средства легко контролировать, то персонал является одним из самых опасных источников утечки. Человеческий фактор присутствует всегда, и даже сотрудники отдела безопасности не всегда могут установить, от какого работника может исходить угроза.
Как правило, поиск злоумышленника среди персонала выполняется уже тогда, когда стали известны первые случаи передачи данных конкурентам. Администраторы безопасности проверяют возможность перехвата информации по техническим каналам утечки, и, если все каналы надежно защищены, подозрение падает на работников.
Деятельность сотрудников организации контролируется с помощью систем учета рабочего времени. Это комплексное аппаратное и программное обеспечение, которое документирует точное время прибытия на работу, время ухода, деятельность персонала за компьютером, записывает переписки корпоративной почты, проводит видеонаблюдение и передает все эти данные руководству фирмы или главе отдела безопасности. Далее вся полученная информации анализируется и выявляется число работников, которые могли распространять коммерческую тайну.
Защищать следует не только электронные документы, но и всю печатную документацию, которая содержит секретные сведения. Согласно Закону о хранении и обработке ведомостей, которые содержат коммерческую тайну, следует выполнять такие требования:
.jpg)
