В любой сфере бизнеса не обойтись без секретов. Чего бы ни
касалась секретная информация – технологий производства, доходов компании,
списка её крупнейших клиентов, - в наше время электронных документов следить за
её сохранностью нужно особенно тщательно.
Почему это исключительно важно?
Информация – самый важный из ресурсов современного общества,
вокруг которого крутятся деньги. Благодаря персональным компьютерам работать с информацией стало
очень просто, и так же просто информацию стало передавать и принимать. У этой
всесторонне положительной особенности электронных документов есть и
отрицательные стороны: злоумышленникам намного проще похитить не
предназначенную для чужих глаз информацию. Теперь не нужно красть толстые папки
с документами – достаточно переписать данные на «флэшку», которая легко
поместится в карман. Впрочем, для современного промышленного шпионажа часто
даже нет нужды проникать на территорию конкурентов физически – это можно
сделать виртуально, взломав через интернет корпоративный сервер и скачав с него
без особой спешки всё нужное.
Или обзавестись в компании собственным агентом-инсайдером, который
запросто отправит своим новым хозяевам всю необходимую информацию по
электронной почте.
Потеря секретных документов оборачивается нередко баснословными
убытками, однако, несмотря на это, как коммерческие, так и государственные
организации продолжают пренебрегать вопросами информационной безопасности. Это
характерно не только для России. Года два назад американский «Белый дом» оказался
в центре большого скандала, связанного с утечкой секретных данных через старые
ноутбуки, выставленные на продажу.
Лучше учиться на чужих ошибках, пусть даже и глупых. Впрочем, как
показывает практика, чем глупее ошибка, тем большей прозорливостью надо обладать,
чтобы не наступить от излишней самонадеянности на грабли. А для того, чтобы
обезопасить себя от утечек информации, необходимо иметь представление о том,
какими именно путями информация может быть похищена.
Как утекает информация?
На
самом деле, путей утечки информации из организации существует великое
множество. Самый распространённый – это, увы, обычная халатность и
невнимательность работников, как это случилось с выставленными на продажу «Белым домом» ноутбуками. К сожалению, такие случаи действительно
трудно проконтролировать, однако существуют возможности их предотвратить.
Гораздо хуже обстоят дела с теми, кто ворует информацию целенаправленно.
К слову, ворами вовсе не обязательно должны быть люди – с этой задачей вполне
может справиться и программа. Такие программы называют вредоносными, и бывают
они самыми разными - кейлоггеры, трояны руткиты и т.д.
Впрочем, следует отметить, что как бы много разных вредоносных
программ не находилось на компьютере пользователя, всё равно, бороться с ними на
порядок проще чем с теми сотрудниками, которые желают причинить вред родной
компании. Не так важно, что именно ими движет – желание отомстить за реальные
или мнимые обиды, или же жажда наживы (к сожалению, всегда есть люди,
готовые продаться за тридцать серебренников). Инсайдеры – могут не только красть, но и уничтожать
информацию, что в ряде случаев ничуть не лучше её передачи во вражеские руки. Инсайдеры,
в отличие от вредоносных программ, не ограничены рамками виртуального
пространства, а потому информация, украденная ими, может передаваться не только по электронной почте, ICQ или другим
сетевым протоколам, но и на физических носителях. Инсайдер может использовать
для своих целей «флэшки», корпоративные ноутбуки, компакт-диски. Причём кража
информации с помощью удобных мобильных носителей даже более популярна, чем с
помощью электронной почты. Помимо этого, они
могут элементарно распечатывать электронные документы, после чего уносить их
уже в бумажном виде.
Надо бороться? А как же!
Как вытекает из того, что было сказано выше, борьба с утечками
информации является суровой необходимостью современных условий ведения бизнеса.
В случае, если не уделять никакого внимания утечкам информации, может случиться
так, что несмотря на прекрасный маркетинг и менеджмент компания всё равно
пойдёт ко дну. Каким тогда бороться с утечками информации?
С теми утечками информации, которые происходят из-за имеющегося на
корпоративных компьютерах вредоносного программного обеспечения, бороться
сравнительно просто - антивирусы и брандмауэры. Для обеспечения высокого уровня
безопасности необходимо иметь и антивирус, и брандмауэр, причём и тот и другой
необходимо регулярно обновлять, потому что в противном случае они не смогут
эффективно бороться с самыми новыми версиями вредоносного программного
обеспечения. Любой антивирус лучше, чем его полное отсутствие, как и брандмауэр. Поскольку нередко трояны и руткиты рассылаются в письмах с
рекламой («спам»), то необходимо иметь также и хорошие средства
борьбы со спамом.
А вот что касается защиты от утечки информации, которую организуют
инсайдеры, то здесь всё гораздо сложнее, и установкой антивируса, брандмауэра и
антиспама здесь обойтись не удастся.
Первым шагом в борьбе с инсайдерами должно стать грамотное
разграничение прав доступа к информации среди сотрудников компании. Система
разграничения прав доступа должна быть гибкой и настраиваться таким, например,
образом, чтобы начальники смежных отделов могли изучать почту подчинённых, но
рядовой сотрудник видел лишь свою почту в поисковой выдаче, при поиске
информации. Документы, предназначенные для руководящего состава не должны быть
доступны клеркам, бухгалтерия и вовсе должна быть закрыта для всех, кроме
бухгалтеров. В идеале, сотруднику доступна лишь информация, необходимая для
выполнения рабочих обязанностей. Как говорится в общих положениях стандарта
банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности
организации банковской системы Российской Федерации», «наибольшими
возможностями для нанесения ущерба организации БС РФ обладает ее собственный
персонал. В этом случае содержанием деятельности злоумышленника является
нецелевое использование предоставленного контроля над информационными активами,
а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем
нет, может иметь сообщника(ов) внутри организации».
Следующим этапом является контроль (в разумных, конечно же,
пределах) электронной почты сотрудников. Сотрудники должны в рабочее время и с
рабочих компьютеров использовать только корпоративный сервер электронной почты,
в идеале использование личных почтовых ящиках на бесплатных серверах (Mail.ru,
Yahoo.com, Yandex.ru и т.д.) должно быть заблокировано из соображений информационной
безопасности. Необходимым условием эффективной борьбы с утечками информации
является создание архива электронной корреспонденции организации, который
должен храниться определённый промежуток времени и быть доступен даже в том
случае, когда сам пользователь уже удалил свои письма. Такой архив, среди всего
прочего, позволит оценить добросовестность выполнения работником своих
служебных обязанностей и использоваться в качестве резервной копии всей
корреспонденции, находящейся на корпоративном почтовом сервере. Ограничивать
доступ к архиву почты, само собой, тоже необходимо. Пункт 8.2.6.4 общего
стандарта Банка России гласит: «Электронная почта должна архивироваться.
Архив должен быть доступен только подразделению (лицу) в организации,
ответственному за обеспечение информационной безопасности (ИБ). Изменения в
архиве не допускаются. Доступ к информации архива должен быть ограничен».
Третьим пунктом в программе борьбы с утечками информации стоит
необходимый контроль за действиями сотрудников организации. В общих положениях
стандарта банка России сказано, что обязательна «регистрация действий
персонала и пользователей в специальном электронном журнале. Данный электронный
журнал должен быть доступным для чтения, просмотра, анализа, хранения и
резервного копирования только администратору ИБ». Стоит заметить при этом,
что администраторы информационной безопасности – тоже живые люди, и они, как и
любые другие сотрудники, могут, к сожалению, оказаться инсайдерами. Потому их
действия также необходимо контролировать. Идеальным вариантом будет создание
двух взаимно контролирующих подразделений информационной безопасности.
Практические решения
«Это всё, конечно, хорошо», - можете сказать вы, - «однако теория
теорией, а как на практике реализовать защиту от утечек информации?».
Действительно, создание качественной системы информационной безопасности «с
нуля» собственными силами компании может оказаться почти неподъёмной задачей. К
счастью, существуют готовые решения, предлагаемые, ко всему прочему,
российскими производителями, а потому доступные по своей стоимости.
Требования, предъявляемые к подобным решениям, как вы сами
понимаете, довольно высоки. Они должны не только позволять контролировать
входящий и исходящий трафик пользователя, но также и следить за тем, какие
документы пользователь переписывает на «флэшку» и что печатает на принтере.
Практических решения по рынку достаточно много, например:
1.,
2.,
3.,
4.,
5. Это те варианты, которые я рассматриваю в своей работе.
Как видите, информационная безопасность предприятия – это
действительно важно, и её не стоит пускать на самотёк. Купленная система
информационной безопасности поможет сэкономить вам значительные деньги, которые
могли бы украсть у вас инсайдеры. А потому информационная безопасность – не так
статья расходов, на которой следует экономить.
