Сотрудник – первая угроза информационной безопасности

Установить защиту от атак из интернета и ограничить доступ к сетевым ресурсам компании теперь уже недостаточно для поддержания высокого уровня информационной безопасности.

Согласно всеукраинскому исследованию компании «Инком», проведенному в конце 2007 года, лишь 19% компаний имеют четкую политику в области информационной безопасности. При этом 67% опрошенных не исключают наличие уязвимостей в защите информационных систем своих компаний, а 80% респондентов (IT-профессионалов из различных отраслей экономики) заявили о том, что за время работы имели место незапланированные остановки и сбои информационных систем, основными последствиями которых являлись финансовые убытки.

В современном мире, где утечка информации может обойтись в миллионы долларов убытков, главной опасностью являются сотрудники компании.

Размеры убытков в украинских компаний подсчитать очень сложно ввиду чрезвычайной секретности таких данных, ведь никто не хочет портить реноме своего бизнеса и терять клиентов. Впрочем, в 2004 году корпорации UNA, украинскому разработчику комплексных систем антивирусной удалось оценить убытки украинских компаний. По их данным, только от вирусных атак украинский бизнес получил ущерб в 95 млн. евро. При этом в 66% пострадал средний и крупный бизнес в равной степени. И это не учитывая потери компаний от халатных и преднамеренных действий сотрудников. А по оценкам аналитиков, в 60% случаях в 2007 году в Украине информационная безопасность нарушалась именно сотрудниками компаний. Это может быть как умышленные так непреднамеренные действия, но иногда ущерб от них может быть катастрофический.

Например, в 2007 году семь бывших сотрудников южнокорейской компании NCSoft, специализирующейся на онлайн-играх (создала LineAge), продали исходный код Lineage III, чем нанесли ущерб на сумму более одного миллиарда долларов.

В том же году американская корпорация Affiliated Computer Services, предоставляющая услуги аутсорсинга в области информационных технологий, пересылала незащищенный диск с приватными данными жителей штата Джорджия, но до адресата диск не дошел. Из-за такой халатности пострадали 2,9 млн. человек и был нанесен ущерб на сумму $510 млн.

Также в 2007 году Bank of America потерял ноутбук с персональными данными работников своих работников от чего пострадали 40 тыс. человек, а убытки составили $13 млн. Есть еще целая масса примеров.

Несмотря на то, что в Украине ущерб от потери данных скорее всего на порядки меньше в силу не столь значительных масштабов бизнеса компании, однако последние все больше осознает ценность информации, которой владеют. Кроме того, государство из года в год ужесточает требования к обеспечению защиты информации, что волей-неволей вынуждает компании заботиться о сохранности своих данных.

Критична защита на физическом уровне

Согласно исследованию «Инком», многие украинские компаний выделяют 5-15% своего бюджета для обеспечения защиты своих IT-систем. Соответственно, бюджет обеспечения безопасности напрямую зависит от таких параметров как размер компании, а также индивидуальных бизнес-потребностей, связанных со спецификой деятельности.

Вообще же оценить стоимость работы по внедрению комплексных решений по обеспечению информационной безопасности компании можно только после оценки активов, выработки модели угроз и оценки рисков, только тогда вырабатывается план обеспечения непрерывности бизнеса. Причем крупные системные интеграторы, например, «Квазар Микро» при внедрении решения четко следуют процедурам обеспечения непрерывности обеспечения бизнеса, которые детально расписаны в ряде документов – рекомендациях и стандартах США.

«Для обеспечения непрерывности бизнеса в зависимости от видов собственности и категорий информации в Украине на систему защиты тратится от 10 до 40% стоимости активов», - говорит Владимир Гонцул, руководитель отдела информационной безопасности и планирования систем «Квазар-Микро».

При этом комплекс мер по обеспечению информационной безопасности, как внешнего периметра информационной сети, так и внутренних IT-систем, варьируется в зависимости от рода деятельности компании, этапа развития и степени зрелости ее IT-структур, а также уровня сознательности пользователей.

«Еще несколько лет назад подход к обеспечению защиты информационных систем базировался на двухуровневом механизме. А именно, небезосновательно считая, что основная угроза ИБ исходит извне (сети интернет), в первую очередь обеспечивалась защита периметра внешней сети. Меры предосторожности ограничивались внедрением межсетевых экранов на пограничных юниксоподобных операционных системах. С другой стороны, внутренняя защита, как правило, организовывалась на базе операционных систем Windows локальных пользователей при помощи антивирусных программ», - рассказывает Николай Головин, консультант департамента ИТ-консалтинга компании «Инком».

Однако такой комплекс мер по обеспечению безопасности информационной корпоративной сети является недостаточным. Для полной, всесторонней защиты информации, непрерывности и стабильности деятельности IT-систем, критичным является также обеспечение защиты информации на физическом уровне. Такие факторы как контроль доступа, обеспечение противопожарной безопасности, резервирование критичных для бизнеса данных, контроль утечки и доступности информации, как прямо, так и косвенно влияют на информационную безопасность компании в целом.

Главная угроза - сотрудник

Сейчас двухуровневый механизм обеспечения защиты по-прежнему является актуальным. Однако стремительное развитие информационных сервисов, увеличение интенсивности использования в повседневной работе сети интернет привело к лавинообразному увеличению количества внешних угроз. В связи с этим фактом на сегодняшний день защита внешнего периметра информационной сети необходима не только для ограничения внешнего доступа, но и для обеспечения непрерывной работы сервисов, предоставляемых как клиентам, так и сотрудникам компании, говорит Николай Головин.

Каждая современная компания, кроме экранирования внешнего периметра информационной сети, обрастает такими сервисами как IDS/IPS, защита от DDos, защита трафика от вирусов и спама. В комплексе также появляется необходимость организовать безопасность на уровне виртуальных каналов для удаленных филиалов и сотрудников, внедрить систему внешней аутентификации для внутренних сервисов, резервировать каналы связи, построить кластерные отказоустойчивые решения, виртуализировать сервисы.

Опыт показывает, что внутренний обмен информацией гораздо сложней защитить. Это связанно с тем, что внешние угрозы изначально просчитываются и внедряются соответствующие меры по их нивелированию, такие как: физическая охрана компании, пропускной режим, видео наблюдение, аппаратно-программные комплексы защиты каналов связи. С другой стороны, обычный посетитель может легко подключиться к компьютерной сети компании и получить доступ к внутренней документации и ресурсам.

Николай Головин, консультант департамента ИТ-консалтинга компании «Инком»

Наибольшая угроза информационной безопасности исходит со стороны служащих компаний. Сотрудники, имеющие официальный доступ к информационным ресурсам, должны вызывать больше беспокойства, чем вирусы и хакеры. На уровне персонала, для обеспечения сохранности и доступности информации, необходимо внедрять системы контроля доступа к операционным системам и прикладным программам, системы мониторинга действий сотрудников, системы контроля обмена информацией, криптования, резервного копирования и восстановления. Только комплексный подход сведет к минимуму риски несанкционированного доступа внутри компании.

Думать надо заблаговременно

Если все же утечка конфиденциальной информации произошла, то ее первыми признаками будет публикация конфиденциальной информации в сети интернет, уход партнеров к конкурентам, искажение внешних данных о компании, непривычная работа повседневных сервисов.

«Совокупность этих факторов должна послужить поводом для начала внутреннего расследования. Ключевыми точками расследования в случае утечки информации являются: определение небезопасного информационного ресурса, выявление сотрудников, имеющих доступ к ресурсу, анализ ресурса с точки зрения информационной безопасности. Заблаговременно службой информационной безопасности компании должны быть разработаны процедуры реагирования на внештатные ситуации, последовательность действий для определения и локализации угроз информационной безопасности», - считает эксперт «Инкома».