ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

52 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011

Изначально в слове «инсайдер» не было никакой не-гативной окраски. Так называли сотрудника компа-нии, который имел доступ к закрытой, конфиденци-альной информации. Однако были нередки случаи, когда такой работник злоупотреблял оказанным ему доверием и использовал свое привилегированное положение для извлечения собственной выгоды. Именно поэтому в настоящее время инсайдером все чаще именуют некоего отрицательного персонажа, который совершает не слишком благовидные поступки, а инсайдом называют не только доступ к конфиденциальной информации, но и сам процесс «слива» закрытых данных третьим лицам.

Осторожно – инсайдер, или Как защититься от утечек информации

ЕСТЬ РЕШЕНИЕ

В такой трактовке иностранное

слово «инсайдер» приближает-

ся по значению к русскому «сту-

кач». Однако эти слова не синонимы.

Разница заключается в самом отноше-

нии к инсайду как к действию по пере-

даче закрытых данных у них и у нас. Рас-

смотрим, в чем же состоит это отличие,

на конкретных примерах из российской

и западной действительности.

Никита Палкин пришел в Ingate с

определенной целью – заработать де-

нег, но отнюдь не честным трудом. Не-

скольких дней пребывания в компании

ему оказалось достаточно, чтобы раздо-

быть конфиденциальную информацию

о ее деятельности, после чего он тут же

ROBERT KNESCHKE / SHUTTERSTOCK

53Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

АЛЕКСАНДР ВАШКЕВИЧ, независимый эксперт по информационной безопасности

покинул организацию. А спустя какое-

то время другим компаниям, участни-

цам SEO-рынка, стали приходить пись-

ма с предложением купить сведения об

Ingate.

Описанный пример – классический

вариант утечки данных. Есть сотрудник,

который поставил себе целью украсть

конфиденциальную информацию. С по-

мощью технических средств и собствен-

ной изворотливости он эту информацию

получает и пытается продать.

Существуют и иные схемы кражи

данных. Обычно их целью становится

не получение личной выгоды, а извле-

чение непосредственно информации.

Такие схемы являются более изощрен-

ными и четко разработанными. В их

осуществлении редко участвует один че-

ловек, обычно имеет место сговор груп-

пы лиц. Можно сказать, что подобные

утечки данных ближе к шпионажу, чем

к обычной краже.

В этом году Ponemon Institute со-

вместно с компанией Symantec проана-

лизировали последствия утечек данных.

В 2011 г. цена всего одного такого инци-

дента в среднем составляла 7,2 млн долл.

В исследовании представлены сведения

и о самой дорогостоящей утечке – за

одно происшествие неназванная компа-

ния потеряла 35,3 млн долл.

В России точного определения людей,

наносящих столь значительный вред

своему предприятию, нет. Обычно меж-

ду собой их называют неприглядным

словечком «стукач». Отношение к подоб-

ному явлению соответствующее – люди,

допустившие утечку данных, становятся

изгоями в коллективе, если, конечно, до

этого их не увольняет начальство.

Российские реалии «стукачей»Основная причина российских утечек

данных – неправильная политика ин-

формационной безопасности в орга-

низации. Недавние исследования ком-

пании SearchInform, одного из лидеров

российского рынка средств защиты и

контроля информационных потоков,

свидетельствуют о том, что только око-

ло 22 % организаций используют специ-

альные средства для предотвращения

утечек данных. Там же, где они при-

меняются, лишь 14 % систем контро-

лируется специальным отделом, более

половины опрошенных доверяют ин-

формационную безопасность IT-отделу,

который должен выполнять иные функ-

ции. Такая ситуация благоприятствует

утечкам данных и деятельности «стука-

чей», компаниям приходится расплачи-

ваться за не принятые вовремя меры по

защите собственной информации.

Такое обилие возможностей порож-

дает и несколько разных типов «стука-

чей», каждый из которых преследует

свои цели. Самый очевидный и распро-

страненный вид деятельности инсай-

деров – кража информации ради денег.

Зарплата очень часто служит камнем

преткновения между сотрудником и

его начальником. Если такая ситуация

наличествует, а недовольный работник

имеет доступ к закрытым сведениям,

то вероятность их утечки очень велика.

Иногда человек сразу приходит в орга-

низацию с целью добыть конфиденци-

альные данные, как это было в Ingate.

Похожий, но только более серьез-

ный инцидент произошел в банковской

сфере. К работе ряда форумов, посвя-

щенных информационной безопасно-

сти в банках, подключился мошенник.

Он воспользовался простой процедурой

регистрации на ежегодной межбанков-

ской конференции в Магнитогорске и в

итоге оказался в курсе всех последних

В странах СНГ некоторые директора уверяют, что их совсем не тревожит тот факт, что сотрудники при увольнении уносят часть сведений о предприятии. Они считают, что это будет компенсировано новыми кадрами, которые точно так же передадут часть информации со своего прошлого места работы

$7,2млнСОСТАВИЛ СРЕДНИЙ УЩЕРБ ОТ ОДНОЙ УТЕЧКИ ДАННЫХ В 2011 ГОДУ

$35,3млн «СТОИМОСТЬ» САМОЙ ДОРОГОЙ УТЕЧКИ ТЕКУЩЕГО ГОДА

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

54 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011

В Америке, к примеру, даже

в небольших компаниях

установлена система защиты

внутренней информации. Мало

того, каждый сотрудник организации

предупрежден об этом. «Там принято

внедрить DLP-систему и рассказать об

этом максимально подробно всем со-

трудникам, чтобы те прониклись важ-

ностью защиты компании от утечек

информации и были в курсе наличия

«большого брата», который следит

за ними, – комментирует ситуацию

Роман Идов, аналитик компании

SearchInform. – В России же нередки

случаи, когда система информа-

ционной безопасности тщательно

скрывается от персонала, для того

чтобы свободно контролировать, чем

работники заняты на своем месте».

трения с рабочим коллективом. После

своего увольнения он создал вредонос-

ную программу, которую с чужого по-

чтового ящика от лица руководителя

разослал всем сотрудникам учрежде-

ния, где сам раньше работал. При акти-

вации программы происходило полное

уничтожение данных на компьютере,

а также нарушалась его работа. Сей-

час злоумышленник арестован и ему

предъявлено обвинение.

Кроме трех перечисленных причин

«стукачества», существует и еще одна

разновидность «слива» информации,

но назвать ее полноценным «стукаче-

ством» нельзя. Иногда утечка данных

происходит случайно, когда сотрудник

либо забыл о необходимости соблю-

дать коммерческую тайну, либо вовсе

не знал этого. Такая ситуация также

очень вероятна. По данным исследо-

вания кадрового холдинга «Анкор»,

только 60 % сотрудников IT-компаний

подписывали соглашение о нераспро-

странении конфиденциальных сведе-

ний, при этом около 80 % работников

имели доступ к такой информации. А

значит, они с очень большой вероятно-

стью могут пополнить ряды случайных

«болтунов», за это никаких санкций к

ним применить будет нельзя.

«Стукач» и инсайдер-правонарушитель Чтобы понять, чем же российский

«стукач» отличается от западного ин-

сайдера, прежде всего необходимо

сравнить отношение компаний к ин-

формационной безопасности у нас и у

них. В России в этом плане существуют

определенные недоработки: пренебре-

жительное отношение руководства к

проблеме защиты информации приво-

дит к игнорированию столь важного

вопроса и со стороны персонала. Кор-

поративные сведения перестают быть

ценностью, и сотрудники уже не пред-

ставляют для себя иного отношения к

секретным данным.

В странах СНГ некоторые директора

уверяют, что их совсем не тревожит тот

факт, что сотрудники при увольнении

уносят часть сведений о предприятии.

Они считают, что это будет компенси-

ровано новыми кадрами, которые точ-

но так же передадут часть информации

со своего прошлого места работы. Не

означает ли это, что руководство созна-

тельно допускает утечки данных?

Подобное отношение лишь усугу-

бляет ситуацию. Кража данных входит

в норму, приобретает оттенок предпри-

нимательства и торговли.

Когда сотрудник знает, что любая

попытка инсайда будет отслежена,

он, прежде чем передавать конфи-

денциальную информацию в третьи

руки, хорошо подумает, стоит ли это

делать. Поэтому западный инсайдер

хитрее и изворотливее, чем наш. Он

не пойдет на кражу данных без край-

ней на то необходимости. И такой не-

обходимостью для него, как ни стран-

но, редко становятся деньги. Чаще

всего правонарушение совершается

из-за собственных принципов и убеж-

дений. Классический пример такого 22% ТОЛЬКО 22 % ОРГАНИЗАЦИЙ ИСПОЛЬЗУЮТ СПЕЦИАЛЬНЫЕ СРЕДСТВА ДЛЯ ПРЕДОТВРАЩЕНИЯ УТЕЧЕК ДАННЫХ

разработок в сфере дистанционного

банковского обслуживания, где и зани-

мался мошенничеством. Только спустя

несколько лет удалось установить его

личность и преступные намерения.

Вторая распространенная цель

«стукачей» – это сведение счетов с на-

чальством. Причины мести могут быть

разнообразными: увольнение, пониже-

ние в должности, личная неприязнь к

руководителю. Затаивший обиду чело-

век стремится навредить организации

любым способом. А совершить утечку

данных – наиболее удобный и выгод-

ный вариант мести.

Крупный инцидент такого рода про-

изошел в Украине. Один из бывших

руководителей Службы безопасности

Украины (СБУ) выложил в Интернет

конфиденциальные данные: штатное

расписание, план оперативно-розыск-

ных мероприятий, должностные обязан-

ности руководства и другие секретные

сведения. Предположительно мотивом

для инсайда стало смещение с должно-

сти этого сотрудника СБУ. Оценивать эту

утечку только с точки зрения финансово-

го ущерба нельзя: под угрозой оказались

и сами агенты спецслужбы, их родные и

близкие, на которых злоумышленники

могут теперь оказывать давление.

И третий тип «стукачей» – это люди,

находящиеся в конфликте с кем-то из

коллег. Часто руководство об этом не до-

гадывается, а между тем такое взаимное

противостояние опасно вдвойне: стать

инсайдером-правонарушителем может

любой из участников конфликта. Если

между персоналом очень неприязнен-

ные отношения, то на второй план могут

уйти даже должностные предписания.

Целью такого сотрудника становится

месть коллеге и инсайд, в частности, как

возможность «подставить» конкурента.

Такая ситуация произошла в Бар-

науле. Уволенный программист имел

55Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

«Робин Гуда» – Эрве Фальчиани, быв-

ший IT-специалист британского бан-

ка HSBC. Свое имя он прославил тем,

что, используя служебные полномочия,

получил доступ к сведениям о людях,

нарушающих налоговое законодатель-

ство. Этот человек составил так назы-

ваемый «список Фальчиани» и разослал

его полицейским и налоговым службам

Германии, Франции и Великобритании.

Все перечисленные особенности за-

падных инсайдеров сказываются и на

отношении руководства к этим людям.

Если в России «стукача», скорее всего,

уволят или применят к нему дисципли-

нарное взыскание, то в Америке «идей-

ному инсайдеру» могут прибавить зар-

плату или повысить его в должности.

Дело здесь опять же в более серьезном

отношении к информационной без-

опасности. Чаще всего возможность

похитить данные имеется не у рядо-

вых сотрудников, а у хорошо обучен-

ных специалистов, профессионалов. И

компании проще пойти навстречу же-

ланиям проверенного работника, чем

подыскивать на освободившееся место

нового человека.

В России и на постсоветском про-

странстве такая система взаимоотноше-

ний «начальник–подчиненный», когда

оба понимают, что для пользы дела тре-

буются взаимоуважение и взаимопони-

мание, только вступает в действие. Мно-

гие компании уже следуют опыту Запада

и предпочитают решать проблему со-

трудника, а не ждать, пока он совершит

нарушение и возникнет необходимость

в его наказании. Широкое внедрение

такой системы пойдет только на пользу

информационной безопасности.

Как защититься от утечки информации?Чтобы обеспечить компании качествен-

ную защиту информации, нужно принять

целый комплекс мер. Для простоты их

можно разделить на две большие группы:

технические и организационные.

Наилучшим техническим решением

по защите информации считается уста-

новка DLP-систем (от англ. Data Leak

Prevention – предотвращение утечек дан-

ных). Их отличительная особенность –

комплексность. Такие системы отсле-

живают все информационные потоки

в организации – от электронной почты

до программ, использующих алгоритмы

шифрования (Skype, например). Кроме

того, под их наблюдением находятся все

съемные носители данных, корпоратив-

ные компьютеры и ноутбуки.

Вторая важная особенность DLP-

систем – автономность. При их исполь-

зовании отпадает необходимость со-

держать целый отдел, который должен

заниматься информационной безопас-

ностью. Достаточно всего нескольких

специалистов в этой области.

Недавние исследования SearchInform

показывают, что сейчас в России DLP-

системы не пользуются большой попу-

лярностью. Только половина компаний

планирует в ближайшее время установ-

Она включает в себя информирование

персонала о наличии в организации

систем информационной безопасности,

о необходимости соблюдать коммерче-

скую тайну и возможных последствиях

ее разглашения как для компании, так

и для самого сотрудника.

Важный пункт организационной

работы в коллективе – создание до-

верительной рабочей атмосферы. До-

статочно вспомнить, что конфликт

между сотрудниками может послужить

причиной утечки данных, в результате

которой пострадают не только сами со-

трудники, но и организация.

На успешное предотвращение уте-

чек информации влияет и отношение

руководства компании к персоналу.

Пока на инсайдеров-правонарушите-

лей будут сразу же вешать ярлык «сту-

кач», добиться повышения качества

Классический пример «Робин Гуда» – Эрве Фальчиани, бывший IT-специалист британского банка HSBC. Свое имя он прославил тем, что, используя служебные полномочия, получил доступ к сведениям о людях, нарушающих налоговое законодательство. Он составил так называемый «список Фальчиани» и разослал его полицейским и налоговым службам Германии, Франции и Великобритании

ку комплексной защиты. Некоторые и

вовсе не считают нужным ее внедре-

ние, а другие полагают, что вполне

достаточно будет частичной защиты,

а это весьма опасное заблуждение.

Информационная безопасность будет

максимально эффективной, только

если обеспечена комплексная защита.

Не менее важна организационная

работа по сохранности информации.

информационной безопасности будет

непросто. И заведомое поощрение

«стукачества» тоже недопустимо. Толь-

ко отказ от пренебрежительного отно-

шения руководства к собственным со-

трудникам в сочетании с комплексной

информационной защитой позволит

добиться практически стопроцентной

информационной безопасности ком-

пании.