Осторожно – инсайдер, или Как защититься от утечек...
DESCRIPTION
Изначально в слове «инсайдер» не было никакой негативной окраски. Так называли сотрудника компании, который имел доступ к закрытой, конфиденциальной информации. Однако были нередки случаи, когда такой работник злоупотреблял оказанным ему доверием и использовал свое привилегированное положение для извлечения собственной выгоды. Именно поэтому в настоящее время инсайдером все чаще именуют некоего отрицательного персонажа, который совершает не слишком благовидные поступки, а инсайдом называют не только доступ к конфиденциальной информации, но и сам процесс «слива» закрытых данных третьим лицам.TRANSCRIPT
ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
52 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011
Изначально в слове «инсайдер» не было никакой не-гативной окраски. Так называли сотрудника компа-нии, который имел доступ к закрытой, конфиденци-альной информации. Однако были нередки случаи, когда такой работник злоупотреблял оказанным ему доверием и использовал свое привилегированное положение для извлечения собственной выгоды. Именно поэтому в настоящее время инсайдером все чаще именуют некоего отрицательного персонажа, который совершает не слишком благовидные поступки, а инсайдом называют не только доступ к конфиденциальной информации, но и сам процесс «слива» закрытых данных третьим лицам.
Осторожно – инсайдер, или Как защититься от утечек информации
ЕСТЬ РЕШЕНИЕ
В такой трактовке иностранное
слово «инсайдер» приближает-
ся по значению к русскому «сту-
кач». Однако эти слова не синонимы.
Разница заключается в самом отноше-
нии к инсайду как к действию по пере-
даче закрытых данных у них и у нас. Рас-
смотрим, в чем же состоит это отличие,
на конкретных примерах из российской
и западной действительности.
Никита Палкин пришел в Ingate с
определенной целью – заработать де-
нег, но отнюдь не честным трудом. Не-
скольких дней пребывания в компании
ему оказалось достаточно, чтобы раздо-
быть конфиденциальную информацию
о ее деятельности, после чего он тут же
ROBERT KNESCHKE / SHUTTERSTOCK
53Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ
WWW.S-DIRECTOR.RU
АЛЕКСАНДР ВАШКЕВИЧ, независимый эксперт по информационной безопасности
покинул организацию. А спустя какое-
то время другим компаниям, участни-
цам SEO-рынка, стали приходить пись-
ма с предложением купить сведения об
Ingate.
Описанный пример – классический
вариант утечки данных. Есть сотрудник,
который поставил себе целью украсть
конфиденциальную информацию. С по-
мощью технических средств и собствен-
ной изворотливости он эту информацию
получает и пытается продать.
Существуют и иные схемы кражи
данных. Обычно их целью становится
не получение личной выгоды, а извле-
чение непосредственно информации.
Такие схемы являются более изощрен-
ными и четко разработанными. В их
осуществлении редко участвует один че-
ловек, обычно имеет место сговор груп-
пы лиц. Можно сказать, что подобные
утечки данных ближе к шпионажу, чем
к обычной краже.
В этом году Ponemon Institute со-
вместно с компанией Symantec проана-
лизировали последствия утечек данных.
В 2011 г. цена всего одного такого инци-
дента в среднем составляла 7,2 млн долл.
В исследовании представлены сведения
и о самой дорогостоящей утечке – за
одно происшествие неназванная компа-
ния потеряла 35,3 млн долл.
В России точного определения людей,
наносящих столь значительный вред
своему предприятию, нет. Обычно меж-
ду собой их называют неприглядным
словечком «стукач». Отношение к подоб-
ному явлению соответствующее – люди,
допустившие утечку данных, становятся
изгоями в коллективе, если, конечно, до
этого их не увольняет начальство.
Российские реалии «стукачей»Основная причина российских утечек
данных – неправильная политика ин-
формационной безопасности в орга-
низации. Недавние исследования ком-
пании SearchInform, одного из лидеров
российского рынка средств защиты и
контроля информационных потоков,
свидетельствуют о том, что только око-
ло 22 % организаций используют специ-
альные средства для предотвращения
утечек данных. Там же, где они при-
меняются, лишь 14 % систем контро-
лируется специальным отделом, более
половины опрошенных доверяют ин-
формационную безопасность IT-отделу,
который должен выполнять иные функ-
ции. Такая ситуация благоприятствует
утечкам данных и деятельности «стука-
чей», компаниям приходится расплачи-
ваться за не принятые вовремя меры по
защите собственной информации.
Такое обилие возможностей порож-
дает и несколько разных типов «стука-
чей», каждый из которых преследует
свои цели. Самый очевидный и распро-
страненный вид деятельности инсай-
деров – кража информации ради денег.
Зарплата очень часто служит камнем
преткновения между сотрудником и
его начальником. Если такая ситуация
наличествует, а недовольный работник
имеет доступ к закрытым сведениям,
то вероятность их утечки очень велика.
Иногда человек сразу приходит в орга-
низацию с целью добыть конфиденци-
альные данные, как это было в Ingate.
Похожий, но только более серьез-
ный инцидент произошел в банковской
сфере. К работе ряда форумов, посвя-
щенных информационной безопасно-
сти в банках, подключился мошенник.
Он воспользовался простой процедурой
регистрации на ежегодной межбанков-
ской конференции в Магнитогорске и в
итоге оказался в курсе всех последних
В странах СНГ некоторые директора уверяют, что их совсем не тревожит тот факт, что сотрудники при увольнении уносят часть сведений о предприятии. Они считают, что это будет компенсировано новыми кадрами, которые точно так же передадут часть информации со своего прошлого места работы
$7,2млнСОСТАВИЛ СРЕДНИЙ УЩЕРБ ОТ ОДНОЙ УТЕЧКИ ДАННЫХ В 2011 ГОДУ
$35,3млн «СТОИМОСТЬ» САМОЙ ДОРОГОЙ УТЕЧКИ ТЕКУЩЕГО ГОДА
ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
54 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011
В Америке, к примеру, даже
в небольших компаниях
установлена система защиты
внутренней информации. Мало
того, каждый сотрудник организации
предупрежден об этом. «Там принято
внедрить DLP-систему и рассказать об
этом максимально подробно всем со-
трудникам, чтобы те прониклись важ-
ностью защиты компании от утечек
информации и были в курсе наличия
«большого брата», который следит
за ними, – комментирует ситуацию
Роман Идов, аналитик компании
SearchInform. – В России же нередки
случаи, когда система информа-
ционной безопасности тщательно
скрывается от персонала, для того
чтобы свободно контролировать, чем
работники заняты на своем месте».
трения с рабочим коллективом. После
своего увольнения он создал вредонос-
ную программу, которую с чужого по-
чтового ящика от лица руководителя
разослал всем сотрудникам учрежде-
ния, где сам раньше работал. При акти-
вации программы происходило полное
уничтожение данных на компьютере,
а также нарушалась его работа. Сей-
час злоумышленник арестован и ему
предъявлено обвинение.
Кроме трех перечисленных причин
«стукачества», существует и еще одна
разновидность «слива» информации,
но назвать ее полноценным «стукаче-
ством» нельзя. Иногда утечка данных
происходит случайно, когда сотрудник
либо забыл о необходимости соблю-
дать коммерческую тайну, либо вовсе
не знал этого. Такая ситуация также
очень вероятна. По данным исследо-
вания кадрового холдинга «Анкор»,
только 60 % сотрудников IT-компаний
подписывали соглашение о нераспро-
странении конфиденциальных сведе-
ний, при этом около 80 % работников
имели доступ к такой информации. А
значит, они с очень большой вероятно-
стью могут пополнить ряды случайных
«болтунов», за это никаких санкций к
ним применить будет нельзя.
«Стукач» и инсайдер-правонарушитель Чтобы понять, чем же российский
«стукач» отличается от западного ин-
сайдера, прежде всего необходимо
сравнить отношение компаний к ин-
формационной безопасности у нас и у
них. В России в этом плане существуют
определенные недоработки: пренебре-
жительное отношение руководства к
проблеме защиты информации приво-
дит к игнорированию столь важного
вопроса и со стороны персонала. Кор-
поративные сведения перестают быть
ценностью, и сотрудники уже не пред-
ставляют для себя иного отношения к
секретным данным.
В странах СНГ некоторые директора
уверяют, что их совсем не тревожит тот
факт, что сотрудники при увольнении
уносят часть сведений о предприятии.
Они считают, что это будет компенси-
ровано новыми кадрами, которые точ-
но так же передадут часть информации
со своего прошлого места работы. Не
означает ли это, что руководство созна-
тельно допускает утечки данных?
Подобное отношение лишь усугу-
бляет ситуацию. Кража данных входит
в норму, приобретает оттенок предпри-
нимательства и торговли.
Когда сотрудник знает, что любая
попытка инсайда будет отслежена,
он, прежде чем передавать конфи-
денциальную информацию в третьи
руки, хорошо подумает, стоит ли это
делать. Поэтому западный инсайдер
хитрее и изворотливее, чем наш. Он
не пойдет на кражу данных без край-
ней на то необходимости. И такой не-
обходимостью для него, как ни стран-
но, редко становятся деньги. Чаще
всего правонарушение совершается
из-за собственных принципов и убеж-
дений. Классический пример такого 22% ТОЛЬКО 22 % ОРГАНИЗАЦИЙ ИСПОЛЬЗУЮТ СПЕЦИАЛЬНЫЕ СРЕДСТВА ДЛЯ ПРЕДОТВРАЩЕНИЯ УТЕЧЕК ДАННЫХ
разработок в сфере дистанционного
банковского обслуживания, где и зани-
мался мошенничеством. Только спустя
несколько лет удалось установить его
личность и преступные намерения.
Вторая распространенная цель
«стукачей» – это сведение счетов с на-
чальством. Причины мести могут быть
разнообразными: увольнение, пониже-
ние в должности, личная неприязнь к
руководителю. Затаивший обиду чело-
век стремится навредить организации
любым способом. А совершить утечку
данных – наиболее удобный и выгод-
ный вариант мести.
Крупный инцидент такого рода про-
изошел в Украине. Один из бывших
руководителей Службы безопасности
Украины (СБУ) выложил в Интернет
конфиденциальные данные: штатное
расписание, план оперативно-розыск-
ных мероприятий, должностные обязан-
ности руководства и другие секретные
сведения. Предположительно мотивом
для инсайда стало смещение с должно-
сти этого сотрудника СБУ. Оценивать эту
утечку только с точки зрения финансово-
го ущерба нельзя: под угрозой оказались
и сами агенты спецслужбы, их родные и
близкие, на которых злоумышленники
могут теперь оказывать давление.
И третий тип «стукачей» – это люди,
находящиеся в конфликте с кем-то из
коллег. Часто руководство об этом не до-
гадывается, а между тем такое взаимное
противостояние опасно вдвойне: стать
инсайдером-правонарушителем может
любой из участников конфликта. Если
между персоналом очень неприязнен-
ные отношения, то на второй план могут
уйти даже должностные предписания.
Целью такого сотрудника становится
месть коллеге и инсайд, в частности, как
возможность «подставить» конкурента.
Такая ситуация произошла в Бар-
науле. Уволенный программист имел
55Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ
WWW.S-DIRECTOR.RU
«Робин Гуда» – Эрве Фальчиани, быв-
ший IT-специалист британского бан-
ка HSBC. Свое имя он прославил тем,
что, используя служебные полномочия,
получил доступ к сведениям о людях,
нарушающих налоговое законодатель-
ство. Этот человек составил так назы-
ваемый «список Фальчиани» и разослал
его полицейским и налоговым службам
Германии, Франции и Великобритании.
Все перечисленные особенности за-
падных инсайдеров сказываются и на
отношении руководства к этим людям.
Если в России «стукача», скорее всего,
уволят или применят к нему дисципли-
нарное взыскание, то в Америке «идей-
ному инсайдеру» могут прибавить зар-
плату или повысить его в должности.
Дело здесь опять же в более серьезном
отношении к информационной без-
опасности. Чаще всего возможность
похитить данные имеется не у рядо-
вых сотрудников, а у хорошо обучен-
ных специалистов, профессионалов. И
компании проще пойти навстречу же-
ланиям проверенного работника, чем
подыскивать на освободившееся место
нового человека.
В России и на постсоветском про-
странстве такая система взаимоотноше-
ний «начальник–подчиненный», когда
оба понимают, что для пользы дела тре-
буются взаимоуважение и взаимопони-
мание, только вступает в действие. Мно-
гие компании уже следуют опыту Запада
и предпочитают решать проблему со-
трудника, а не ждать, пока он совершит
нарушение и возникнет необходимость
в его наказании. Широкое внедрение
такой системы пойдет только на пользу
информационной безопасности.
Как защититься от утечки информации?Чтобы обеспечить компании качествен-
ную защиту информации, нужно принять
целый комплекс мер. Для простоты их
можно разделить на две большие группы:
технические и организационные.
Наилучшим техническим решением
по защите информации считается уста-
новка DLP-систем (от англ. Data Leak
Prevention – предотвращение утечек дан-
ных). Их отличительная особенность –
комплексность. Такие системы отсле-
живают все информационные потоки
в организации – от электронной почты
до программ, использующих алгоритмы
шифрования (Skype, например). Кроме
того, под их наблюдением находятся все
съемные носители данных, корпоратив-
ные компьютеры и ноутбуки.
Вторая важная особенность DLP-
систем – автономность. При их исполь-
зовании отпадает необходимость со-
держать целый отдел, который должен
заниматься информационной безопас-
ностью. Достаточно всего нескольких
специалистов в этой области.
Недавние исследования SearchInform
показывают, что сейчас в России DLP-
системы не пользуются большой попу-
лярностью. Только половина компаний
планирует в ближайшее время установ-
Она включает в себя информирование
персонала о наличии в организации
систем информационной безопасности,
о необходимости соблюдать коммерче-
скую тайну и возможных последствиях
ее разглашения как для компании, так
и для самого сотрудника.
Важный пункт организационной
работы в коллективе – создание до-
верительной рабочей атмосферы. До-
статочно вспомнить, что конфликт
между сотрудниками может послужить
причиной утечки данных, в результате
которой пострадают не только сами со-
трудники, но и организация.
На успешное предотвращение уте-
чек информации влияет и отношение
руководства компании к персоналу.
Пока на инсайдеров-правонарушите-
лей будут сразу же вешать ярлык «сту-
кач», добиться повышения качества
Классический пример «Робин Гуда» – Эрве Фальчиани, бывший IT-специалист британского банка HSBC. Свое имя он прославил тем, что, используя служебные полномочия, получил доступ к сведениям о людях, нарушающих налоговое законодательство. Он составил так называемый «список Фальчиани» и разослал его полицейским и налоговым службам Германии, Франции и Великобритании
ку комплексной защиты. Некоторые и
вовсе не считают нужным ее внедре-
ние, а другие полагают, что вполне
достаточно будет частичной защиты,
а это весьма опасное заблуждение.
Информационная безопасность будет
максимально эффективной, только
если обеспечена комплексная защита.
Не менее важна организационная
работа по сохранности информации.
информационной безопасности будет
непросто. И заведомое поощрение
«стукачества» тоже недопустимо. Толь-
ко отказ от пренебрежительного отно-
шения руководства к собственным со-
трудникам в сочетании с комплексной
информационной защитой позволит
добиться практически стопроцентной
информационной безопасности ком-
пании.