CC BY
677
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Т.И. Маркова, К.В. Захарова
КЛАССИФИКАЦИЯ ИНСАЙДЕРОВ
T.I. Markova, K. V. Zakharova
CLASSIFICATION OF INSIDERS
Ключевые слова:
Инсайдеры, внутренние угрозы информационной безопасности, группа лояльных инсайдеров: «халатные» и «манипулируемые», группа злонамеренных инсайдеров: «обиженный», «нелояльный», «подрабатывающий» и «внедренный».
Key words:
Insiders, internal threats to information security, a group of loyal insiders: "careless" and "manipulated", a group of malicious insiders: "hurt", "disloyal", "moonlighting" and "embedded".
Аннотация
В данной статье идёт речь о внутренних угрозах информационной безопасности. Рассмотрено понятие внутреннего нарушителя информационной безопасности - инсайдера. Представлены классификации инсайдеров и внутренних угроз информации.
Abstract
This article deals with internal threats to information security. The concept of internal breaker of information security - an insider. The classifications of insiders and internal threats to the information.
Информационная безопасность, как известно, имеет дело с двумя категориями угроз: внешними и внутренними. Существующая в настоящее время индустрия информационной безопасности, обороты которой составляют десятки миллиардов долларов, развивается в основном на волне противодействия внешним угрозам, обязанным своим появлением прорыву в области высоких технологий, Интернета и электронной коммерции. Одним из первых и фундаментальных механизмов защиты от внешней угрозы стал межсетевой экран, постепенно «обросший» системами обнаружения вторжений, средствами VPN и фильтрации контента. Наряду с межсетевыми экранами активно развивались и продолжают развиваться другие средства обеспечения сетевой и хостовой безопасности: системы мониторинга и аудита событий, средства защиты от вредоносного ПО, средства аутентификации и контроля доступа, криптографические средства и другие средства, работающие на предотвращение несанкционированного доступа к информации.
Чем больших успехов достигает человечество в борьбе с внешними киберугрозами, тем решительнее на первый план выходят угрозы внутренние, с которыми, по статистике, связано более 70% всех инцидентов безопасности. По данным исследования, проведенного компанией InfoWatch, самым распространенным и опасным видом внутренней угрозы является утечка информации. Средства защиты от несанкционированного доступа здесь оказываются практически бесполезными, поскольку в качестве основного источника угрозы выступает «инсайдер» - пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах. В государственных организациях работают миллионы сотрудников, и количество федеральных служащих продолжает увеличиваться, как и число специалистов в финансируемых правительством организациях-подрядчиках и организациях, получающих государственные гранты. Количество потенциально возможных инсайдеров огромно. Как показывает опыт, эти люди обладают хорошими знаниями и опытом в области информационных технологий, но в любом случае их возможности не безграничны.
Классификацию инсайдеров представляет российская компания InfoWatch, которая выделяет 6 типов инсайдеров (таблица 1). «Халатный» и «манипулируемый» из группы лояльных, а также «обиженный», «нелояльный», «подрабатывающий» и «внедренный» из группы злонамеренных. На первый взгляд может показаться, что некоторые из них дублируют друг друга, однако более близкое знакомство с каждым из них развеет это заблуждение. В таблице 1 также приведены более подробные сведения о целях, мотивации и последовательности действий каждого из перечисленных типов.
Таблица 1 - Классификация инсайдеров
Тип Умысел Корысть Постановка задачи Действия при возможности
Халатный Нет Нет Нет Сообщение
Манипулируемый Нет Нет Нет Сообщение
Обиженный Да Нет Сам Отказ
Нелояльный Да Нет Сам Имитация
Подрабатывающий Да Да Сам\Извне Отказ\Имитация\Взлом
Внедренный Да Да Извне Взлом
Рассмотрим каждый из представленных в таблице видов более подробно.
Г руппу лояльных нарушителей составляют «халатные» и «манипулируемые» инсайдеры.
«Халатный» инсайдер (также известен под названием «неосторожный») является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, не обремененного интеллектом, но зато крайне невнимательного. Его нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, умысла, корысти.
Эти сотрудники создают незлонамеренные ненаправленные угрозы, т.е. они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями - вынос информации из офиса для работы с ней дома, в командировке и т.д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции - обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек - контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода - вывода.
«Манипулируемый» инсайдер. Последние годы термин «социальная инженерия» чаще всего используется для описания различных типов мошенничества в сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей - паролей, пин-кодов, номеров кредитных карт и адресов. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки почты в филиальную сеть (временные технические сложности, конечно). И просит переслать ему некоторую информацию на его личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем он представился. Настолько убедительно звучали его слова. И в считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Кем на самом деле был звонив-
ший, остается только догадываться. Ясно одно, что он был очень заинтересован в получении этих данных. И ясно, что не в самых благих целях.
Поскольку манипулируемые и халатные сотрудники действуют из своего понимания «блага» компании (оправдываясь тем, что иногда ради этого блага нужно нарушить инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип «незлонамеренных». Но ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.
Следующая группа нарушителей - злонамеренные, то есть в отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на три типа - саботажники, нелояльные и мотивируемые извне.
«Обиженные» (по-другому саботажники) - это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего мотивом такого поведения может быть обида из-за недостаточной оценки их роли в компании - недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря). Для оценки моделей поведения нарушителя отметим два ключевых отличия от других типов нарушителей. Во-первых, сотрудник не собирается покидать компанию, во-вторых, сотрудник стремится нанести вред, а не похитить информацию. То есть он стремится, чтобы руководство не узнало, что утечка произошла из-за него, и, столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например, на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. При этом сотрудник, исходя из собственных представлений о ценности информации и нанесенном вреде, определяет, какую информацию имеет смысл похитить и кому ее передать. Чаще всего это пресса или теневые структуры, для, соответственно, оглашения или шантажа. Примером реализации такой угрозы может служить передача экологической прессе данных о состоянии затопленных ядерных подводных лодок одним из сотрудников предприятия, ответственного за мониторинг этого состояния.
«Нелояльные» инсайдеры. Прежде всего, это сотрудники, принявшие решение сменить место работы, или миноритарные акционеры, решившие открыть собственный бизнес. Именно о них в первую очередь думают руководители компании, когда речь заходит о внутренних угрозах - стало привычным, что увольняющийся сотрудник коммерческого отдела уносит с собой копию базы клиентов, а финансового - копию финансовой базы. В последнее время также увеличилось количество инцидентов, связанных с хищением интеллектуальной собственности высокотехнологичных европейских и американских компаний стажерами из развивающихся стран, поэтому временных сотрудников иногда также относят к этому типу.
По направленности угроза, исходящая от таких нарушителей является ненаправленной - нарушители стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они ее будут использовать. Самый частый способ получения доступа к информации или возможности ее скопировать - это имитация производственной необходимости. Именно на этом их чаще всего и ловят. От предыдущего типа нарушителей нелояльные отличаются в основном тем, что, похитив информацию, они не скрывают факта похищения. Более того, иногда похищенная информация используется как гарант для обеспечения комфортного увольнения - с компенсацией и рекомендациями.
Эти два типа нарушителей все же не так опасны, как последние. Обиженные и нелояльные сотрудники сами определяют объект хищения, уничтожения или искажения и место его сбыта. Коммерческий директор, решивший уволиться, унесет с собой базу данных кли-
ентов, но, возможно, он найдет работу в компании, напрямую не конкурирующей с нынешним работодателем. Переданная прессе саботажником информация может не оказаться сенсацией и не будет напечатана. Стажер, похитивший чертежи перспективной разработки, может не найти на нее покупателя. Во всех этих случаях информация не нанесет вред владельцу. Наткнувшись на невозможность похитить информацию, нарушители вряда ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой для этого.
«Подрабатывающие» и «внедренные» нарушители - это сотрудники, цель которым определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. Сюда включаются люди, решившие подработать на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле - шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами.
«Внедренные» инсайдеры. Из шпионских триллеров времен холодной войны нам хорошо известен последний тип внутренних нарушителей - «внедренный». В современных условиях к таким методам все чаще прибегают не только для государственного шпионажа, но также и для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень привлекательное предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR-службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться. Или этот специалист предлагается системному администратору в качестве замены (вроде того, что это входит в комплект услуг рекрутингового агентства). Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и сливает ее заказчику. После этого следы агентства и специалиста теряются - они просто испаряются. Компания остается без корпоративных секретов, а системный администратор без работы. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты. И «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.
Ниже представлена классификация, согласно которой могут быть реализованы следующие внутренние угрозы:
- разглашение конфиденциальной информации (данный вид угроз подразумевает разглашение информации, представляющей коммерческую тайну, посредством отсылки ее по электронной почте, через Интернет (чат, форум и т. д.) с помощью средств обмена мгновенными сообщениями, путем копирования информации на переносные носители или распечатки данных);
- кража конфиденциальной информации (неправомерный доступ к информации возможен при ее передаче через обычное соединение (без шифрования) - путем взлома корпоративной сети; если данные размещены в местах, доступных посторонним людям или сотрудникам, не имеющим соответствующих прав; если посторонний человек имеет возможность читать с экрана монитора; если имеется доступ к напечатанным материалам, переносным носителям или компьютерам);
- нарушение авторских прав на информацию (в рамках данной угрозы возможно копирование частей документов одного автора в документы другого автора (а также в почто-
вые сообщения, web-формы и т. Д.); индивидуальное шифрование документов, при котором компания лишается возможности работать с документом после увольнения или перевода сотрудника или в случае утраты пароля; использование опубликованных в Интернете материалов без обработки в своих документах; использование мультимедиа-файлов (графики, аудио-и видеозаписей), ПО и прочих информационных объектов, защищенных авторским правом; подделка данных адресата или отправителя с целью опорочить его доброе имя или скомпрометировать компанию);
- нецелевое использование ресурсов компании (здесь подразумеваются посещение сайтов общей и развлекательной направленности (не имеющих отношения к исполнению служебных обязанностей) в рабочее время; загрузка, хранение и использование мультимедиа-файлов и ПО развлекательной направленности в рабочее время; использование ненормативной, грубой, некорректной лексики при ведении деловой переписки; загрузка, просмотр и распространение материалов для взрослых, а также материалов, содержащих нацистскую символику, агитацию или другие противозаконные материалы; использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе информации о сотрудниках, номерах социального страхования, кредитных карт и т. д.).
В течение последних четырех лет по поручению ассоциации Computing Technology Industry Association (CompTIA) проводилось крупное исследование угроз информационной безопасности и методов противодействия им. Завершилось оно в текущем году и показало, что человеческие ошибки являются причиной почти 60% нарушений информационной безопасности, имевших место в организациях за последние 12 мес. Данный показатель значительно выше, чем в прошлом году, когда по вине человека произошло 47% нарушений. Но, несмотря на заметную роль, которую играет поведение человека, лишь 29% респондентов из 574 обследованных организаций сообщили, что в их компаниях в обязанности персонала ИТ-подразделений входит обучение сотрудников правилам соблюдения безопасности и только в 36% организаций пользователей обучают необходимым навыкам.
Наиболее распространенные каналы утечки относятся к категории неумышленного раскрытия по причине неосведомленности или недисциплинированности. Это и банальная «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неумение определить, какие документы являются конфиденциальными. Умышленный «слив информации» встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации.
Существуют различные законные и не очень методы конкурентной разведки, но попадает конфиденциальная информация к конкурентам, главным образом, через инсайдеров. Это и «халатные» сотрудники, выносящие информацию из офиса для работы с ней дома или в командировке с последующей утерей этой информации, и «жертвы социальной инженерии», дублирующие конфиденциальную информацию на почтовый ящик мошенника, и «обиженные» сотрудники, стремящиеся скомпрометировать любым способом, и «нелояльные» сотрудники, мечтающие поскорее сменить место работы, прихватив с собой корпоративные ноу-хау, и подрабатывающие или специально внедренные «инсайдеры», передающие секретные планы слияний и поглощений недобросовестным участникам фондового рынка, готовым отвалить за эту информацию большие деньги.
Инсайдеры представляют угрозу прежде всего для интеллектуальной собственности организации - одного из ее основных активов. Установление и защита прав на интеллектуальную собственность в настоящее время является важнейшим аспектом любого бизнеса, в особенности малого, являющегося, как известно, оплотом любой здоровой экономики.
Угроза ИТ-безопасности со стороны инсайдеров - реальная проблема. Более того, это один из наиболее сложных вопросов, которые приходится решать иногда просто в силу должностей, занимаемых инсайдерами. По данным различных исследований, источники до 80% угроз информационной безопасности являются внутренними и находятся в самой орга-
низации. Причина всего этого - человек, способный нанести непоправимый ущерб данным, системам, операциям и репутации организации. Зависимость учреждений и организаций от взаимодействующих друг с другом сетей и коммуникационных систем значительно увеличивает риск ущерба, который может стать следствием внутренних вредоносных действий. Таким образом, очень важно, чтобы государственные организации предупреждали своих сотрудников о том, что нужно остерегаться утечек информации, которую можно легко разболтать злоумышленнику, что необходимо использовать решения безопасности, способные распознать и сдержать угрозы.
Используемые в компании технологии накладывают свои ограничения и являются критерием для выбора методов и средств борьбы с инсайдерами. Ситуация усугубляется тем, что в связи с повышением мобильности сотрудников понятие сетевого периметра компании размывается. Поэтому многие угрозы, считавшиеся ранее внешними, стали внутренними.
Как и во многих других случаях, действенность борьбы с инсайдерами значительно повышается при использовании комплексных методов. Это и создание четкого классификатора данных по степени их критичности, и эффективно работающие политики безопасности компании, программно-аппаратные средства контроля доступа, протоколирования событий пользователей и приложений, а также специальные средства мониторинга и управления обменом информации, функционирующие по ключевым словам.
Крайне важно минимизировать негативное влияние инсайдеров на бизнес организации путем своевременного их обнаружения, адекватного реагирования, предотвращения «слива» информации и применения к ним дисциплинарных и правовых мер пресечения. Для решения этой непростой задачи придется задействовать весь арсенал доступных средств, включая юридические, организационные и программно-технические механизмы защиты.
