Специалисты по безопасности уже давно пришли к выводу — угроза утечки информации из-за деятельности инсайдеров стала одной из основных для всех видов организаций. Ни частный сектор экономики, ни государственные организации не застрахованы от появления «шпиона» в своих рядах. Корень зла заключается в самом процессе найма и последующих взаимоотношениях с персоналом. Люди принимаются на работу, получают доступ к закрытой коммерческой информации и отправляются в бесконтрольное свободное плавание. В большинстве компаний пристальное наблюдение и изучение действий сотрудника останавливается сразу после интервью и положительного решения о приеме на работу. Конечно, существует практика испытательного срока перед окончательным принятием решения, однако она имеет гораздо большее отношение к проверке эффективности и трудоспособности персонала, чем к определению степени надежности того или иного сотрудника.
Отталкиваясь от возможного вреда, инсайдеров принято условно разделять на два типа. Первый – люди, действующие бессознательно, под влиянием внешних манипуляций или по причине глупости и невнимательности. Их могут «втемную» использовать конкуренты, хакеры или другие злоумышленники. Однако чаще всего ценная информация покидает стены компании из-за элементарной безалаберности. Например, в июле 2011 сотрудник госпиталя в Миннесоте оставил личный ноутбук с данными о тысячах пациентах в машине, на парковке аэропорта. Естественно ноутбук украли. Почему сотрудник скопировал важные данные на персональный лептоп? Почему служба безопасности не забила тревогу после трансфера большого объема данных? Загадка. Результат — миллионные убытки, судовые иски, и безвозвратно испорченная репутация.
Второй тип инсайдеров – злоумышленники, целенаправленно вредящие компании. Чаще всего в прессе их представляют, как тайных сообщников хакеров, помогающих с минимальными затратами подобраться к данным.
Однако чаще всего инсайдерами становятся обиженные сотрудники, решившие отомстить компании, или люди, начавшие развивать свой бизнес с помощью ресурсов работодателя. Нередки случаи, когда персонал просто решает подзаработать, продавая информацию конкурентам. К тому же в период увольнения абсолютно любой сотрудник может стать инсайдером, просто собирая портфолио. Ведь в него «совершенно случайно» могут попасть новые разработки, или важная финансовая документация.
Серьезно об этой угрозе заговорили после случая с Эдвардом Сноуденом. Как оказалось, даже такая мощная структура, как ЦРУ, полностью не застрахована от утечки данных. «Панамский скандал» и причастность к нему двух сотрудников Mossack Fonseca лишь подлили масла в огонь.
По данным последних исследований, из-за действий инсайдеров в каждой компании происходит около 4х утечек информации ежегодно. В среднем, один подобный инцидент для европейского бизнеса обходится в 400 тысяч долларов. В сумму входит как непосредственный финансовый урон от потерь клиентов, разработок и стоимости акций, так и затраты на судебные издержки и ликвидацию последствий. Более 60% специалистов по безопасности считают, что за последние несколько лет активность инсайдеров увеличилась в несколько раз. По их мнению, главная причина, не позволяющая достойно противостоять угрозе – компании не внедряют инструменты, которые позволяют выявить злоумышленников, на основании их поведения и предполагаемых рисков.
Анализ аномалий
Анализ подозрительной активности, отклоняющейся от нормы – один из основных способов выявить инсайдера. В первую очередь, программные комплексы, позволяющие вести мониторинг подозрительного поведения, изучают стандартную активность, характерную для той или иной компании: количество обращений к базам данных, объемы копируемой и перемещаемой информации, частоту печати на принтерах, интенсивность почтовой переписки и общения в мессенджерах, общую активность сотрудников в рабочее время. Затем, программа ищет события, отклоняющиеся от нормы. Например, сотрудник копирует в несколько раз больше информации, чем обычно, или входит в базу данных, которую использует крайне редко. В такой ситуации система реагирует на инцидент и уведомляет ответственное лицо. Конечно, не вся «ненормальная» активность обязательно вредоносная, есть шанс, что сотрудник просто решает нестандартную задачу, требующую специфического подхода. Однако в большинстве случаев аномальное поведение — явный признак деятельности инсайдера, поэтому любые отклонения должны быть изучены и проанализированы ответственным лицом в обязательном порядке.
Анализ рисков
Анализ потенциальных рисков и угроз позволяет найти ответы на такие крайне важные вопросы, как: Где самое уязвимое место в периметре безопасности компании? Какая информация представляет наибольшую ценность? Кто из сотрудников имеет к ней доступ?
Не стоит ждать атаки на укрепленном участке периметра безопасности. Инсайдер, вредящий целенаправленно или действующий по неосторожности, обязательно окажется там, где сконцентрированы важные данные, а защита – минимальны. В сфере обеспечения информационной безопасности «Закон Мерфи» работает в полную силу. Поэтому выявление приоритетных рисков позволяет с наименьшими затратами финансовых и человеческих ресурсов обеспечить достойный ответ любым типам угроз.
Последний этап противодействия угрозам с помощью технических средств – гибридная аналитика. Карта приоритетных рисков и угроз совмещается с анализом отклонений в поведении персонала. При этом для каждого возможного инцидента разрабатываются модели адекватного реагирования и ответа. Главная цель гибридной аналитики – синергия всех возможных методов анализа и способов защиты информации для предотвращения утечек данных и минимизации возможного ущерба.
Человеческий фактор
В борьбу с инсайдерами и утечками данных очень важно привлекать абсолютно всех сотрудников компании. Вовлечение не должно ограничиваться сухой лекцией и подписанием соглашения о неразглашении. Каждый член коллектива должен осознавать свою персональную ответственность за сохранность ценных данных.
В зарубежной практике широко используют не только шарфы и наказания, но и бонусы для сотрудников, которые полностью придерживаются правил работы с информацией или находят лазейку в системе безопасности и уведомляют о ней ответственное лицо.
