In English

Враг внутри нас

10.04.2006, Некрасова Елена
Издание: CIO
Тема внутренних угроз, безусловно, не нова – так, в банковской сфере, где постоянно проводится мониторинг и анализ угроз, специалисты, ответственные за безопасность бизнеса, давно выявили соотношение внешних и внутренних угроз. Оказалось, что большая часть – примерно 65% всех опасностей – находится не снаружи, а внутри организации. «Но, тем не менее, все продолжали совершенствовать защиту периметра: ограждали сети, ставили межсетевые экраны, антивирусы – словом, внедряли традиционный набор средств, обеспечивающих информационную безопасность, – отмечает Андрей Петухов, директор департамента систем информационной безопасности группы компаний „АйТи“. – Это, безусловно, необходимый, но совершенно недостаточный комплекс мер, поскольку он практически не затрагивал внутренние угрозы».

Тема внутренних угроз стала активно подниматься в среде специалистов по ИТ в последние два-три года. Как и в любой «молодой» области, у нее еще не вполне сложилась терминология. Большинство российских специалистов считает, что к внутренним угрозам относится не любая реализованная внутри компании угроза, а только угроза, возникшая без нарушения сотрудником формально установленных в организации процедур, норм и правил. На первый взгляд, налицо явное противоречие: если человек делает то, что разрешено, значит, он не может причинить организации никакого вреда. Но это только на первый взгляд.

В обеспечении любой безопасности есть три идеологических вектора: выявление, пресечение и предупреждение угроз. В информационной безопасности в некоторой (правда, весьма условной) аналогии с этой триадой находятся контроль, ограничение и нормирование. Когда в организации, в соответствии с принятой политикой информационной безопасности, ограничиваются полномочия пользователя, его доступ к информации, это ограничение, как правило, строится не на тщательном многоаспектном анализе, а на достаточно простых и прямолинейных соображениях. Поэтому сотрудникам предоставляются несколько избыточные полномочия, так как, опасаясь запретить «необходимое», разрешают «лишнее». Например, руководствуясь соображениями унификации конфигурации рабочего места, операционисту банка предоставляют право не только просматривать содержимое счетов, но и копировать их. «Реальные границы полномочий каждого сотрудника очень причудливы, а средства обеспечения ИБ часто не позволяют учесть всех нюансов. В результате вместо замысловатой, узорчатой кривой мы строим многоугольник. Вот здесь и кроется корень многих зол информационной безопасности: сотрудникам всегда предоставляется больше возможностей, чем необходимо для выполнения должностных обязанностей. Именно в этом пространстве между минимально необходимыми и реально предоставленными полномочиями и возникают внутренние угрозы», – говорит Андрей Петухов. Люди, получая чуть больше возможностей, чем необходимо в действительности, относятся к этой нечаянной свободе по-разному. Большинство вполне лояльно настроены к своей компании, а потому не обращают свои полномочия ей во вред. Но часть сотрудников, сознательно или бессознательно, становятся злоумышленниками.

Энтузиасты и Геростраты

Всех носителей внутренних угроз можно условно разделить на несколько групп.

К «бессознательным вредителям» относятся сотрудники, пытающиеся реализовать полученные возможности, например, для усовершенствования своей деятельности. Эти «рационализаторские предложения», не предусмотренные регламентами, могут привести либо к утечке информации, либо к нарушениям в работе информационных систем. Сплошь и рядом возникают ситуации, когда человек берет работу на дом, выводит информацию на внешний носитель, а затем либо по забывчивости теряет его, либо попадает в поле зрения охотников за данной информацией. Неумеренный энтузиазм может являться причиной не только утечки информации, но и сбоев в работе ИС. Специалисты «АйТи» вспоминают курьезный случай, произошедший в одном из крупных коммерческих банков: накануне праздника сотрудник на несколько часов вывел из строя почтовый сервер, рассылая поздравительные открытки всем коллегам и знакомым.

Другую группу бессознательных нарушителей составляют сотрудники, считающие, что способны на большее, нежели им предписано функциональными обязанностями. Этот потенциал – реальный или мнимый – они пытаются продемонстрировать коллегам и руководству. Они, например, часто берутся за переустановку ПО, которое, по их мнению, функционирует не совсем правильно… а в результате их усилий вообще перестает работать.

Но обе эти группы движимы исключительно благими намерениями. Правда, по известной поговорке, эти намерения зачастую приводят к плачевному результату, но, если направить энергию таких энтузиастов в рациональное русло, они становятся вполне лояльными пользователями.

Сложнее обстоит дело с нарушителями, сознательно стремящимися нанести вред родной организации. Зачастую это люди с уязвленным самолюбием, достоинства которых, по их мнению, недооценило руководство. И, коль скоро добрыми делами прославиться не удается, они решаются оставить свой «след в истории» иным образом, показав, что настоящий талант талантлив во всем, в том числе и в разрушении. Некоторым из них действительно удается снискать славу Герострата местного масштаба – обычно она бывает прямо пропорциональна причиненному ущербу.

Другая категория вредителей – сотрудники, увольняющиеся из организации в результате конфликта. Они стараются уйти, хлопнув дверью так, чтобы посыпалась не только штукатурка, но и информационная система. Наиболее «талантливым» удается нанести весьма ощутимый вред ненавистной компании.

Некоторые специалисты по ИБ относят к категории внутренних нарушителей сотрудников, которые мотивированы на кражу или порчу информации извне. Большинство российских специалистов склонны причислять их деятельность к разряду внешних угроз, поскольку источник и движущая сила таких угроз находятся вне организации.

Конечно, эта классификация очень приблизительная, в жизни все гораздо сложнее. Зачастую реальные нарушители относятся сразу к нескольким категориям либо их мотивы лежат где-то посередине между мотивами описанных категорий носителей угроз.

Сор остается в избе

Одна из основных причин, сдерживавших до недавнего времени развитие защиты от внутренних угроз, проста: организации считали неправильным выносить на широкое обсуждение случаи утечки информации или сбоев в работе ИС по вине собственных сотрудников. Такие истории могут серьезно пошатнуть авторитет компании, со всеми вытекающими финансовыми последствиями. Согласно данным аналитических исследований, в официальных опросах на вопрос о том, реализовывались ли угрозы в области информационной безопасности из-за действий персонала, утвердительно отвечают не более 20% компаний. В приватных беседах или в ходе ИТ-аудита систем ИБ выясняется, что пострадавшими оказываются около 80% организаций.

По этой же причине пока нет достоверной статистики реализации угроз, исходящей от каждой из описанных групп нарушителей.

Тем не менее, специалисты по ИБ уже достигли определенных успехов в разработке методик, предназначенных для оценки потенциальной опасности, исходящей от персонала организации. Эти методики базируются на знаниях в области социальной психологии и психофизиологических исследований. «Мы не призываем каждую компанию иметь полиграф, – говорит Андрей Петухов. – Но есть проверенные временем и обширной мировой практикой методы тестирования. Человек, почти играя, заполняет несложную анкету, а в результате вы получаете профиль его лояльности. Разумеется, к результатам такого тестирования надо подходить диалектически, тест не повод к увольнению или наклеиванию ярлыка неблагонадежного сотрудника, это информация к размышлению и применению некоторых предупредительных мер».

Укрощение строптивого

В идеале, тестирование персонала в интересах информационной безопасности должно происходить на регулярной основе. Кроме того, некоторые выводы относительно лояльности человека можно сделать на основе регулярного мониторинга косвенных факторов: как построен рабочий график человека, какие документы и в каких количествах он копирует, чистит ли почтовый ящик или накапливает письма и тому подобное. И здесь неоценимо сотрудничество с психологами, в том числе социальными, и со специалистами по управлению персоналом.

После выявления и классификации потенциальных носителей угроз специалисты по ИБ из арсенала средств контроля и профилактики выбирают те меры, которые будут наиболее действенны в отношении нарушителя данного типа, а может быть и в отношении данного сотрудника. «Применять такие меры тотально слишком затратно, поскольку любая защита стоит денег, – объясняет Андрей Петухов. — Любой мониторинг сказывается на производительности сети, его результаты нужно квалифицированно анализировать, любое неаккуратное ограничение может „отрезать“ действительно необходимую пользователю функциональность. А если эти средства набирать точечно, только в отношении тех людей, которые склонны к нарушениям – и эффект будет больше, и затраты меньше». Однако такая методика набора персонифицированной защиты от внутренних угроз – пока дело будущего. В большинстве организаций вместо персонального профиля пока создаются профили групповые, на основе должностных обязанностей той или иной категории сотрудников.

Некоторые организации, осознавая проблему, уже пытаются решать ее, доводя при этом идею индивидуального подхода до абсолюта. Консультанты «АйТи» рассказывают о ситуации в одном из коммерческих банков, в котором на 3 000 сотрудников существовало около 1 500 профилей безопасности. Разумеется, поддерживать их в актуальном состоянии было практически невозможно. После проведенного анализа количество профилей было сокращено в десять раз. Управлять доступом к информации стало легче, но одновременно возросла возможность реализации рисков, поскольку сотрудники разных подразделений, объединенные в большие группы, получили избыточные права. «Решение проблемы защиты от внутренних угроз лежит в области персонификации по уровню и характеру лояльности, а не только по функциональным обязанностям или положению сотрудника на административной лестнице», – уверен Андрей Петухов.

По мнению специалистов «АйТи», защита от внутренних угроз должна строиться по следующей схеме.

Прежде всего, необходимо организовать «инвентаризацию» реального использования предоставленных сотруднику возможностей работы с информационными ресурсами. Эти возможности всегда выражены в терминах некоторой модели ограничений. Например, защита от несанкционированного доступа оперирует категориями «ресурс» (файл, директория, запись и т. п.) и «функция» (читать, изменять, удалять, копировать и т. п.). Межсетевой экран настраивается в терминах «протокол», «порт», «IP-адрес» и др. Таким образом, можно специфицировать и перечислить в этих терминах все возможности, предоставленные конкретному субъекту: пользователю, процедуре, сегменту сети и т. п. А после этого можно в течение какого-то времени фиксировать реализацию той или иной возможности. В результате выявляется набор полномочий, которые не используются никогда. Их можно смело удалять из профиля полномочий объекта, минимизируя зазор между его служебными потребностями и возможностями.

Далее необходимо получить и проанализировать характеристики лояльности пользователей для их классификации с точки зрения внутренних угроз ИБ. У 80% сотрудников на «портрете потенциального нарушителя» не будет ни единого штриха: люди лояльны организации, ритмично и целесообразно строят рабочий график, психологически стабильны. Остальные 20% подлежат более пристальному рассмотрению. Они должны быть отнесены к заранее описанным группам риска. Предполагается, что вместе с описанием в организации создан арсенал средств по работе с каждой из групп. «Таким образом, обеспечивается персонифицированный подход с точки зрения правил политики безопасности», – говорит Андрей Петухов.

Арсенал

Сегодня доступен широкий спектр технических и технологических средств для предотвращения угроз в области ИБ и борьбы с ними.

Внутреннее разграничение информационного пространства. «Сейчас защита в основном строится по внешней границе корпоративных информационных систем, пролегающей между собственными ИС организации и Интернетом, – рассказывает Андрей Петухов. – Все пространство внутри этого периметра считается доверенной зоной, причем в абсолютном большинстве случаев – равнодоверенной. Это большая ошибка с точки зрения внутренних угроз. Информационное пространство необходимо делить на подпространства, между которыми надо установить такие же средства защиты (внутренние экраны или, в крайнем случае, виртуальные подсети), как и на внешнем периметре. Количество реализованных внутренних угроз, таким образом, будет обратно пропорционально количеству этих подпространств». Риски будут реализованы уже не в масштабах всей системы, а в пределах данного участка корпоративной ИС.

Сейчас специалисты по ИБ занимаются созданием «банка» ситуаций, таящих в себе внутренние угрозы информационной безопасности. Аналогичным образом происходило накопление эвристического опыта в области компьютерных вирусов или защиты данных. Этот опыт затем реализуется в конкретных мерах по обеспечению информационной безопасности: например, устанавливается разделение очередей трафика для разных пользователей, строятся экраны между зонами информационного пространства, эти экраны комплексируются со средствами обнаружения атак, запрещая, в случае возникновения тревоги, передачу данных по периметру зоны. «Можно, конечно, долго дискутировать на тему достоверности сигнала от IDS и ложных срабатываний, но на сегодняшний день это достаточно надежное решение для локализации внутренних угроз. В идеале, надо бы такой зоной сделать каждого потенциального нарушителя. Разумеется, в масштабах крупной компании 20% персонала может составлять сотни людей, поэтому возвести вокруг каждого индивидуальный „забор“ невозможно, такая схема будет неуправляемой. Но организация защиты от внутренних угроз уже движется в сторону сегментирования информационного пространства компаний», – рассказывает Андрей Петухов. Средства сегментирования совсем недавно появились на российском рынке, на сегодняшний день эта категория средств представлена изделиями компаний Range Networks и Sistola. Они постепенно сертифицируют свои средства и начинают работать с российской криптографией.

Наблюдение за деятельностью сотрудников и формирование цепочек подозрительных транзакций. Например, в каждой организации есть документы ограниченного доступа. Пользователи, имеющие доступ к этим документам, периодически открывают их для работы. Это, разумеется, нормальная ситуация. Но если после открытия такого документа у пользователя заработал USB-порт или принтер – есть повод заинтересоваться: что именно он копирует? Такая цепочка действий попадает в разряд подозрительных. Библиотека цепочек постепенно набирается, специалисты ИБ рекомендуют осмысливать их и принимать меры к предотвращению наступления рисков. Подход к предотвращению угроз может и должен быть персонифицирован: если твердые копии мемориального ордера делает операционист банка – он выполняет свои непосредственные обязанности, а если то же самое делает секретарь директора — ситуация тревожная.

Аппаратное ограничение возможностей работы с ИС. «С точки зрения информационной безопасности, в частности защиты от внутренних угроз, терминальные технологии – это качественно новый уровень. При работе в таком режиме пользователь не может скрыть ни одного своего шага в работе с ИС», – подчеркивает Андрей Петухов.

Средства, обеспечивающие поддержку различных направлений информационной безопасности, уже сегодня вполне приемлемы по цене для большинства российских компаний. Дорогими остаются системы универсального мониторинга – CA TNJ Unicenter, HP OpenView, практически все компоненты IBM Tivoli. И, конечно, очень дорогостоящей остается экспертиза ИС с точки зрения уязвимостей. «До тех пор, пока не отработаны методики, проекты по созданию систем информационной безопасности будут держаться на очень высокой компетенции специалистов по ИБ. Это на какой-то период времени может оставаться препятствием к развитию рынка. Но, в конечном итоге, информационная безопасность, как и любая другая развивающаяся область, не может вечно оставаться прерогативой экспертов-одиночек. Спрос определяет предложение, а потому на рынке ИТ все больше будет появляться специалистов, способных грамотно выстроить систему информационной безопасности», – прогнозирует Андрей Петухов.

Центральный федеральный округ