Обзор Защита информации и бизнеса от инсайдеров подготовлен

Дмитрий Огородников: Спрос на защиту от внутренних угроз сегодня выше, чем на традиционные решения

На вопросы CNews ответил Дмитрий Огородников, директор департамента информационной безопасности «Энвижн Груп».

CNews: В СМИ и на специализированных мероприятиях достаточно много внимания уделяется проблеме внутренних угроз. Отражается ли это на практической стороне вопроса?

Дмитрий Огородников: Несомненно. С каждым днем становится все больше компаний, кто не только говорит о том, что проблема внутренних угроз существует, но и предпринимает активные действия в области внедрения решений, помогающих контролировать основные каналы утечки информации. Как практикующий «безопасник» могу отметить, что количество запросов на подобные решения превышают сегодня запросы на такие традиционно популярные средства, как антивирусная защита и межсетевое экранирование, что само по себе является подтверждением того, что это действительно насущная проблема.

CNews: Исследования показывают, что компании боятся инсайдеров, но в реальности сталкиваются значительно чаще с совершенно иными угрозами – например, с теми же вирусами. Может быть, проблема инсайдеров просто преувеличена?

Дмитрий Огородников: Не думаю, что проблема инсайдеров преувеличена. Если посмотреть на последний отчет ФБР «Computer Crime & Security Survey 2006», можно увидеть, что проблема внутренних угроз занимает второе место (после вредоносных программ). Также не следует забывать о том, что для большинства компаний ущерб от утечки информации очень сложно подсчитать полностью, поскольку кроме прямого ущерба (штрафов, ответственности перед законом и т.п.) существуют и косвенные составляющие такого ущерба – уход клиентов, срыв контрактов, подрыв доверия со стороны потенциальных клиентов и т.д. Кроме того, я полагаю, что официальные показатели сумм ущерба от действий инсайдеров могут сознательно занижаться компаниями. Мало кто хочет выносить «сор из избы», тем более, если это может негативно отразиться на бизнесе.

Проблема инсайдеров многогранна и только часть ее лежит в области информационных технологий. Человеческий фактор может играть в утечках информации ведущую роль, и в ряде случаев бороться с этим просто невозможно. Человек может просто запомнить важную информацию и вынести ее в собственной голове, не используя при этом никакие средства и устройства. И это тоже часть проблемы инсайдеров. Я совсем не хочу сказать, что бороться с этой угрозой бесполезно, ее можно минимизировать, и наиболее эффективно в части защиты «от дурака» и «случайных утечек», когда критичная информация по халатности или недосмотру оказывается доступной сотрудникам, не использующим ее в своей работе.

CNews: Какая доля внутренних нарушений приходится, на ваш взгляд, на преднамеренные - и на непреднамеренные?

Дмитрий Огородников: Доля непреднамеренных нарушений всегда бывает выше, чем специально спланированных инсайдерских действий. Можно сказать, что соотношение таких нарушений примерно 70/30. Но не стоит забывать, что преднамеренные нарушения могут наносить значительно больший финансовый ущерб. Например, информация с номерами кредитных карт клиентов банка или данные о готовящейся сделке могут стоить несоизмеримо больше, чем вместе взятые мелкие нарушения со стороны сотрудников за весь год. Хотя, и непреднамеренные нарушения могут вести к неприятным последствиям, так, например, неверно введенные данные оператором какого-либо приложения могут вести к отказу в обслуживании данного ресурса, что также влечет за собой финансовый ущерб для компании.

CNews: Достаточно ли на рынке представлено средств противодействия внутренним угрозам? Каких, на ваш взгляд, не хватает?

Дмитрий Огородников: На мой взгляд, сегодня на рынке представлен широкий спектр подобных средств, и эти средства охватывают основные на сегодня каналы утечки информации: электронную почтовую систему, веб, всевозможные подсоединяемые устройства – USB, смартфоны, КПК, но, вместе с тем, проблема все-таки существует. Использование спектра средств от разных производителей повышает расходы на зарплату и обучение сотрудников, которые их обслуживают, увеличивая, тем самым, стоимость владения.

Кроме того, нехватка комплексных средств, которые реализуют защиту всех возможных каналов утечки, тянет за собой проблему управляемости: вы не можете видеть картину по данным угрозам в реальном времени, либо видите ее не полностью, что ведет к несвоевременному или неадекватному реагированию на инцидент.

CNews: Если рассматривать весь спектр внутренних угроз информационной безопасности, то какие из них наиболее актуальны?

Дмитрий Огородников: Среди наиболее актуальных угроз я бы выделил две: преднамеренную утечку данных и саботаж, поскольку ущерб от них может в сотни и более раз превышать ущерб от непреднамеренных нарушений, несмотря на то, что число последних, конечно же, гораздо выше.

CNews: Какие меры необходимы для уменьшения ущерба от непреднамеренных внутренних нарушений?

Дмитрий Огородников: Что касается непреднамеренных внутренних нарушений, то здесь можно было бы порекомендовать следующее: во-первых, должна быть грамотно построена система аутентификации и авторизации пользователей, с тем, чтобы сотрудник, у которого нет необходимости иметь доступ к определенной информации не мог по ошибке или из любопытства удалить или заменить какие-либо ценные файлы или данные. А во-вторых, необходим контроль над наиболее популярными каналами утечки данных, а именно все той же почтой и вебом, что может значительно снизить уровень «случайных» злоупотреблений или вовремя выявить беспечных сотрудников, например, использующих корпоративную электронную почту для личной переписки и пересылки подозрительных файлов, либо посещающих сомнительные веб-ресурсы.

CNews: В какой последовательности и какие меры вы порекомендовали бы компаниям для эффективного противодействия внутренним угрозам?

Дмитрий Огородников: Для любой организации, понимающей проблему угрозы со стороны инсайдеров и всерьез думающей о мерах противодействия, в первую очередь, необходимо определить, какие именно виды этой угрозы критичны для данной конкретной организации и откуда они могу появиться с наибольшей вероятностью. Важно не просто внедрить систему информационной безопасности, а для начала понять, зачем она нужна и от чего (кого) необходимо защищаться.

Во-вторых, как я уже упоминал, система защиты от внутренних угроз должна быть комплексной, позволяющей не только контролировать каналы утечки информации, но и своевременно реагировать на подобные инциденты.

И последнее, на что хотелось бы обратить отдельное внимание, это необходимость постоянной «работы с людьми». Это касается всех без исключения сотрудников, которые должны понимать, зачем нужна информационная безопасность в компании, и какие последствия может иметь беспечность и невнимание к соблюдению правил работы в корпоративной информационной системе. В особой степени это касается тех сотрудников, кто имеет доступ к критичным данным -  с точки зрения безопасности эти люди могут быть потенциальными нарушителями и даже невольное нарушение с их стороны (незаблокированный компьютер, отсылка конфиденциальной информации в открытом виде и т.д.) могут иметь самые серьезные последствия для компании.

CNews: Спасибо.