o почтовый сервер (электронная почта);
o веб-сервер (открытые почтовые системы);
o принтер (печать документов);
o FDD, CD, USB drive (копирование на носители). [6]
Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж — лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.
Корпоративный саботаж — это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.
Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.
Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина.Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.
Табл. 2 События, предшествующие саботажу
| Конфликт | 20% |
| Увольнение | 47% |
| Отсутствие повышения | 13% |
| Другие | 20% |
Источник СЕRT
Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.
Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.
Табл. 3 Портрет типичного саботажника
| Инженер | 14% |
| Программист | 21% |
| Системный администратор | 38% |
| Специалист по IT | 14% |
| Другое | 13% |
Источник СЕRT
Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.
«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования... Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», — Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», — Бен.
Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам.Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% — коллеги, 21% — друзья, 14% — члены семьи, а еще 14% —сообщники.
В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% — конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% — offline, 22% — обоих сразу.
Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. [7]
Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда пристальное внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Во-вторых, телеком не так давно обзавелся собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи» [8]. Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ [9]. Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, оператору рекомендуется «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». От компаний требуют вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России – 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Нельзя обойти вниманием пункт, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту – в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Со временем такая норма должна появиться и в России.
Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это необязательный Кодекс корпоративного поведения ФСФР (Федеральная служба по финансовым рынкам), в Британии – Объединенный кодекс корпоративного управления (полуобязательный), а в США – закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.[10]
ФЗ «О связи» (ст. 46, п. 1) возлагает на оператора такие функции ИБ, как защита сооружений связи, средств связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности функционирования внутренней инфраструктуры оператора связи.
Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.
Самая известная в мире сертификация – по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ. Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации. Согласно этому стандарту, заключительный этап подтверждения эффективности системы ИБ – проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.