Табл. 9 Включить ли в «Базовый уровень…» требования к защите от внутренних угроз?
| Да, обязательно | 18% |
| Скорее да | 41% |
| Скорее нет | 10% |
| Нет, не нужно | 31% |
Наиболее популярными средствами ИБ в телекоммуникационных компаниях (Рисунок 4.7) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%).
В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.
Табл. 10 Используемые средства ИБ
| Антивирусное ПО | 100% |
| Межсетевые экраны | 79% |
| Контроль доступа | 68% |
| Антиспамовое ПО | 44% |
| IDS/IPS | 26% |
| VPN | 17% |
| Защита от утечки данных | 8% |
| Другое | 16% |
Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (Рисунок 4.4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.
Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (Рисунок 4.8) каждый респондент мог выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.
Табл. 11 Препятствия на пути внедрения защиты от утечки
| Бюджетные ограничения | 22% |
| Психологические препятствия | 18% |
| Юридические препятствия | 9% |
| Отсутствие технологических решений | 3% |
| Отсутствие стандартов | 30% |
| Нехватка квалифицированного персонала | 15% |
| Затруднюсь ответить | 2% |
| другие | 1% |
Можно сравнить эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.
Табл. 12 Наиболее эффективные пути защиты от утечки
| Организационные меры | 27% |
| Внедрение комплексных решений на основе ИТ | 49% |
| Ограничение с внешними сетями | 11% |
| Тренинги сотрудников | 9% |
| Другие | 3% |
| Никакие | 1% |
Следующий вопрос – наиболее эффективные способы защиты от утечек информации (Рисунок 4.9). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин не используются на практике. Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.
Табл. 13 Планы по внедрению защиты от утечек информации
| Система мониторинга электронной почты | 21% |
| Комплексная система мониторинга сетевых ресурсов | 41% |
| Система мониторинга Интернет- трафика | 20% |
| Система мониторинга рабочих станций | 15% |
| Не планируем | 4% |
Базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах. Вывод экспертов подтверждают планы внедрения средств защиты информации от утечек на ближайшие 2–3 года (Рисунок 4.10). Комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.
Главная озабоченность в проблеме внутренних нарушителей – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.
Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.
Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует. [10]
Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».Но и сейчас оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям, и хочет продемонстрировать взаимодействующим с ним операторам способность совместно с ними противостоять угрозам ИБ. Поэтому добровольная сертификация довольно распространена уже сегодня. [11]
5.Методы предотвращения внутренних утечек
По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа — профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих.Еще один чрезвычайно эффективный метод — регулярные тренинги или семинары, на которых до персонала доводится информация об угрозах IT-безопасности и саботаже как таковом. При таком подходе руководство делает ставку на тех сотрудников, которые взаимодействуют с саботажником в офисе, видят его нервозное поведение, получают угрозы в свой адрес и т. п. О подобных инцидентах следует тут же извещать уполномоченных лиц.
Следующий метод предполагает использование принципа минимальных привилегий и четкого разделения функций. Административных полномочий у обычных офисных служащих быть не должно. Также понятно, что сотрудник, отвечающий за резервные копии, не должен иметь возможности удалить данные в оригинальном источнике. Вдобавок в обязанности этого работника следует вменить информирование начальства в случае, если на резервные копии покусится какой-то другой служащий. Вообще, проблема защиты резервных копий может быть решена созданием их дубликатов. В связи с тем, что в компании, как правило, не так много по-настоящему критических данных, создание нескольких резервных копий представляется целесообразным.
Чрезвычайно важен момент эффективного управления паролями и учетными записями.
Лучшей профилактической мерой можно назвать мониторинг, причем не только пассивный (журналы событий), но и активный (защита ценной информации). В этом случае нанести реальный ущерб компании сможет только топ-менеджер, поскольку у остальных работников, имеющих доступ к цифровым активам фирмы, просто не будет прав на удаление ценной информации. На рынке уже есть специализированные решения для защиты данных от внутренних угроз, в том числе и от корпоративного саботажа.[7]
Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch, разработчиком систем защиты от инсайдеров. Оно позволяет обеспечить всесторонний контроль над всеми путями утечки конфиденциальных сведений: почтовым каналом и веб-трафиком, коммуникационными ресурсами рабочих станций и т. д. На сегодняшний день IES уже используется правительственными (Минэкономразвития, Таможенная служба), телекоммуникационными (ВымпелКом), финансовыми (Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК, Транснефть).
Архитектуру IES можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на персональных компьютерах и ноутбуках и отслеживают операции на уровне операционной системы . Сетевые мониторы IWM и IMM также могут быть реализованы в виде аппаратного устройства – InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и веб-трафика. Преимущества такого подхода лучше всего проявляются при защите сложной вычислительной сети, охватывающей территориально распределенные филиалы.