Защита от инсайдера

Григорий Рудницкий, Алексей Доля, Юрий Пиддубняк
По оценкам экспертов исследовательской компании Perimetrix, компании теряют из-за внутренних преступлений около 2% своего оборота. Убытки от инсайдерских утечек достигли того уровня, когда организациям стоит коренным образом пересмотреть собственные системы информационной безопасности. Эксперты отмечают, что одних только технических средств для обеспечения безопасности корпоративной информации уже недостаточно.
Осенью были опубликованы результаты исследования Global Economic Crime Survey 2007, проведенного компанией Pricewaterhouse Coopers (PwC). В нем приняли участие 5400 компаний из 40 стран. Хотя это исследование не охватило Украину, в нем участвовало 125 компаний, работающих на во многом схожем с украинским IT-рынке России. Согласно результатам исследования, за последние два года большинство респондентов столкнулось с экономическими преступлениями, вызванными нарушением режима информационной безопасности внутри компаний. При этом в большинстве случаев виновными оказывались топ-менеджеры, а средний материальный ущерб от мошеннических действий составил $12,8 млн. Лидером по числу инсайдерских преступлений стала Россия: более половины (59%) российских компаний пострадали за последние два года как минимум от одного серьезного экономического преступления. Этот показатель на 10% выше числа мошеннических действий, выявленных в России в ходе обзора 2005 года, а также значительно больше среднемирового (43%) и среднеевропейского (50%) уровней. В основном это хищение активов компании, нарушение прав интеллектуальной собственности (в том числе утечка информации, составляющей коммерческую тайну), искажение отчетности. Не стоит забывать и о косвенном ущербе – потере репутации, судебных разбирательствах и падении морального духа компании. На это же указывают в своем отчете эксперты PwC: значительная часть (почти 70%) пострадавших компаний понесли косвенные убытки. Однако эксперты компании Perimetrix, занимающейся защитой от утечки информации, убеждены, что доля косвенного ущерба российских компаний по сравнению с общим масштабом убытков невелика. Дело в том, что в России бытует мнение, что любые инсайдерские преступления нельзя предавать огласке: чаще всего виновного тихо увольняют, а службу безопасности лишают премии. Схожая ситуация наблюдается и в Украине.
Исследование также показало, что исполнителями почти половины инсайдерских преступлений были топ-менеджеры компании, а заказчиками – конкуренты или деловые партнеры. Как отмечается в отчете PwC, растет число инцидентов с участием штатных сотрудников компаний (38% в 2007 году против 13% в 2005 году). Интересно, что 41% преступников внутри российских предприятий занимают руководящие посты. Этот показатель, по данным опроса, значительно выше, чем в Центральной и Восточной Европе (38%) и остальных странах мира (20%). Эксперты Perimetrix объясняют это тем, что топ-менеджмент, имея полный доступ к финансовым и информационным активам компании, прекрасно знает ее наиболее уязвимые места. Служебное положение дает возможность закамуфлировать свои действия и принятые в ущерб интересам собственника решения.
Самым распространенным видом преступлений в сфере внутренней безопасности в странах Центральной и Восточной Европы является незаконное присвоение или хищение корпоративных активов (43%). Далее следуют нарушение прав интеллектуальной собственности и искажение отчетности (28% и 18% соответственно). Предотвратить инсайдерскую утечку данных могут вовремя принятые меры. Обнаружить попытку мошенничества можно тремя способами: случайно, с помощью работы механизма внутреннего контроля и путем аудита. Большинство экономических преступлений в России были раскрыты корпоративной службой безопасности и службой внутреннего аудита (28% и 20% соответственно). В отчете PwC представлен портрет типичного информационного мошенника: мужчина в возрасте от 31 до 40 лет с высшим образованием, находящийся на руководящей должности около двух лет.
Более плачевно выглядит ситуация, сложившаяся в Украине. Эксперты сетуют на то, что представители отечественного бизнеса неправильно подходят к базе системы информационной безопасности – соответствующим отделам компаний. "В прошлом и позапрошлом годах наконец-то начали появляться регулярные подразделения информационной безопасности,– говорит руководитель программы подготовки администраторов информационной безопасности академии "БМС Консалтинг" Владимир Безмалый.– Но вместе с тем проблемы роста остались. Такие отделы, а наиболее часто это даже не отдел или сектор, а просто выделенный специалист, подчиняются либо службе безопасности, либо службе IT, что одинаково вредно". По мнению господина Безмалого, оптимальным вариантом является структура, в которой служба информационной безопасности подчинена непосредственно первому лицу компании.
Защитная реакция
По словам старшего маркетингового аналитика "Лаборатории Касперского" Олега Гудилина, раньше даже крупные российские компании подходили к охране своей информации фрагментарно, внедряя отдельные продукты и не имея при этом четкого плана и стратегии защиты. Исключение, пожалуй, составляли только банки и другие финансовые учреждения. Сейчас ситуация, по его словам, кардинально меняется – все больше предприятий разрабатывают комплексные меры защиты информации. Эта тенденция наблюдается и в Украине: отечественный бизнес взялся не только за построение жестко структурированных систем информационной безопасности, но и за приведение их в соответствие с мировыми нормами. "Сегодня украинские компании активно внедряют системы информационной безопасности,– отмечает руководитель службы консалтинга "Лаборатории Касперского" в Украине Владимир Тихонов.– Осуществляют системное построение защиты информации на базе требований ISO 17799, ISO 25001". Об этом косвенно свидетельствует тот факт, что еще в позапрошлом году в Украине появились компании, сертифицированные Британским институтом стандартов BSI для проведения аудита по общепринятым мировым нормам. "Кроме того, стоит упомянуть такой положительный момент, как появление подразделений аудита информационной безопасности,– говорит господин Безмалый.– Однако и здесь не обошлось без ложки дегтя. Чаще всего такие подразделения подчиняются службе информационной безопасности, что сводит их эффективность к нулю".
Еще одной проблемой является практически полное отсутствие статистических данных или объективных исследований в данной области. Единственным источником информации в Украине являются участники рынка информационной безопасности, которые не спешат раскрывать тайны своих клиентов. Впрочем, накопленная экспертами информация позволяет сегментировать угрозы, которым в большей мере подвержены украинские компании. "Наибольшую опасность для бизнеса, безусловно, представляют действия инсайдеров",– отмечает Владимир Безмалый. С ним соглашается и Владимир Тихонов: "Актуальность проблемы внутренних угроз подтверждает статистика: по разным оценкам, от 70% до 80% потерь от преступлений в сфере IT приходится на атаки изнутри. Наиболее критичная угроза с точки зрения финансовых потерь – это ущерб, причиняемый собственными сотрудниками, и, в частности, утечка конфиденциальной информации из сетей компаний и организаций".
В украинском офисе "Лаборатории Касперского" отмечают, что второе место по опасности занимают вирусы и другие вредоносные программы, но в ближайшем будущем это направление может сильно измениться. "2007 год останется в истории как год смерти некоммерческих вредоносных программ,– отмечает господин Тихонов.– Окончательная это смерть или нет – покажет будущее. Пока можно только констатировать, что в 2007 году не было ни одной заметной эпидемии или распространенной вредоносной программы нефинансового характера. Действия злоумышленников характеризуются экономической целесообразностью и жаждой денег. Сегодняшние нелегальные добытчики информации далеки от образа юного хулигана. Их место заняла организованная сетевая преступность. Идет тотальная криминализация интернета. Хакеры – уже не мальчики-энтузиасты конца прошлого столетия, взламывающие государственные сайты ради забавы. Современных сетевых преступников можно сравнить с международной мафией: они распределены по миру, поэтому жертва и взломщик чаще всего находятся в разных странах, а то и на разных континентах. Преступники используют малейшую возможность заработать деньги любым доступным способом – взлом с последующей кражей, шантаж".
Эксперты отмечают, что в будущем ситуация только ухудшится. "По прогнозам экспертов 'Лаборатории Касперского', в текущем году нас ожидает уже не четырехкратный, а десятикратный рост численности новых вредоносных программ, количество которых в 2008 году превысит 20 млн",– считает господин Тихонов. "Угроз информационной безопасности будет значительно больше, к тому же они станут значительно изощреннее,– соглашается Владимир Безмалый.– В ближайшее время на рынке появится новый тип угроз – для мобильных устройств. Вернее, они уже есть, но массовый характер приобретут в ближайшее время".
Специалисты сходятся во мнении, что для обеспечения безопасности корпоративной информации одних только технических средств недостаточно. "Инсайдерские атаки весьма многогранны, и определить здесь комплекс мер достаточно сложно. Могу сказать одно – это будут меры как организационного характера, так и технического",– отмечает Владимир Безмалый.

Коммерсантъ - Телеком/IT // от 15.05.2008