4.1.1. Тенденции

Угрозы целям любого человеческого сообщества, исходящие от его участников, нельзя отнести к новым, появившимся в последнее время формам угроз. Такие угрозы существовали и реализовывались всегда, всегда осознавались и учитывались членами любого сообщества. Их изначальная природа погружена в сферу личностных мотивов, а также человеческих отношений [33] и не меняется многие тысячи лет. Глубинные причины внутренних происшествий в современной коммерческой организации совпадают с причинами внутренних происшествий в любом другом сообществе в истории человечества: в племени, в военном отряде, в монашеском ордене, в команде корабля.

В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.

Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:

— высокий уровень конкуренции между предприятиями;

— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;

— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;

— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;

— большой размер организационных структур и масштабов их деятельности;

— изменение трудовой культуры, текучесть кадров;

— высокие, постоянно растущие материальные ожидания персонала;

— социальная напряженность в обществе, «падение нравов»;

— уход документооборота и других операций в электронную форму;

— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;

— возрастание сложности информационных технологий как в результате реагирования на усложнение деятельности организации, так и из-за существующих тенденций развития ИТ;

— высокая изменчивость ИТ как в результате реагирования на потребности бизнеса, так и из-за существующих тенденций развития ИТ;

— расширение каналов связи между информационными системами предприятий и сетью Интернет;

— расширение телекоммуникационных возможностей;

— повышение законодательных требований к объемным и качественным характеристикам отчетности, усиление ответственности организаций за качественных характеристики формируемой отчетности;

— масштабное использования аутсорсинга — использования услуг внешних организаций для решения задач, которые традиционно решались внутри организации ее работниками (бухгалтерских задач, задач разработки, внедрения и эксплуатации ИТ, задач аудита и др.).

Действие комплекса перечисленных взаимосвязанных явлений приводит к следующим последствиям:

1) информационная сфера организации стала более чувствительной для целей организации, цена успехов и неудач сильно возросла;

2) современные информационные технологии стали общедоступным для каждого сотрудника современной организации инструментом и неотъемлемым элементом многих видов основной, вспомогательной и управленческой деятельности, осуществляемых в организации; намеренное или случайное применение ИТ против целей организации может нанести организации существенный ущерб;

3) проблема доверия между организацией и ее сотрудниками становится год от года только острее.

В результате значимость угроз ИБ от персонала для современной организации постоянно возрастает.

В настоящей главе рассматриваются только преднамеренные угрозы ИБ от персонала, т. е. угрозы в информационной сфере организации, связанные с преднамеренными действиями ее персонала, осуществляемыми с использованием служебных полномочий и направленными против интересов организации.

 

4.1.2. Термины и определения

К сожалению, в современных источниках не существует устоявшейся терминологии в области угроз от персонала. Активно применяются термины: внутренний нарушитель, внутренний злоумышленник, инсайдер, корпоративное мошенничество, злоупотребление полномочиями и др. При этом содержание самих терминов часто неоднозначно даже у одного автора. Например, под инсайдером может пониматься:

— любой человек внутри организации;

— лицо, обладающее внутренней информацией организации, недоступной посторонним;

— лицо, нарушающее требования безопасности организации (например, «любой авторизованный пользователь, совершающий неразрешенные действия» [34]);

— лицо, обладающее правом принятия решений в организации (например, «физические лица, способные воздействовать на принятие решения о выдаче кредита банком» [35]);

— любое лицо, которому разрешен или был разрешен доступ к информационной системе [36];

— злонамеренный сотрудник организации, внутренний злоумышленник (например, «лица, которым разрешено или было разрешено использовать информационные системы, которые они в конечном счете использовали для совершения преступления (или нанесения ущерба)» [37]);

— сотрудник организации, пользующийся служебными полномочиями в личных целях.

Перечисленные категории близки, но не совпадают полностью, что создает неопределенность, препятствующую накоплению знаний в рассматриваемой области и обмену знаниями между специалистами.

Поэтому в настоящей главе мы ограничили ряд необходимых для изложения материала терминов, а их содержание раскрыли в данном подразделе.

Сотрудник организации — лицо, выполняющее работу в этой организации на временной или постоянной основе, которому организация доверяет, предоставляя необходимые ему для выполнения обязанностей полномочия и информацию.

Персонал организации — множество всех сотрудников организации.

Инсайдер — лицо, обладающее служебными полномочиями в отношении информационных активов организации и (или) знаниями особенностей ИТ-среды организации, которые могут быть использованы нежелательным для организации образом.

К служебным полномочиям инсайдера могут быть отнесены следующие:

— доступ к служебной информации ограниченного распространения, представленной в различной форме (например, персональные данные, информация, составляющая коммерческую и банковскую тайны);

— полномочия в рамках корпоративного управления (руководство, планирование, координация, контроль, согласование, инициативы по внесению изменений, ознакомление с документами, обеспечение и др.);

— доступ к информационным системам организации на различных уровнях: на уровне аппаратного обеспечения, на уровне операционной системы, на сетевом уровне, на уровне администрирования приложений и баз данных, на уровне пользователя приложений (доступ на уровне пользователя за исключением систем общего доступа, таких как публичный веб-сайт, банкоматы, терминалы платежной системы и т. п.);

— физический доступ на объекты организации (доступ к средствам обработки информации, съемным носителям информации и т. д.);

— использование телефонной, радио и других видов связи с терминалов на территории организации;

— другие полномочия.

Понятно, что большинство инсайдеров являются сотрудниками организации (относятся к персоналу организации). Однако отдельными характерными для инсайдера признаками могут обладать и другие лица:

— сотрудники регулирующих и правоохранительных органов, которым для выполнения их функций необходим доступ на территорию и (или) к информационной системе организации;

— сотрудники организаций-подрядчиков (в том числе потенциальных, с которыми еще не установлены договорные отношения);

— бывшие сотрудники организации, которые зачастую обладают серьезными знаниями внутренней среды организации и поддерживают контакты с бывшими коллегами;

— другие лица, которым правомерно (например, в силу деловой необходимости) организацией предоставлены характерные для инсайдера возможности (знания и (или) полномочия).

Далее в настоящей главе с целью упрощения будем рассматривать только умышленные (являющиеся результатом преднамеренных действий) угрозы ИБ от персонала организации (к персоналу относится большая часть инсайдеров). Однако в жизни все сложнее, и на практике необходимо учитывать опасности, исходящие от инсайдеров всех категорий.

Инцидентом с участием сотрудника организации (нападением, атакой) будем называть происшествие, в результате которого наступили (или с высокой вероятностью могли наступить) негативные последствия для организации и значимой причиной которого стало преднамеренное использование (или неиспользование — бездействие) сотрудником служебных полномочий и (или) знаний.

Происшествия, в которых негативная роль сотрудников связана с их непреднамеренными действиями (ошибками, халатностью, обманом со стороны третьих лиц), не будут рассматриваться в настоящей главе, хотя зачастую такие происшествия также представляют значительную опасность.

Злоумышленник — лицо, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации. При этом злоумышленник предвидит и осознает опасные последствия своего действия (бездействия) или не предвидит и не осознает, хотя должно и может предвидеть и осознавать возможность наступления этих последствий.

Внутренний злоумышленник — лицо из числа сотрудников организации, которое планирует, совершает или совершило заранее обдуманное действие, приводящее к негативным последствиям для организации с использованием служебных полномочий и (или) знаний особенностей ИТ-среды организации.

Ошибка — неправильная оценка лицом, совершающим некоторое действие (бездействие), обстановки и (или) последствий своего действия (бездействия).

Фактор — объект, субъект или явление, которое имеет значение (оказывает влияние) в отношении некоторой интересующей нас цели.

Фактор риска ИБ от персонала — объект, субъект или явление, которое оказывает влияние на риски ИБ организации, связанные с персоналом.

 

4.1.3. Общая характеристика угроз

Далее приводятся некоторые утверждения, характеризующие угрозы ИБ от персонала.

Использование инсайдерами служебных полномочий и знаний ИТ-среды организации в интересах, противоречащих интересам организации, является одной из наиболее опасных по возможным негативным последствиям угроз ИБ организации.

Негативные последствия действий внутреннего злоумышленника могут быть не очевидны для менеджмента организации, поскольку могут проявиться спустя продолжительное время, заключаться в невозможности реализации долгосрочных целей организации, в снижении эффективности основных и вспомогательных видов деятельности, в финансовых потерях третьих лиц и т. д.

Внутренний злоумышленник будет использовать самое слабое звено системы защиты организации — и атака будет выполнена наиболее простым и безопасным из известных злоумышленнику способов. В частности, нападение внутреннего злоумышленника с большой вероятностью произойдет неожиданно для организации.

Внутренний злоумышленник будет управлять своими знаниями и знаниями окружающих его сотрудников в собственных интересах, воздействуя на информационную сферу организации.

Внутренний злоумышленник хорошо информирован о том способе атаки, который собирается использовать. Велика вероятность, что он воспользуется видами доступа, которые применяет повседневно в своей работе.

Различные угрозы ИБ от персонала не равновероятны между собой из-за того, что разным угрозам соответствуют разные мотивы, разные возможности их осуществления, различная привлекательность результата для злоумышленника.

Главной причиной возникновения угроз ИБ от персонала является возможность конфликта интересов — скрытого противоречия между служебными обязанностями сотрудника перед организацией и личными интересами сотрудника.

Сущностью угрозы ИБ от персонала является злоупотребление доверием организации, причем доверие организации проявляется в предоставлении инсайдеру полномочий в отношении информационных активов организации, а также возможности получения знаний об ИТ-среде организации.

Атака на информационные активы организации, совершаемая внутренним злоумышленником, является элементом противоправной деятельности одного правонарушителя или группы правонарушителей. Деятельность внутреннего злоумышленника в ИТ-среде организации в различных случаях может составлять как значительную, так и небольшую часть общей схемы противоправной деятельности. Поэтому практически идентифицировать атаку, определить личность злоумышленника и действительную цель атаки во многих случаях возможно лишь путем вскрытия всей схемы противоправной деятельности.

Для большинства угроз ИБ от персонала характерна высокая скрытность действий внутреннего злоумышленника.

Меры разграничения и управления доступом к информационным активам организации прозрачны для инсайдеров, поскольку они обладают служебными полномочиями доступа, что определяет необходимость применения специализированных мер для противодействия угрозам ИБ от персонала.

Внутренний злоумышленник потенциально располагает значительными временными ресурсами для получения необходимых знаний, подготовки и проведения атаки.

Также для угроз ИБ от персонала характерна непредсказуемость последствий — негативные последствия самого разного характера и масштаба как для организации в целом, так и персональные последствия для ее сотрудников.

Практически нет такого умышленно вызванного происшествия, в котором его бенефициару не был бы выгоден «свой человек» в организации (для получения информации, подготовки, проведения, сокрытия следов, использования последствий).

Атаки, совершаемые внутренними злоумышленниками, могут быть однократными или длящимися. Следует считать высокой вероятность совершения повторных атак внутренним злоумышленником, успешно совершившим некоторую атаку.

Актуальность угроз ИБ от персонала обозначена в современных нормативных документах по ИБ, например в стандарте Банка России СТО БР ИББС — 1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26]:

«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности».

«Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает».

С точки зрения действующего законодательства действия внутренних злоумышленников, направленные против законных интересов организации, в зависимости от их конкретного содержания могут квалифицироваться как различные уголовные и административные правонарушения:

— кража (в соответствии со ст. 158 УК РФ);

— мошенничество (в соответствии со ст. 159 УК РФ);

— присвоение или растрата (в соответствии со ст. 160 УК РФ);

— причинение имущественного ущерба путем обмана или злоупотребления доверием (в соответствии со ст. 165 УК РФ);

— незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (в соответствии со ст. 183 УК РФ);

— злоупотребление полномочиями (в соответствии со ст. 201 УК РФ);

— коммерческий подкуп (в соответствии со ст. 204 УК РФ);

— неправомерный доступ к компьютерной информации (в соответствии со ст. 272 УК РФ);

— создание, использование и распространение вредоносных программ для ЭВМ (в соответствии со ст. 273 УК РФ);

— нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (в соответствии со ст. 274 УК РФ);

— разглашение информации с ограниченным доступом (в соответствии со ст. 13.14 АК РФ).

 

4.1.4. Примеры инцидентов

Общие сведения

В настоящем разделе приводятся описания опубликованных подробностей некоторых нашумевших инцидентов. При этом обобщение инцидентов дает целый букет обстоятельств, характеризующих разнообразие угроз ИБ от персонала как в части мотивов и условий, так и в части используемых средств. Среди наиболее часто происходящих происшествий отметим следующие:

— утечка служебной информации;

— кража клиентов и бизнеса организации;

— саботаж инфраструктуры;

— внутреннее мошенничество;

— фальсификация отчетности;

— торговля на рынках на основе инсайдерской, служебной информации;

— злоупотребление полномочиями.

Аннотация

В отместку за слишком маленькую премию 63-летний Рожер Дуронио (бывший системный администратор компании UBS Paine Webber) установил на серверах компании «логическую бомбу», которая уничтожила все данные и парализовала работу компании на продолжительное время.

Описание инцидента

Дуронио был недоволен своей зарплатой, составляющей 125 000 долларов в год, возможно, это и послужило причиной внедрения «логической бомбы». Однако последней каплей для системного администратора стала полученная им премия в размере 32 000 долларов вместо ожидаемых 50 000 долларов [38, 39]. Когда он обнаружил, что его премия гораздо меньше, чем он ожидал, Дуронио потребовал от начальства перезаключить трудовой договор на сумму 175 000 долларов в год, или же он покинет компанию. В повышении зарплаты ему было отказано, кроме того, его попросили покинуть здание банка. В отместку за такое обращение Дуронио решил воспользоваться своим «изобретением», внедренным заранее, предвидя такой поворот событий.

Внедрение «логической бомбы» Дуронио осуществил с домашнего компьютера за несколько месяцев до того, как получил слишком маленькую, на его взгляд, премию. «Логическая бомба» была установлена примерно на 1500 компьютеров в сети филиалов по всей стране и настроена на определенное время — 9.30, как раз на начало банковского дня [40].

Уволился Дуронио из UBS Paine Webber 22 февраля 2002 г., а четвертого марта 2002 г. «логическая бомба» последовательно удалила все файлы на главном сервере центральной базы данных и 2000 серверов в 400 филиалах банка, при этом отключив систему резервного копирования.

Адвокат Дуронио в течение судебного процесса указывал на то, что виновником происшедшего мог быть не один только обвиняемый: учитывая незащищенность ИТ-систем UBS Paine Webber, под логином Дуронио туда мог попасть и любой другой сотрудник. О проблемах с ИТ-безопасностью в банке стало известно еще в январе 2002 г.: при проверке установили, что 40 человек из ИТ-службы могли войти в систему и получить права администратора по одному и тому же паролю, и понять, кто именно совершил то или иное действие, не представлялось возможным. Адвокат также выдвигал обвинения в адрес UBS Paine Webber и компании @Stake, нанятой банком для расследования случившегося, в уничтожении доказательств атаки. Однако неоспоримым доказательством вины Дуронио были найденные на его домашних компьютерах отрывки вредоносного кода, а в его шкафу — распечатанная копия кода.

Возможности инсайдера

Как на одного из системных администраторов компании на Дуронио была возложена ответственность за всю компьютерную сеть UBS PaineWebber, и, соответственно, он имел к ней доступ. У него также был доступ к сети со своего домашнего компьютера посредством безопасного интернет-соединения.

Причины

Как уже указывалось ранее, его мотивами были деньги и месть. Дуронио получил годовую зарплату 125 000 долларов и премию 32 000 долларов, в то время как ожидал 50 000 долларов, и таким образом отомстил за свое разочарование.

Кроме того, Дуронио решил заработать на атаке: ожидая падения акций банка в связи с ИТ-катастрофой, он сделал фьючерсную заявку на продажу, чтобы при снижении курса получить разницу. На это обвиняемый потратил 20 000 долларов. Однако бумаги банка не упали, а инвестиции Дуронио не окупились [39].

Последствия

Заложенная Дуронио «логическая бомба» остановила работу 2000 серверов в 400 офисах компании. По словам ИТ-менеджера UBS Paine Webber Эльвиры Марии Родригес (Elvira Maria Rodriguez), это была катастрофа «на 10 с плюсом по 10-балльной шкале». В компании воцарился хаос, который почти сутки устраняли 200 инженеров из IBM. Всего над исправлением ситуации работало около 400 специалистов, включая ИТ-службу самого банка. Ущерб от случившегося оценивают в 3,1 млн долларов. Восемь тысяч брокеров по всей стране вынуждены были прекратить работу. Некоторым из них удалось вернуться к нормальной деятельности через несколько дней, некоторым — через несколько недель, в зависимости от того, насколько сильно пострадали их базы данных и осуществлялось ли в филиале банка резервное копирование. В целом же банковские операции были возобновлены в течение нескольких дней, однако работа некоторых серверов так и не была восстановлена в полном объеме, в большей степени из-за того, что на 20 % серверов не было средств резервного копирования. Только через год весь серверный парк банка снова был полностью восстановлен.

При рассмотрении дела Дуронио в суде его обвиняли по следующим статьям:

— мошенничество с ценными бумагами — обвинение по данной статье влечет за собой максимальное наказание в виде лишения свободы на 10 лет в федеральной тюрьме и штрафа в размере 1 млн долларов;

— мошенничество в деятельности связанной с компьютерами — обвинение по данной статье влечет за собой максимальное наказание в виде лишения свободы на 10 лет и штрафа в размере 250 000 долларов [40].

В итоге судебного процесса в конце декабря 2006 г. Дуронио был осужден на 97 месяцев без права досрочного освобождения.

«Вымпелком» и «Шерлок»

Аннотация

С целью наживы бывшие сотрудники компании «Вымпелком» (торговая марка «Билайн») через веб-сайт предлагали детализацию телефонных переговоров сотовых операторов.

Описание инцидента

Сотрудники компании «Вымпелком» (бывшие и действующие) организовали в Интернете сайт www.sherlok.ru, о котором в компании «Вымпелком» узнали в июне 2004 г. [41]. Организаторами данного сайта предлагалась услуга — поиск людей по фамилии, телефону и другим данным. В июле организаторы сайта предложили новую услугу — детализацию телефонных переговоров сотовых операторов. Детализация разговоров — это распечатка номеров всех входящих и исходящих звонков с указанием длительности разговоров и их стоимости, используемая операторами, например для выставления счетов абонентов. По этим данным можно сделать вывод о текущей деятельности абонента, его сфере интересов и круге знакомств. В пресс-релизе Управления «К» министерства внутренних дел (далее — МВД) уточняется, что такая информация стоила заказчику 500 долларов.

Сотрудники компании «Вымпелком», обнаружив данный сайт, самостоятельно собрали доказательства преступной деятельности сайта и передали дело в МВД. Сотрудники МВД возбудили уголовное дело и совместно с компанией «Вымпелком» установили личности организаторов данного преступного бизнеса. А 18 октября 2004 г. был задержан с поличным главный подозреваемый.

Кроме того, 26 ноября 2004 г. были задержаны остальные шестеро подозреваемых, в числе которых были трое сотрудников абонентской службы самой компании «Вымпелком». В ходе следствия выяснилось, что сайт был создан бывшим студентом Московского государственного университета, не работавшим в данной компании.

Делопроизводство по данному инциденту стало возможным благодаря вынесенному в 2003 г. определению Конституционного суда, признавшего, что в детализации вызовов содержится тайна телефонных переговоров, охраняемая законом.

Возможности инсайдера

Двое из числа выявленных среди участников инцидента сотрудников компании «Вымпелком» работали операционистами в компании, а третий являлся бывшим сотрудником и на момент преступления работал на Митинском рынке.

Работа в самой компании операционистами свидетельствует о том, что данные сотрудники имели непосредственной доступ к информации, предлагаемой к продаже на сайте www.sherlok.ru. Кроме того, так как бывший сотрудник компании уже работал на Митинском рынке, то можно предположить, что со временем одним из каналов сбыта данной информации или какой-либо еще информации из баз данных компании «Вымпелком» мог стать и данный рынок.

Последствия

Основными последствиями для компании «Вымпелком» от данного инцидента могли быть удар по репутации самой компании и потеря клиентов. Однако данный инцидент был предан огласке непосредственно благодаря активным действиям самой компании.

Кроме того, предание огласки данной информации могло негативным образом сказаться на клиентах компании «Вымпелком», так как детализация разговоров позволяет сделать вывод о текущей деятельности абонента, его сфере интересов и круге знакомств.

В марте 2005 г. Останкинский районный суд города Москва приговорил подозреваемых, в числе которых трое сотрудников компании «Вымпелком», к различным штрафам [42]. Так, организатор группы оштрафован на 93 000 рублей. Однако работа сайта www.sherlok.ru была прекращена на неопределенный срок только с 1 января 2008 г.

Крупнейшая утечка персональных данных за всю историю Японии

Аннотация

Летом 2006 г. произошла самая крупная утечка персональных данных за всю историю Японии: сотрудник полиграфического и электронного гиганта Dai Nippon Printing украл диск с приватными сведениями почти девяти миллионов граждан.

Описание инцидента

Японская фирма Dai Nippon Printing, специализирующаяся на выпуске полиграфической продукции, допустила крупнейшую утечку в истории своей страны. Хирофуми Йокояма, бывший сотрудник одного из подрядчиков компании, скопировал на мобильный винчестер и украл персональные данные клиентов фирмы. В общей сложности под угрозу попали 8,64 млн человек, так как похищенная информация содержала имена, адреса, телефоны и номера кредитных карт. В похищенной информации содержались сведения о клиентах 43 различных компаний, например о 1 504 857 клиентах компании American Home Assurance, 581 293 клиентах компании Aeon Co и 439 222 клиентах NTT Finance [43, 44].

После похищения данной информации Хирофуми открыл торговлю приватными сведениями порциями от 100 000 записей. Благодаря стабильному доходу инсайдер даже покинул постоянное место работы. К моменту задержания Хирофуми успел продать данные 150 000 клиентов крупнейших кредитных фирм группе мошенников, специализирующихся на онлайн-покупках. Кроме того, часть данных уже была использована для мошенничества с кредитными картами.

Более половины организаций, данные клиентов которых были похищены, даже не были предупреждены об утечке информации.

Последствия

В результате данного инцидента убытки граждан, которые пострадали из-за мошенничества с кредитными картами, ставшего возможным только вследствие этой утечки, составили несколько миллионов долларов. Всего пострадали клиенты 43 различных компаний, в том числе Toyota Motor Corp., American Home Assurance, Aeon Co и NTT Finance. Однако более половины организаций даже не были предупреждены об утечке.

В 2003 г. в Японии был принят закон Personal Information Protection Act 2003 (PIPA), но прокуратура не смогла его применить в реальном судебном разбирательстве по данному делу в начале 2007 г. Обвинение не смогло инкриминировать инсайдеру нарушение закона PIPA. Его обвиняют лишь в краже винчестера стоимостью 200 долларов.

Не оценили. Запорожский хакер против украинского банка

Аннотация

Бывший системный администратор одного из крупных банков Украины перевел через банк, в котором раньше работал, со счета региональной таможни на счет несуществующей днепропетровской фирмы-банкрота около 5 млн гривен.

Описание инцидента

Карьера системного администратора началась после того, как он окончил техникум и был принят на работу в один из крупных банков Украины в отдел программного и технического обеспечения. Спустя некоторое время руководство заметило его талант и решило, что он больше принесет пользы банку в качестве начальника отдела. Однако приход нового руководства в банке повлек за собой и кадровые перестановки. Его попросили временно освободить занимаемую должность. Вскоре новое руководство начало формировать свою команду, а его талант оказался невостребованным, и ему предложили несуществующую должность заместителя начальника, но уже в другом отделе. В результате таких кадровых перестановок он стал заниматься совершенно не тем, в чем разбирался лучше всего.

Системный администратор не мог мириться с таким отношением руководства к себе и уволился по собственному желанию. Однако ему не давала покоя собственная гордость и обида на руководство, кроме того, ему хотелось доказать, что он лучший в своем деле, и вернуться в отдел с которого началась его карьера.

Уволившись, бывший системный администратор решил вернуть у бывшего руководства интерес к своей персоне посредством использования несовершенства применяемой практически во всех банках Украины системы «Банк-Клиент». План системного администратора состоял в том, что он решил разработать свою программу защиты и предложить ее банку, вернувшись на свое прежнее место работы. Реализация плана заключалась в проникновении в систему «Банк-Клиент» и внесении в нее минимальных изменений. Весь расчет был сделан на то, что в банке должны были обнаружить взлом системы.

Для проникновения в указанную систему бывший системный администратор воспользовался паролями и кодами, которые узнал еще в процессе работы с данной системой. Вся остальная информация, необходимая для взлома, была получена с различных хакерских сайтов, где в подробностях были расписаны различные случаи взломов компьютерных сетей, методики взлома и размещалось все необходимое для взлома программное обеспечение.

Создав в системе лазейку, бывший системный администратор периодически проникал в компьютерную систему банка и оставлял в ней различные знаки, пытаясь привлечь внимание к фактам взлома. Специалисты банка должны были обнаружить взлом и забить тревогу, но, к его удивлению, проникновения в систему никто даже не замечал.

Тогда системный администратор решил изменить свой план, внеся в него коррективы, которые бы не смогли остаться незамеченными. Он решил подделать платежное поручение и перевести по нему через компьютерную систему банка крупную сумму. С помощью ноутбука и мобильного телефона со встроенным модемом системный администратор около 30 раз проникал в компьютерную систему банка: просматривал документы, счета клиентов, движение денежных средств — в поисках подходящих клиентов. В качестве таких клиентов им были выбраны региональная таможня и днепропетровская фирма-банкрот [45, 46].

Получив в очередной раз доступ к системе банка, он создал платежное поручение, в котором с лицевого счета региональной таможни снял и перечислил через банк на счет фирмы-банкрота 5 млн гривен. Кроме того, им целенаправленно было сделано несколько ошибок в «платежке», что в свою очередь должно было еще больше способствовать привлечению внимания со стороны специалистов банка. Однако даже такие факты были не замечены специалистами банка, обслуживающими систему «Банк-Клиент», и они спокойно перечислили 5 млн гривен на счет уже не существующей фирмы.

В действительности системный администратор рассчитывал на то, что денежные средства не будут переведены, что факт взлома будет обнаружен до перевода средств, но на практике все оказалось по-другому и он стал преступником и его липовый перевод перерос в кражу.

Факт взлома и хищения денежных средств в особо крупных размерах были обнаружены только через несколько часов после перевода, когда работники банка позвонили на таможню — подтвердить перевод. Но там сообщили, что такую сумму никто не перечислял. Деньги в срочном порядке были возвращены назад в банк, а в прокуратуре Запорожской области заведено уголовное дело.

Последствия

Банк не понес никаких потерь, так как деньги были возвращены владельцу, а компьютерная система получила минимальные повреждения, вследствие чего руководство банка отказалось от каких-либо претензий в адрес бывшего системного администратора.

В 2004 г. указом президента Украины была усилена уголовная ответственность за компьютерные преступления: штрафы от 600 до 1000 не облагаемых налогом минимумов, лишение свободы — от 3 до 6 лет. Однако бывший системный администратор совершил преступление до вступления в силу указа президента.

В начале 2005 г. состоялся суд над системным администратором. Его обвинили в совершении преступления по части 2 статьи 361 Уголовного кодекса Украины — незаконное вмешательство в работу компьютерных систем с нанесением вреда и по части 5 статьи 185 — кража, совершенная в особо крупных размерах. Но так как руководство банка отказалось от каких-либо претензий в его адрес, то статью за кражу с него сняли, а часть 2 статьи 361 поменяли на часть 1 — незаконное вмешательство в работу компьютерных систем.

Бесконтрольный трейдинг в банке Societe Generale

Аннотация

24 января 2008 г. Societe Generale объявил о потере 4,9 млрд евро из-за махинаций своего трейдера Жерома Кервьеля [47]. Как показало внутреннее расследование, в течение нескольких лет трейдер открывал сверхлимитные позиции на фьючерсы на европейские фондовые индексы. Общая сумма открытых позиций составила 50 млрд евро.

Описание инцидента

С июля 2006 по сентябрь 2007 г. компьютерная система внутреннего контроля 75 раз (именно столько раз Жером Кервьель осуществлял несанкционированные операции либо его позиции превышали допустимый лимит) выдавала предупреждение о возможных нарушениях. Сотрудники отдела мониторинга рисков банка не осуществляли детальных проверок по этим предупреждениям [48].

Впервые экспериментировать с неавторизованным трейдингом Кервьель начал уже в 2005 г. Тогда он занял короткую позицию на акции Allianz, ожидая падения рынка. Вскоре рынок действительно упал (после террористических акций в Лондоне), так были заработаны первые 500 000 евро. О своих чувствах, которые он испытал от своего первого успеха, Кервьель впоследствии рассказал следствию: «Я уже знал, как закрыть мою позицию, и был горд за полученный результат, но вместе с тем и удивлен. Успех заставил меня продолжать, это было как снежный ком… В июле 2007 г. я предложил занять короткую позицию в расчете на падение рынка, но не встретил поддержки со стороны своего руководителя. Мой прогноз оправдался, и мы получили прибыль, на этот раз она была вполне легальной. Впоследствии я продолжал проводить такого рода операции на рынке либо с согласия начальства, либо при отсутствии его явного возражения… К 31 декабря 2007 г. моя прибыль достигла 1,4 млрд евро. В тот момент я не знал, как объявить об этом моему банку, так как это была очень большая, нигде не задекларированная сумма. Я был счастлив и горд, но не знал, как объяснить своему руководству поступление этих денег и не навлечь на себя подозрение в проведении несанкционированных сделок. Поэтому решил скрыть мою прибыль и провести противоположную фиктивную операцию…» [49].

В действительности в начале января того же года Жером Кервьель вновь вступил в игру с фьючерсными контрактами на три индекса Euro Stoxx 50, DAX и FTSE, помогавшими ему обыгрывать рынок в конце 2007 г. (правда, тогда он предпочитал занимать короткую позицию). По подсчетам, в его портфеле накануне 11 января было 707, 9 тыс. фьючерсов (каждый стоимостью по 42,4 тыс. евро) на Euro Stoxx 50, 93,3 тыс. фьючерсов (192,8 тыс. евро за 1 штуку) на DAX и 24,2 тыс. фьючерсов (82,7 тыс. евро за 1 контракт) на индекс FTSE. В целом спекулятивная позиция Кервьеля равнялась 50 млрд евро, т. е. была больше стоимости банка, в котором он работал [49].

Зная время проверок, он в нужный момент открывал фиктивную хеджирующую позицию, которую позже закрывал. В результате проверяющие никогда не видели ни одной позиции, которую можно было назвать рискованной. Их не могли насторожить и крупные суммы сделок, которые вполне обычны для рынка фьючерсных контрактов по индексам. Подвели его фиктивные сделки, проводимые со счетов клиентов банка. Использование счетов различных клиентов банка не приводило к видимым для контролеров проблемам. Однако по истечении определенного времени Кервьель начал использовать счета одних и тех же клиентов, что привело к «ненормальной» активности, наблюдаемой за данными счетами, и, в свою очередь, привлекло внимание контролеров [50]. Это стало концом аферы. Выяснилось, что партнером Кервьеля по мультимиллиардной сделке был крупный немецкий банк, якобы подтвердивший астрономическую транзакцию по электронной почте. Однако электронное подтверждение вызвало у проверяющих подозрения, для проверки которых в Societe Generale была создана комиссия. 19 января в ответ на запрос немецкий банк не признал эту транзакцию, после чего трейдер согласился дать признательные показания [49].

Когда удалось выяснить астрономические размеры спекулятивной позиции, генеральный директор и председатель совета директоров Societe Generale Даниэль Бутон заявил о своем намерении закрыть открытую Кервьелем рискованную позицию [49]. На это ушло два дня и привело к убыткам в 4,9 млрд евро.

Возможности инсайдера

Жером Кервьель проработал пять лет в так называемом бэк-офисе банка, т. е. в подразделении, которое непосредственно никаких сделок не заключает. В нем занимаются только учетом, оформлением и регистрацией сделок и ведут контроль за трейдерами. Данная деятельность позволила понять особенности работы систем контроля в банке.

В 2005 г. Кервьеля повысили. Он стал настоящим трейдером. В непосредственные обязанности молодого человека входили элементарные операции по минимизации рисков. Работая на рынке фьючерсных контрактов на европейские биржевые индексы, Жером Кервьель должен был следить за тем, как меняется инвестиционный портфель банка. А его основной задачей, как объяснил один из представителей Societe Generale, было сокращать риски, играя в противоположном направлении: «Грубо говоря, видя, что банк ставит на красное, он должен был ставить на черное». Как у всех младших трейдеров, у Кервьеля был лимит, превышать который он не мог, за этим следили его бывшие коллеги по бэк-офису. В Societe Generale существовало несколько уровней защиты, например трейдеры могли открывать позиции только со своего рабочего компьютера. Все данные об открытии позиций автоматически в реальном времени передавались в бэк-офис. Но, как говорится, лучший браконьер — бывший лесничий. И банк совершил непростительную ошибку, поставив бывшего лесничего в положение охотника. Жерому Кервьелю, имевшему за плечами почти пятилетнюю практику контроля за трейдерами, не составило большого труда обойти эту систему. Он знал чужие пароли, знал, когда в банке проходят проверки, хорошо разбирался в информационных технологиях [50].

Причины

Если Кервьель и занимался мошенничеством, то не в целях личного обогащения. Это говорят его адвокаты, это же признают и представители банка, называя действия Кервьеля иррациональными. Сам Кервьель говорит, что действовал исключительно в интересах банка и хотел только доказать свои таланты трейдера [50].

Последствия

Его деятельность по итогам 2007 г. принесла банку около 2 млрд евро прибыли. Во всяком случае так говорит сам Кервьель, утверждая, что руководство банка наверняка знало, чем он занимается, но предпочитало закрывать глаза до тех пор, пока он был в прибыли [50].

Закрытие открытой Кервьелем рискованной позиции привело к убыткам в 4,9 млрд евро.

В мае 2008 г. Даниэль Бутон покинул пост генерального директора Societe Generale, на этой должности его сменил Фредерик Удеа [51]. Год спустя он был вынужден уйти и с поста председателя совета директоров банка. Причиной ухода стала острая критика со стороны прессы: Бутона обвиняли в том, что подконтрольные ему топ-менеджеры банка поощряли рискованные финансовые операции, осуществляемые сотрудниками банка.

Несмотря на поддержку совета директоров, давление на господина Бутона усиливалось. Его отставки требовали акционеры банка и многие французские политики. Президент Франции Никола Саркози также призвал Даниэля Бутона уйти с поста, после того как стало известно, что в течение полутора лет до скандала компьютерная система внутреннего контроля Societe Generale 75 раз, т. е. всякий раз как Жером Кервьель осуществлял несанкционированные операции, выдавала предупреждение о возможных нарушениях [50].

Сразу после обнаружения потерь Societe Generale создал специальную комиссию по расследованию действий трейдера, в которую вошли независимые члены совета директоров банка и аудиторы PricewaterhouseCoopers. Комиссия пришла к выводу, что система внутреннего контроля в банке была недостаточно эффективной. Это привело к тому, что банк не смог предотвратить столь крупное мошенничество. В отчете говорится, что «сотрудники банка не проводили систематических проверок» деятельности трейдера, а сам банк не располагает «системой контроля, которая могла бы предотвратить мошенничество» [48].

В отчете о результатах проверки трейдера говорится, что по итогам расследования принято решение «существенно укрепить процедуру внутреннего надзора за деятельностью сотрудников Societe Generale». Это будет сделано при помощи более строгой организации работы различных подразделений банка и координации их взаимодействия. Также будут приняты меры, позволяющие отслеживать и персонифицировать трейдерские операции сотрудников банка посредством «укрепления системы ИТ-безопасности и разработки высокотехнологичных решений по персональной идентификации (биометрии)».

 

4.2.1. Цели моделирования угроз

Моделирование угроз ИБ от персонала является элементом деятельности организации по анализу и оценке соответствующих рисков. С помощью собственной модели угроз ИБ от персонала организация может формализовать имеющиеся у нее знания о таких угрозах, что позволит сформировать эффективную (или по крайней мере адекватную накопленным знаниям) систему защитных мер.

Моделирование угроз ИБ от персонала позволяет ответить на следующие вопросы.

— Кто является источником угрозы?

— Какие причины и условия способствуют реализации угроз ИБ от персонала?

— По какому сценарию может реализоваться угроза?

— К каким последствиям может привести реализация угрозы?

Кроме того, модель угроз ИБ от персонала может быть использована для решения следующих задач в рамках противодействия таким угрозам:

— сопоставление значимости для организации различных угроз ИБ от персонала;

— оценка возможных изменений значимости угроз ИБ от персонала в результате проводимых изменений операционной среды организации;

— поддержка деятельности по разработке в организации внутренних нормативных и организационно-распорядительных документов;

— аналитическое обеспечение деятельности по выявлению областей повышенного риска ИБ от персонала;

— другие задачи, связанные как с принятием решений по защитным мерам, так и с применением защитных мер.

 

4.2.2. Типология инцидентов

Обобщение мировой практики позволяет выделить следующие типы инцидентов ИБ с участием персонала организации:

— разглашение служебной информации;

— фальсификация отчетности;

— хищение финансовых и материальных активов;

— саботаж деятельности организации;

— злоупотребление служебными полномочиями;

— сокрытие правонарушений.

Под разглашением служебной информации организации (нарушение конфиденциальности служебной информации, утечка) понимается ее распространение за пределы информационной системы, в которой обрабатывается такая информация, или за пределы круга лиц, которым эта информация доверена.

Можно выделить следующие способы разглашения информации.

— Отчуждение информации, которое состоит в несанкционированном и скрытном копировании небольших фрагментов или значительного массива служебной информации (например, множества документов или базы данных) за пределы области, установленной организацией для хранения этой информации с возможной последующей передачей информационного массива сторонним лицам. Отчуждение может осуществляться внутренним злоумышленником с использованием твердых копий документов (вынос документов, использование почтовой связи) или съемного (флеш-диски и другие портативные накопители) носителя информации, с использованием фото/видеоаппаратуры, а также проводных или беспроводных каналов связи и другими способами.

— Разглашение информации, известной инсайдеру в силу своего служебного положения, третьим лицам, а также предоставление таким лицам консультаций, рекомендаций и аналитических материалов. Такая деятельность может осуществляться в устной форме или путем подготовки инсайдером документа на основе информации, известной инсайдеру в силу своего служебного положения.

Можно выделить следующие способы получения инсайдером разглашаемой служебной информации:

— инсайдер не осуществляет специальный поиск разглашаемой информации, она стала известна ему в результате штатной деятельности из служебных документов и в результате общения с сотрудниками организации; данная информация необходима ему для исполнения служебных обязанностей;

— инсайдер обладает штатным доступом к служебной информации в качестве пользователя информационной системы и может осуществлять поиск необходимых ему материалов в информационной системе по их атрибутам, ознакомление с их содержимым и (или) копирование целиком или отдельными фрагментами;

— инсайдер не обладает штатным доступом к служебной информации, интересующей сторонних лиц, и запрашивает соответствующие дополнительные полномочия, мотивируя некоторой правдоподобной служебной необходимостью;

— инсайдер осуществляет несанкционированное получение информации, используя слабости системы разграничения доступа, осуществляя кражу носителей или оборудования, восстановление остаточной информации, используя специальную аппаратуру или программные средства для съема или перехвата информации, используя приемы социальной инженерии, идентификатор и прочие атрибуты безопасности другого пользователя, ошибки персонала и другие возможности;

— инсайдер выполняет обязанности администратора в информационной системе, а информация, обрабатываемая в данной системе, оказывается доступна ему для ознакомления или копирования как лицу с полномочиями системного администратора;

— инсайдер получает служебную информацию при устном неформальном общении с другими инсайдерами, обладающими такой информацией;

— инсайдер получает информацию путем анализа и обобщения фактов, фрагментов информации, полученных им из различных источников — штатным образом, путем наблюдения за поведением и общением субъектов, за распорядком деятельности и т. д.;

— инсайдер получает служебную информацию в результате сговора с другим инсайдером, получившим доступ к информации одним из перечисленных в настоящем перечне способов.

Разглашенная инсайдером служебная информация может быть объединением фрагментов информации, полученной различными способами из числа приведенных выше.

Фальсификация отчетности состоит в умышленном представлении ложных или искаженных отчетов по результатам некоторой деятельности. Собственно фальсифицируемые отчеты, могут относиться как к внутренней деятельности организации, так и к отношениям организации с внешними структурами (государственными органами, материнской компанией, дочерними компаниями, кредиторами).

По целям фальсификация отчетности может быть классифицирована следующим образом:

— сокрытие или, напротив, демонстрация неудовлетворительных показателей деятельности;

— демонстрация завышенных результатов деятельности для получение поощрения или дополнительного трудового вознаграждения;

— введение в заблуждение контрагентов организации;

— введение в заблуждение регулирующих и правоохранительных органов;

— сокрытие нарушений законов, требований регулирующих органов, внутренних нормативных актов организации.

Хищение (финансовых или материальных) активов — это совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение активов (принадлежащих организации, ее контрагентам, третьим лицам) в пользу злоумышленника или других лиц, причинившие ущерб лицам, обладающим правами в отношении данных активов (например, собственнику, арендатору, залогодержателю).

Хищение финансовых и материальных активов включает следующие категории преступлений:

— кража;

— присвоение и растрата активов;

— различные формы мошенничества, связанного с осуществлением основной, вспомогательной и управленческой деятельности в организации.

Наиболее распространены следующие формы мошенничества:

— мошенничество, связанное с отношениями с поставщиками;

— мошенничество, связанное с отношениями с клиентами;

— кредитное и инвестиционное мошенничество;

— вексельное мошенничество;

— мошенничество при использовании банковских гарантий и поручительств;

— мошенничество со счетами;

— вброс подложных или модификация корректных платежных документов;

— мошенничество с пластиковыми картами (фальшивые карты и операции);

— депозитное мошенничество;

— мошенничество, связанное с внутренней хозяйственной деятельностью организации, в частности, обязательствам по трудовым соглашениям.

Саботаж — это умышленное создание препятствий для осуществления некоторой деятельности организации, что уменьшает возможность реализации целей организации.

По целями саботажа инциденты могут быть классифицированы следующим образом:

— снижение репутации организации, например, компрометация качества определенных услуг, предоставляемых организацией, или иное нанесение ущерба отношениям организации с клиентами, например, с целью завладения клиентской базой организации;

— саботаж деятельности контрагентов организации;

— срыв, создание помех, манипулирование и оказание иных воздействий на управление, осуществление и результат некоторой бизнес-деятельности, вспомогательной деятельности или отдельного проекта организации, например, для получения конкурентами организации и иными субъектами рыночных отношений определенных преимуществ, создания условий, препятствующих обеспечению организацией своих законных прав;

— саботаж мер безопасности, используемых организацией, и создание уязвимостей с целью снижения защищенности информационных активов организации перед внешними и внутренними угрозами;

— сокрытие следов, создание ложных следов, ложных версий и иных помех для расследования некоторой противоправной деятельности;

— манипулирование рынками ценных бумаг путем создания «негатива» в связи с информацией о происшествии в организации;

— месть в отношении организации или отдельных сотрудников организации;

— экстремистские, террористические, политические и подобные цели.

Сокрытие правонарушения — это создание препятствий обнаружению и регистрации правонарушения.

Сокрытие правонарушений, в том числе различных видов корпоративных правонарушений может осуществляться в форме саботажа, фальсификации отчетности, а также в виде самостоятельного нарушения с использованием модификации, удаления, вброса информации или несанкционированной модификации программных и аппаратных средств.

Злоупотребление полномочиями — это использование инсайдером своих полномочий в целях извлечения не разрешенных организацией выгод и преимуществ для себя, что осуществляется путем выполнения или невыполнения каких-либо действий, связанных со служебными обязанностями инсайдера. К злоупотреблению полномочиями не относятся правонарушения, которые квалифицируются как хищение или саботаж.

В частности, к злоупотреблениям полномочиями относят:

— манипуляции, связанные с услугами, предоставляемыми организацией, например, создание необоснованных преимуществ или помех для определенных клиентов;

— манипуляции, связанные с закупками, осуществляемыми организацией, например создание необоснованных преимуществ для определенных поставщиков;

— манипуляция действиями организации в иных сферах ее деятельности (на различных рынках, в стратегическом планировании, в инвестиционных проектах, в сфере внутренней хозяйственной деятельности, в сфере и др.).

 

4.2.3. Факторная модель

Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.

Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».

В факторной модели факторы риска разделены на два уровня:

— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;

— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.

Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.

Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.

Перечисленные факторы риска первого уровня могут быть отображены (детализированы) в систему факторов риска второго уровня — более мелких (и поэтому более понятных) явлений, способствующих реализации угроз ИБ от персонала. Подготовленный нами вариант такого отображения представлен в таблице 12 и совершенно определенно не исчерпывает многогранной природы угроз ИБ от персонала. Отметим, что некоторые факторы второго уровня повторяются для нескольких факторов первого уровня, поскольку влияют на них одновременно.

Таблица 11

Продолжение табл. 11

Окончание табл. 11

Таблица 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Окончание табл. 12

Как было отмечено выше, перечисленные выше факторы первого и второго уровня образуют систему причинно-следственных отношений. Возможные отношения между факторами показаны на примере фрагмента сети факторов риска ИБ от персонала, представленном на рис. 64.

Все факторы системы сплетены в огромную причинно-следственную сеть, в которой есть скрытая от наблюдения менеджмента организации часть и наблюдаемая часть. Понятно, что с точки зрения предлагаемой модели повышение защищенности в отношении угроз ИБ от персонала может быть достигнуто путем оценки и контроля со стороны организации факторов риска второго уровня. Предложенную нами систему факторов можно использовать именно таким способом, реализуя следующий план действий:

— определить состав наблюдаемых факторов и внедрить способы их измерения;

— определить состав контролируемых факторов и установить механизмы контроля;

— организовать при помощи созданных механизмов систему контроля рисков ИБ, связанных с персоналом;

— осуществлять при помощи созданной системы контроля последовательные мероприятия по приведению рисков ИБ от персонала в соответствие ожидаемому уровню.

 

4.2.4. Некоторые модели угроз

Разнообразие угроз ИБ от персонала позволяет построить не менее разнообразные модели. Например, пространство возможной вины участника инцидента показано на рис. 65 в двух измерениях:

— по вертикальной оси — «стремление к последствиям нападения», которое изменяется от нежелательности последствий инцидента с точки зрения инсайдера до сознательного стремления инсайдера нанести наибольший ущерб организации и другим вовлеченным в инцидент лицам;

— «предвидение последствий», которое изменяется от субъективной неспособности (или объективной невозможности) сотрудника предвидеть негативные последствия своих действий до уверенного предвидения неизбежности инцидента и его негативных последствий.

В предложенном пространстве вины могут быть размещены все происходящие в организации инциденты, хотя сделать это может быть и не просто. Собранная на подобном рисунке статистика организации за период времени покажет, в каком направлении работы с персоналом необходимо вести профилактические мероприятия.

Модель возможностей сотрудников [34] как важной составляющей их опасности для организации приведена на рис. 66.

Это модель демонстрирует связь между опасностью сотрудника (с точки зрения его возможностей по реализации атаки) и его ролью в информационной системе организации.

Модель поведения внутреннего злоумышленника применительно к инциденту с утечкой информации «на заказ», представлена на рис. 67.

Часть действий внутреннего злоумышленника (светлые области на рисунке) является ненаблюдаемой для организации, другая часть наблюдаема при осуществлении организацией целенаправленной деятельности по повышению обзора по соответствующим направлениям.

 

4.2.5. Внешние сообщники внутреннего злоумышленника

Высока вероятность действий внутреннего злоумышленника в сговоре с внешним по отношению к организации лицом (внешним злоумышленником). При этом инсайдер может выступать как организатором нападения, так и используемым внешней силой в своих целях исполнителем или пособником нападения. «Свой человек» в организации почти всегда может оказаться полезен внешним злоумышленникам.

Виды сотрудничества инсайдера с внешней силой разнообразны, он может выступать:

— организатором нападения;

— используемым «вслепую» (например, путем обмана) помощником;

— полностью манипулируемым (например, путем подкупа или шантажа) агентом;

— самостоятельным агентом (реализующим собственную цель помимо внешней злоумышленной);

— поддерживаемым агентом (реализующим только собственную цель, однако пользующимся внешней поддержкой).

Пособническая поддержка, оказываемая внутреннему злоумышленнику внешним сообщником, может включать:

— финансовые ресурсы;

— специализированные технические средства;

— инсценировку событий, облегчающих осуществление различных шагов атаки;

— информационное и аналитическое обеспечение;

— правовую помощь;

— содействие в сокрытии следов;

— содействие в сбыте похищенных информационных активов или легализации приобретенных материальных выгод.

 

4.2.6. Типология мотивов

Противоправное поведение внутреннего злоумышленника может быть результатом действия сложного сочетания нескольких мотивов из следующего (не исчерпывающего) перечня (см., например, [52]):

— корыстный интерес (приобретение материальной выгоды);

— принуждение со стороны третьих лиц;

— личная заинтересованность, связанная с родственными и иными близкими отношениями или определенными обязательствами перед сторонними лицами;

— месть;

— самоутверждение;

— любопытство;

— игровой мотив (стремление к острым ощущениям, авантюризм);

— искаженное чувство справедливости;

— стремление любой ценой выполнить должностные обязанности;

— карьеризм;

— хулиганские побуждения;

— зависть;

— идеологические соображения;

— вражда;

— стремление субъекта скрыть компрометирующие его факты (нарушения, информацию о себе или близких);

— неудовлетворенность различными аспектами личной жизни или трудовых отношений;

— наркотическая или алкогольная зависимость.

Кроме того, важны различные особенности личности инсайдера, например, следующие (см., например, [33]):

— безразличие субъекта к собственным рискам, возникающим при совершении нарушения;

— уверенность в том, что нарушение не будет выявлено;

— уверенность в том, что возможное наказание не будет адекватным;

— привычка действовать определенным образом;

— самооправдание;

— жестокость;

— трусость;

— нерешительность.

 

4.2.7. Сговор

Данный тип умышленных инцидентов является весьма опасным, хуже выявляется и наносит большие негативные последствия по сравнению с другими инцидентами, хотя и встречается значительно реже остальных.

Сговор инсайдеров является менее вероятным событием, чем деятельность внутреннего злоумышленника в одиночку. Сговор инсайдеров расширяет круг возможностей злоумышленной деятельности, вследствие чего ущерб от атаки может быть значительно больше, чем от атаки злоумышленника-одиночки, а возможности организации по предотвращению, выявлению и пресечению атаки и выявлению внутреннего злоумышленника могут оказаться снижены.

 

4.2.8. Деятельность внутреннего злоумышленника с точки зрения формальных полномочий

По отношению к правовой базе организации, определяющей служебные полномочия сотрудников, каждое действие внутреннего злоумышленника в ходе происшествия можно отнести к одному из следующих типов:

— действие в рамках служебных полномочий;

— злоупотребление служебными полномочиями;

— превышение служебных полномочий;

— действия в сфере неопределенных служебных полномочий.

 

Управление идентификационными данными и доступом

(IBM Восточная Европа/Азия)

Краткий обзор

В современной конкурентной среде глобального бизнеса информация доставляется быстрее, новые продукты выводятся на рынок оперативнее. Разрабатываются новые, усовершенствованные и более конкурентоспособные модели ведения бизнеса. Чтобы оперативно реагировать на непрерывно меняющиеся потребности и возможности, а также адаптироваться к ним, бизнесу необходимо обеспечить достаточную гибкость и поддержку взаимодействий между людьми и компаниями. Сотрудники должны быстрее получать доступ к значимой информации, а также иметь возможности для эффективной совместной работы. Отдельные специалисты и коллективы должны работать так, как им удобно, в любое время, где бы они ни находились.

Однако удовлетворение потребностей в более динамичном сотрудничестве и свободном доступе к ресурсам значительно усложняет задачи обеспечения безопасности и выполнения нормативных требований — в особенности в условиях растущего количества сотрудников, работающих в мобильном режиме. Организациям необходимо связывать клиентов, партнеров и поставщиков с множеством корпоративных систем и процессов. Чтобы упростить выполнение регулирующих норм и гарантировать конфиденциальность, целостность и доступность своих данных, приложений и систем, организации должны удостовериться в том, что доступ к ресурсам предоставляется только тем пользователям, которые имеют на это право, применять средства контроля доступа, а также обеспечивать мониторинг событий в системе безопасности с формированием соответствующих отчетов.

К сожалению, традиционные решения для обеспечения безопасности реализуют подход «снизу вверх», который позволяет исключать отдельные проблемы путем развертывания точечных решений, основывающихся на использовании отдельных политик и процессов. Применение подобного подхода приводит к росту сложности, излишним затратам, неэффективному использованию ресурсов, пробелам в системе безопасности и изолированности данных, что оказывает негативное влияние на продуктивность компании и ее сотрудников.

Организациям требуется единый, целостный подход к обеспечению безопасности, в рамках которого инициативы по защите корпоративной среды согласуются с целями бизнеса. Такой подход «сверху вниз» позволяет эффективно использовать методы обеспечения безопасности для защиты и совершенствования бизнес-процессов и коллективной работы. Однако подобная методика должна предполагать модульную реализацию плана, чтобы организации могли сконцентрироваться в первую очередь на наиболее значимых областях.

Ключевые моменты

По мнению отраслевых аналитиков, в десятку самых серьезных угроз корпоративной безопасности входят ошибки сотрудников, кражи данных сотрудниками и бизнес-партнерами, а также злонамеренные действия инсайдеров.

Основываясь на глубоком понимании внутренних и внешних угроз корпоративной безопасности, IBM предлагает адаптируемый, соответствующий потребностям бизнеса, целостный подход к обеспечению безопасности.

Такой подход охватывает различные области рисков, оказывающих влияние на состояние системы безопасности в организации:

• Пользователи и идентификация — предоставлять пользователям в организации и за ее пределами, включая поставщиков, партнеров и клиентов, свободный доступ к необходимым данным и инструментам, блокируя доступ для тех, у кого нет такой необходимости или нет соответствующих прав.

• Данные и информация — поддерживать масштабное сотрудничество по электронным каналам, защищая важнейшие данные при их передаче и хранении.

• Приложения — обеспечивать эффективную защиту важнейших для бизнеса приложений и процессов от внешних и внутренних угроз в течение всего жизненного цикла, от проектирования до развертывания и эксплуатации.

• Сеть, серверы и конечные точки — поддерживать эффективный мониторинг сети, серверов и конечных точек, обеспечивая безопасность организации в условиях растущего количества угроз и уязвимостей.

• Физическая инфраструктура — защищать ИТ-активы с использованием средств контроля физического доступа, а также обеспечивать защиту физических активов от различных угроз для повышения уровня безопасности в целом.

В составе своей полнофункциональной структуры обеспечения безопасности IBM предлагает обширный, интегрированный комплекс решений для управления доступом и идентификационными данными. Это помогает организациям укреплять безопасность коллективной работы и доступа к ресурсам в соответствии с потребностями бизнеса.

Эффективное использование подхода на базе стандартов к управлению жизненным циклом идентификационных данных и доступом в соответствии с потребностями бизнеса

Развитие информационных технологий всегда поддерживалось инновациями. Реализация новых идей позволяет более эффективно собирать и совместно

использовать информацию в масштабе всего предприятия. Однако применение новых способов обмена и использования информации сопровождается появлением новых потенциальных угроз корпоративной безопасности — не только внешних, но и внутренних. По мнению отраслевых аналитиков, в десятку самых серьезных угроз корпоративной безопасности входят ошибки сотрудников, кражи данных сотрудниками и бизнес-партнерами, а также злонамеренные действия инсайдеров.

Для решения этих важнейших проблем безопасности и бизнеса IBM предпринимает основанный на стандартах и определяемый потребностями бизнеса подход к управлению идентификационными данными и доступом, который охватывает весь жизненный цикл информационных и физических активов. Такой подход интегрирует управление авторизацией и идентификационными данными, чтобы предоставить организациям возможность экономически эффективно защищать активы и информацию, поддерживая динамичную коллективную работу и оперативный доступ к ресурсам для повышения продуктивности бизнеса. Этот воспроизводимый процесс позволяет организациям управлять рисками для множества бизнес-инициатив, обеспечивая сокращение затрат, предлагая пользователям более комфортные условия для работы, повышая эффективность бизнеса и рационализируя деятельность по выполнению нормативных требований. Он поддерживает соблюдение требований таких нормативных актов и стандартов, как Закон Сарбейнса-Оксли (Sarbanes-Oxley, SOX), Payment Card Industry (PCI), Basel II, закон EU Data Protection о защите персональной информации и Закон об использовании и защите сведений о пациентах (Health Insurance Portability and Accountability Act, HIPAA).

Пять основных этапов жизненного цикла управления идентификационными данными и доступом:

• определение средств контроля;

• регистрация и проверка пользователей;

• управление правами пользователей;

• контроль доступа;

• мониторинг, аудит и составление отчетов о правах и действиях пользователей.

В следующих разделах эти пять основных этапов описываются более подробно.

Определение средств контроля

Эффективное управление идентификационными данными и доступом начинается не с инструментов и технологий, а с определения необходимых средств контроля и связанных процессов.

Ключевые моменты

Определив необходимые средства контроля и процессы в начале жизненного цикла идентификационных данных, организации смогут разработать эффективные политики обеспечения безопасности в соответствии с приоритетами бизнеса.

На этом этапе решения IBM для управления идентификационными данными и доступом позволяют организациям определить средства контроля и процессы на базе соответствующих стандартов, правовых и регулирующих норм, а также потребностей и целей бизнеса. Организации должны оценить требования бизнес-среды к идентификационным данным, определить ресурсы, требующие контроля доступа, пользователей и группы пользователей, которым необходимо предоставлять доступ к ресурсам, а также тип предоставляемого доступа. Определив необходимые средства контроля и процессы в начале жизненного цикла идентификационных данных, организации смогут разработать эффективные политики обеспечения безопасности в соответствии с приоритетами бизнеса.

Регистрация и проверка пользователей

Решения IBM для управления идентификационными данными и доступом позволяют организациям анализировать идентификационные данные в точках контакта и выявлять взаимосвязи до того, как станет слишком поздно блокировать нелегитимный доступ пользователя. Эти решения помогают определить, кто есть кто, и обнаружить взаимосвязи между пользователями. Организациям предоставляются методики анализа объектов, позволяющие обнаруживать явные и неявные взаимосвязи в реальном времени. Взаимосвязи могут быть раскрыты, даже если пользователи в сети пытаются скрыть или исказить свои идентификационные данные. Кроме того, организации могут в момент регистрации обеспечивать анализ потоков данных из множества источников.

Управление правами пользователей

Помимо определения соответствующих учетных записей и прав для пользователей и групп пользователей решения IBM для управления идентификационными данными и доступом предоставляют организациям эффективные средства поддержки актуальности учетных записей, включая добавление, обновление, проверку соответствия и удаление прав по мере изменения потребностей пользователей в получении доступа.

Организации могут:

• оперативно определять идентификационные данные и права и управлять ими на протяжении всего жизненного цикла;

• легко обнаруживать и удалять устаревшие учетные записи, чтобы блокировать доступ к информации и ресурсам для бывших партнеров и сотрудников;

• сопоставлять учетные записи с идентификационными данными, а также проверять права доступа посредством подтверждения необходимости дальнейшего предоставления их пользователю;

• предоставлять пользователям возможность самостоятельно восстанавливать свои пароли, исключая задержки и сокращая затраты службы поддержки пользователей.

Контроль доступа

Мониторинг действий пользователей является необходимым условием эффективного контроля доступа. Решения IBM для управления идентификационными данными и доступом предоставляют платформу для централизованного управления политиками доступа, позволяющую поддерживать требуемый уровень прозрачности, а также проще обеспечивать безопасность и выполнение регулирующих норм. Кроме того, организации могут контролировать предоставление пользователям доступа к разрешенным ресурсам, удостоверяться в том, что пользователи являются теми, кем представляются, и ограничивать действия пользователей только теми, на которые они имеют право, в различных приложениях и сервисах. Повышение продуктивности пользователей обеспечивает автоматизация предоставления доступа на основе механизма однократной регистрации (Single Sign-On, SSO). Кроме того, организациям, развертывающим сервисно ориентированные архитектуры (SOA), необходимо связывать множество учетных записей пользователей в рамках составных SOA-транзакций, а также справляться с возможными сложностями управления и соблюдения регулирующих норм. Функции управления идентификационными данными и доступом в решении IBM WebSphere® Enterprise Service Bus позволяют организациям сопоставлять, распространять и проверять идентификационные данные пользователей для различных систем аутентификации.

Мониторинг, аудит и составление отчетов о правах и действиях пользователей

Чтобы удостовериться в том, что существующие средства контроля и политики способны защитить важнейшие бизнес-приложения и конфиденциальную информацию, организациям необходима возможность поддерживать непрерывный мониторинг, аудит и формирование отчетов о правах и действиях пользователей. Решения IBM для управления идентификационными данными и доступом предоставляют такую возможность, позволяя организациям убедиться в том, что они должным образом защищены. Такие решения обеспечивают аудит и подготовку отчетов о соблюдении регулирующих норм и позволяют непрерывно совершенствовать средства контроля над идентификационными данными.

Защита бизнес-систем и информации с использованием решений для управления идентификационными данными и доступом

Основой любой корпоративной стратегии информационной безопасности является способность обеспечивать аутентификацию и авторизацию пользователей. Понятие «легитимный пользователь» расширяется, и теперь оно включает не только сотрудников предприятия, но и его партнеров и клиентов, поэтому задача управления идентификационными данными и доступом становится более сложной. Появляются все новые угрозы для корпоративной инфраструктуры и ценной корпоративной информации.

Ключевые моменты

Решения IBM поддерживают мониторинг действий пользователей для соблюдения корпоративных политик управления безопасностью.

Решения IBM рационализируют управление жизненным циклом учетных записей и позволяют проще обеспечивать строгий контроль над доступом к ресурсам, разрешенным для пользователей. Кроме того, решения IBM поддерживают мониторинг действий пользователей для соблюдения корпоративных политик управления безопасностью, позволяя организациям проще подтверждать наличие эффективной среды контроля. IBM является ведущим поставщиком решений для управления учетными записями и web-доступом, неизменно входя в сектор лидеров «Магического квадранта» Gartner для этого рынка.

Авторизация пользователей

Авторизация должна обеспечивать оперативный доступ к ресурсам на протяжении всего жизненного цикла учетных записей — для множества сред, областей рисков, информационных процессов, приложений, сетей, конечных точек и всей физической инфраструктуры. При этом необходимо обеспечивать безопасность и защищать ИТ-среду от внутренних и внешних угроз, а также соблюдать нормативные требования. Поэтому решение для управления доступом должно обеспечивать:

• централизованный контроль, чтобы гарантировать выполнение политик безопасности для множества приложений и пользователей;

• автоматизацию с использованием инфраструктуры безопасности на базе политик, соответствующую ИТ-потребностям и целям бизнеса;

• однократную регистрацию для доступа к локальным, удаленным и web-системам, а также средства управления идентификационными данными и контроля доступа для сведения к минимуму проблем, связанных с паролями, — таких как путаница с использованием множества паролей, угрозы безопасности, вызванные тем, что пользователи записывают свои пароли, простои в работе в связи с блокированием учетных записей, а также необходимость уделять значительное время администрированию паролей;

• интегрированное управление доступом и идентификационными данными в одной инфраструктурной среде;

• совместное использование идентификационных данных пользователей различными приложениями на базе web-сервисов.

Для удовлетворения этих потребностей IBM предлагает услуги Identity and Access Management и ПО IBM Tivoli® Access Manager for e-business. Выполняя функции концентратора данных об аутентификации и авторизации для приложений разных типов, Tivoli Access Manager for e-business централизует управление безопасностью. Эта система позволяет проще и при меньших затратах развертывать надежные приложения.

Решение IBM Tivoli Access Manager for Enterprise Single Sign-On предлагает простые средства аутентификации для приложений разных типов, обеспечивая автоматизацию процесса однократной регистрации, укрепление безопасности благодаря автоматизированному управлению паролями, сокращение затрат службы поддержки пользователей и совершенствование средств аудита и подготовки отчетов.

Решение IBM Tivoli Access Manager for Operating Systems защищает ресурсы приложений и операционных систем, обеспечивая детализацию доступа для всех учетных записей в UNIX® и Linux®, включая учетные записи superuser и root.

Решение IBM Tivoli Federated Identity Manager позволяет клиентам, поставщикам и партнерам безопасно, гибко и эффективно вести бизнес в различных средах и множестве доменов безопасности. Предлагая простую, свободно связываемую модель управления идентификационными данными и доступом к ресурсам, решение Tivoli Federated Identity Manager также позволяет сократить расходы на интеграцию, затраты службы поддержки пользователей, а также расходы на администрирование системы безопасности с использованием простого, оперативно развертываемого решения для однократной регистрации. Кроме того, IBM Tivoli Federated Identity Manager Business Gateway предлагает небольшим и средним организациям возможность развертывать федеративные средства однократной регистрации для доступа к web-ресурсам, чтобы сводить вместе клиентов, партнеров и поставщиков, с использованием одного, простого в развертывании приложения.

Для сред на базе SOA и web-сервисов решение Tivoli Federated Identity Manager предлагает надежные средства управления, обеспечивающие безопасный доступ к ресурсам мейнфрейма и распределенным сервисам. Например, это решение обеспечивает надежную защиту с использованием токенов и сопоставление идентификационных данных из множества источников и доменов безопасности.

Чтобы предоставить организациям возможность контролировать поведение пользователей в масштабе всей инфраструктуры, решение IBM Tivoli Security Information and Event Manager предлагает информационные панели, демонстрирующие статус соблюдения требований корпоративной безопасности, со средствами углубленного мониторинга действий привилегированных пользователей и полным набором функций ведения регистрационных журналов и аудита.

Управление идентификационными данными

Для эффективного обеспечения безопасности требуется управление идентификационными данными пользователей и их правами доступа к ресурсам на протяжении всего жизненного цикла учетных записей. Интегрированное решение должно охватывать ключевые области управления идентификационными данными:

• управление жизненным циклом идентификационных данных, включая самообслуживание, регистрацию и предоставление прав доступа;

• контроль идентификационных данных, включая контроль доступа и конфиденциальности, а также однократную регистрацию и аудит.

Чтобы удовлетворить эти потребности, IBM предлагает решение Tivoli Identity Manager для автоматизированного управления пользователями на базе политик с обширными возможностями обеспечения безопасности. Это решение позволяет эффективно управлять учетными записями пользователей (а также разрешениями на доступ и паролями) — от создания до удаления, для всей ИТ-среды.

В развертывании, интеграции и использовании каталогов организациям помогут решения IBM Tivoli Directory Server и IBM Tivoli Directory Integrator. Эти базовые компоненты среды управления идентификационными данными предлагают масштабируемый, основанный на стандартах метод хранения данных о пользователях и синхронизации разрозненных источников этих данных в масштабе всего предприятия.

Услуги IBM Identity and Access Management Services помогают организациям оценивать, проектировать, развертывать и администрировать интегрированные решения для управления идентификационными данными на базе технологий IBM и ее бизнес-партнеров. Эти услуги могут поддерживать организации на всех этапах управления жизненным циклом идентификационных данных.

Ключевые моменты

IBM предлагает полный набор решений и услуг, позволяющих организациям реализовать единый, основывающийся на потребностях бизнеса подход к обеспечению безопасности.

Обширный ассортимент услуг IBM

Служба IBM Identity and Access Management Services предлагает обширный набор услуг, включая консалтинг и техническую поддержку, чтобы помочь клиентам справиться с проблемами защиты все более сложной корпоративной среды, сократить затраты на управление и максимально упростить внедрение политики обеспечения безопасности.

Эксперты IBM помогут вам разработать эффективные политики управления рисками и обеспечить соблюдение этих политик. В сотрудничестве со своими бизнес-партнерами IBM предлагает решения для строгой многофакторной аутентификации, в том числе основывающиеся на использовании смарт-карт, технологий биометрии и контроля доступа на базе ролей.

Защита и совершенствование коллективной работы и доступа к ресурсам

Основываясь на глубоком понимании сегодняшних угроз — и своем более чем 40-летнем лидерстве на рынке технологий обеспечения информационной безопасности, IBM предлагает полный набор решений и услуг, позволяющих организациям реализовать единый, ориентированный на потребности бизнеса подход к защите корпоративных ресурсов. Разработав структуру всестороннего обеспечения безопасности, IBM помогает организациям управлять всеми рисками нарушения ИТ-безопасности с целью их ослабления, предлагая технологии и экспертные знания, необходимые для развертывания решений, соответствующих уникальным потребностям бизнеса и приоритетам каждой организации.

Модульная, интегрированная структура обеспечения безопасности IBM предоставляет организациям возможность в первую очередь сконцентрироваться на своих самых неотложных проблемах, распространяя инициативы по обеспечению безопасности на другие области по мере необходимости. Для обеспечения безопасности коллективной работы и доступа к ресурсам в соответствии с целями бизнеса IBM предлагает обширный, унифицированный набор решений и услуг в области управления идентификационными данными и доступом. Эти решения призваны защитить активы и информацию от неавторизованного доступа, что повышает продуктивность и динамичность бизнеса.

Дополнительная информация

Чтобы узнать больше о решениях IBM, помогающих обеспечить безопасность коллективной работы и доступа к ресурсам в соответствии с потребностями бизнеса, или о различных инфраструктурах обеспечения безопасности, предлагаемых IBM, которые помогают защитить и усовершенствовать ваши бизнес-операции, свяжитесь с региональным представителем или бизнес-партнером IBM или посетите сайт ibm.com/ itsolutions/ security.

О решениях IBM Service Management

Решения IBM Service Management помогают организациям обеспечивать высококачественное, эффективно управляемое и непрерывное обслуживание, безопасное для пользователей, клиентов и партнеров. Организации любого масштаба могут эффективно использовать оборудование, программное обеспечение и услуги IBM для планирования, реализации и администрирования инициатив по управлению сервисами и активами, обеспечению безопасности и устойчивости бизнеса. Гибкие, модульные решения, поддерживающие управление бизнесом, развитие ИТ-инфраструктуры и ИТ-операции, основываются на многолетнем опыте сотрудничества с клиентами, лучших отраслевых методиках и технологиях на базе открытых стандартов. IBM является для клиентов стратегическим партнером, который помогает развертывать решения, обеспечивающие ускоренную окупаемость инвестиций и поддерживающие успешное развитие бизнеса.

ИБМ Восточная Европа/Азия Россия, 123317, Москва,

Пресненская наб., 10

Тел.: 7 (495) 775-8800,

7 (495) 940-2000 Факс: 7 (495) 940-2070

E-mail: [email protected]

ibm.com.ru

 

4.3.1. Общий подход к противодействию

В предыдущих разделах мы дали общую характеристику угроз ИБ от персонала и привели некоторые модели таких угроз. В данном разделе приводятся рекомендации по организации комплексного противодействия угрозам ИБ от персонала.

Далее сформулированы некоторые тезисы относительно противодействия угрозам ИБ от персонала.

Рисков ИБ от персонала невозможно полностью избежать, поэтому организация должна выявлять, оценивать и снижать соответствующих риски, признавать и принимать остаточный риск.

Установить тотальный контроль за действиями сотрудников невозможно, поэтому защитные меры должны быть избирательными.

Любые защитные меры тратят ресурсы организации в разной форме — человеко-часах, денежных единицах, доверии в коллективе и т. д. Поэтому любая система защитных мер должна быть сбалансирована по стоимости с потерями от возможного инцидента.

Любая система защитных мер не безупречна, в этой связи необходимо проводить контрольные и оценочные мероприятия в отношении применяемых защитных мер.

Как было отмечено в первом разделе главы, природа угроз от персонала не является новой. Поэтому целесообразно применять общеизвестные и проверенные многолетней практикой методы обеспечения доверия к персоналу, основанные прежде всего на информированности организации о сотруднике (принцип «знай своего служащего»).

Работа должна проводиться не только на этапе подбора сотрудника, но и на протяжении всей его работы. Кроме того, необходимо задуматься и о том, что будет после увольнения.

Акценты в выбранном подходе к противодействию угрозам от персонала создают специфику организации (некоторые организации сосредоточены на подборе персонала, другие — на ограничениях и контроле). Скорее всего, компания, занимающаяся розничной торговлей, выберет иные приоритеты, чем исследовательская лаборатория. Более того, в разных подразделениях одной организации тоже может быть целесообразно использовать различные подходы.

Большая часть защитных мер неизбежно связана с установкой различного рода ограничений на выполнение персоналом действий при выполнении служебных обязанностей. В этом случае решается задача о достаточности предоставленных полномочий для эффективного решения сотрудником служебных задач.

Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.

Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.

 

4.3.2. Обеспечение осведомленности персонала в области ИБ

Персонал должен знать о ценности информационных активов организации и потенциальных опасностях, занимать активную позицию в отношении защиты активов организации, не замалчивать проблемы и инциденты, внимательно относиться к подозрительным ситуациям, не стесняться задавать вопросы и информировать ответственную службу организации при необходимости. Обеспечить такие качества социума организации очень непросто, но это позволит в разы снизить вероятность возникновения инцидента при отсутствии грубых упущения по направлениям противодействия, не связанным с обеспечением осведомленности персонала.

М. Комер, автор книги «Расследование корпоративного мошенничества» [53], утверждает: «Один из лучших способов предотвращения внутреннего мошенничества — когда добропорядочные люди задают правильные и своевременные вопросы».

Целью организации должно быть создание и поддержание в коллективе культуры безопасности, атмосферы нетерпимости к нарушениям, когда нарушения не покрываются, а афишируются, наказываются, считаются позорными проявлениями непрофессионализма.

 

4.3.3. Получение информации от сотрудников организации

Не углубляясь в аспекты этого способа противодействия угрозам от персонала, отметим, что использование службой ИБ организации информации от персонала организации для выявления потенциальных и фактических злоумышленников может быть весьма эффективным методом защиты. При этом большое значение имеет обеспечение анонимности обращений сотрудников.

Впрочем, массовое и неосторожное использование анонимной информации может иметь потенциальные негативные аспекты в форме нарушения атмосферы доверия в коллективе, а также принятия службой ИБ неверных решений из-за ложных сообщений.

Более подробно с данной категорией защитных мер можно ознакомиться, например, в книге А. И. Доронина «Бизнес-разведка» [54].

Выше была отмечена важность создания культуры безопасности в организации, элементом которой является формирование у сотрудников установки на выявление различных угроз для организации и на информирование ответственных лиц организации о таких угрозах.

 

4.3.4. Организационные аспекты

Комплексный характер проблемы и организации противодействия демонстрирует, что различные функции противодействия должны быть возложены на различные подразделения организации, компетентные в соответствующих областях, — кадровую службу, юридический отдел, топ-менеджмент и линейных менеджеров, службу информационной безопасности, подразделение экономической безопасности. Только комплексный подход позволит обеспечить максимальный контроль за проблемами ИБ, связанными с персоналом.

Общая координация противодействия угрозам ИБ от персонала может быть возложена на службу безопасности организации, как непосредственно ответственную за противодействие различным умышленным угрозам, или на одного из топ-менеджеров организации, курирующего вопросы внутренней безопасности.

 

4.3.5. Скрытность противодействия

Можно быть уверенным, что внутренний злоумышленник, хорошо информированный о всех возможностях системы защиты, включая слабости и ограничения, будет искать и наверняка найдет способ обхода этой защиты, использовав при необходимости свои полномочия или введя в заблуждение коллег.

Хорошей практикой необходимо считать поддержание информационной неопределенности у персонала относительно характеристик по крайней мере части применяемых защитных мер. Такая неопределенность будет производить несколько эффектов:

— недостаточно информированный злоумышленник будет остановлен с большей вероятностью;

— недостаток информации будет производить сдерживающее воздействие на неинформированного злоумышленника даже тогда, когда фактически применяемые защитные меры обладают слабостями.

Скрытность очень важна как в отношении обнаруживающих мер, так и в отношении некоторых превентивных мер. Она обеспечивает эффективность этих мер, поскольку неинформированный злоумышленник будет действовать без учета данных мер и будет обнаружен.

Следующим этапом эволюции защитных мер является сознательное введение потенциальных злоумышленников в заблуждение, в частности:

— применение ложных защитных мер (они неотличимы от реальных, однако не функционируют, их главное преимущество заключается в дешевизне при очевидном сдерживающем воздействии);

— создание ложных информационных активов для отвлечения внимания злоумышленника от реальных ценностей организации; объекты-ловушки, маркированные информационные объекты и другие средства позволяют выявить не связанный с должностными обязанностями интерес к определенным объектам, документы «не на своем месте» и другие важные факты.

 

4.3.6. Управление системой ролей

Цель любой организации достигается в результате скоординированных действий участников (сотрудников) этой организации. При этом сами действия обычно заранее планируются и распределяются между сотрудниками организации в виде отдельных задач (функций, обязанностей). Состав задач и их распределение между сотрудниками могут оставаться неизменными на протяжении длительного времени, а могут изменяться в силу различных причин, таких как:

— изменение целей организации;

— оптимизация деятельности организации, например, с целью снижение издержек или уменьшения операционных рисков;

— адаптация деятельности организации под новые условия внешней среды, например, под потребности клиентов или под требования регулирующих органов;

— адаптация деятельности организации под новые условия внутренней среды, например, в связи с изменением состава сотрудников организации или в связи с внедрением специализированных средств автоматизации.

Распределение задач между сотрудниками предполагает предоставление каждому из них соответствующего объема ресурсов, необходимых для выполнения задач. Предоставленные организацией сотруднику ограниченные права, разрешения на использование определенных ресурсов организации составляют его полномочия.

При этом результативное и эффективное выполнение сотрудником его задач требует, чтобы предоставленные ему полномочия соответствовали, были достаточны для выполнения этих задач. Недостаточный объем полномочий у сотрудника организации ставит под угрозу достижение намеченных целей, что для организации недопустимо. В этой связи в большинстве компаний можно наблюдать ситуацию, когда объем предоставленных сотруднику полномочий несколько превышает объем, достаточный для выполнения его задач. Отметим, что такая ситуация в большинстве случаев неизбежна, поскольку:

— всегда существует неопределенность относительно того, какие действия потребуются от сотрудника для выполнения его задачи, и относительно того, сколько в точности ресурсов будет необходимо для выполнения задачи;

— точная регламентация всех полномочий и их применения, а тем более исполнение регламентов весьма трудоемки для большинства организации;

— наиболее значительными полномочиями обладает менеджмент организации, который по ряду причин, в том числе объективных, не склонен ограничивать собственные полномочия.

Как следует из приведенного выше определения угроз ИБ от персонала, полномочия сотрудника в значительной мере определяют исходящие от него риски ИБ для организации. В примитивной форме эту зависимость можно описать так: чем больше объем полномочий, предоставленных сотруднику, тем больше исходящий от него риск ИБ.

В простейшем случае опасность совокупности полномочий, назначенных сотруднику, может быть охарактеризована объемом потенциальных негативных последствий для организации от возможного использования этих полномочий против интересов организации. В более сложных случаях необходимо учитывать, что нападения инсайдеров различных профессий (наделенных различными типами полномочий) существенно отличаются друг от друга, в том числе по характеру и объему негативных последствий для организации [55].

Задача сравнения опасности различных полномочий (например, бухгалтера, системного администратора и начальника производственного участка), по-видимому, не может быть решена иначе, как путем обобщения мнений компетентных лиц, экспертов. Каждая организация вправе выбрать способ сравнения «под себя», заложив в него собственный опыт и представления об угрозах ИБ от персонала.

Следует отметить, что распределение полномочий между сотрудниками обычно неравномерно (в смысле опасности) в силу различных причин — характера решаемых сотрудниками задач, их навыков, возможной оперативной необходимости или даже в результате случайного стечения обстоятельств. Некоторые сотрудники получают на время или постоянно вместе с обязанностями значительный объем полномочий, существенно превосходящий (по опасности) полномочия других сотрудников организации. Такую ситуацию — наличие в организации сотрудника, нецелевое использование полномочий которого может вызвать неприемлемые для организации негативные последствия, — будем называть концентрацией полномочий. Понятно, что для организации желательно, чтобы концентрация полномочий была исключена или по крайней мере количество «опасных» в этом смысле сотрудников было минимальным. В случаях, когда исключить концентрацию полномочий невозможно, целесообразно воздействие организации на другие факторы риска из числа перечисленных в подразделе 4.2.3, например, на факторы, связанные с контролируемостью соответствующих полномочий, или на факторы, связанные с мотивационной сферой соответствующих сотрудников.

Очевидный способ уменьшения связанного с концентрацией полномочий риска ИБ состоит в целенаправленном контроле над распределением полномочий в организации. Будем называть деятельность, реализующую такой контроль с целью предотвращения угроз ИБ от персонала, управлением системой ролей.

Можно выделить следующие способы, обычно используемые для описания распределения полномочий между сотрудниками организации:

— слабо формализованное описание, основанное на устных договоренностях или документальных соглашениях произвольной формы;

— систематизированное описание отношений с помощью организационно-функциональных схем, положений о подразделениях и должностных инструкций;

— описание процессов деятельности организации и соответствующей системы ролей сотрудников.

Перечисленные способы не способны полностью функционально заменить друг друга, и во многих организациях такие способы применяются совместно. Кроме того, все они обычно увязывают распределяемые полномочия с задачами (функциями), для решения которых такие полномочия необходимы.

Слабо формализованное описание распределения полномочий обычно характерно для небольших организаций, деятельность которых требует высокой гибкости и (или) в которых руководитель имеет возможность и считает необходимым непосредственно отдавать распоряжения и контролировать деятельность всех сотрудников.

Организационно-функциональная схема описывает общие контуры структуры организации и связывает структурные элементы организации (подразделения и должности) с различными задачами (или видами деятельности организации). Организационно-функциональная схема обычно используется в качестве справочного материала, высокоуровневого представления, которое позволяет сразу увидеть в общих чертах устройство организации (организационную структуру, распределения между подразделениями задач и полномочий). Обратная сторона такова, что формат организационно-функциональной схемы просто не позволяет охватить многие важные детали. Отметим, например, что при чтении схемы, где на одном горизонтальном уровне показаны несколько субъектов, может сложиться ложное впечатление о сопоставимости их задач и полномочий.

Основными правовыми актами, описывающими систему распределения полномочий, в большинстве организаций являются положения о подразделениях и должностные инструкции. В положении о подразделении организации обычно определяются:

— место подразделения в организационной структуре;

— цели и задачи подразделения;

— полномочия подразделения;

— структура и численность подразделения;

— ответственность подразделения.

В должностной инструкции обычно определяются:

— название должности и соответствующего подразделения;

— перечень функций сотрудника;

— обязанности и полномочия (права);

— принципы взаимоотношения с руководством, коллегами и подчиненными.

Наиболее часто в положениях о подразделениях и должностных инструкциях встречаются следующие недостатки:

— отсутствие четких формулировок, что ведет к пересечению функций различных субъектов в организации (сотрудников и подразделений);

— потеря документом актуальности, соответствия реальным отношениям и деятельности;

— несоответствие функций, полномочий и ответственности;

— неполнота перечня функций;

— ориентация функций и полномочий на текущую деятельность при игнорировании функций, связанных с развитием и совершенствованием;

— слабая формализация «горизонтального» взаимодействия между сотрудниками и подразделениями. Реальная эффективность такого взаимодействия часто зависит от того, сложились или нет личные отношения между руководителями соответствующих подразделений.

Выделение роли, как альтернативного должности способа объединения полномочий и обязанностей сотрудника изначально возникло в связи с потребностью менеджмента в снижении сложности различных задач организационного проектирования. Более конкретно: рассмотрение (при проектировании, исследовании или реинжиниринге) некоторого вида деятельности организации, которое осуществлялось отдельно от других видов деятельности той же организации, требовало отдельного рассмотрения участников этого вида деятельности. Любой сотрудник организации при решении такой задачи был интересен только с точки зрения его участия в конкретной рассматриваемой деятельности. Иначе говоря, была интересна его роль. Если учесть, что почти любой сотрудник участвует в нескольких видах деятельности организации, то понятно, что такой сотрудник выполняет сразу несколько ролей.

Таким образом, роль может быть выделена и необходима только в связи с необходимостью выделения и отдельного рассмотрения определенного вида деятельности в организации. Роль представляет собой более мелкий (по сравнению с должностью) элемент распределения обязанностей и полномочий между сотрудниками.

Правильно реализованное ролевое описание полномочий лишено некоторых недостатков должностной инструкции:

— ролевое описание более гибкое, поскольку в случае изменений требуются меньшие усилия для реорганизации системы обязанностей и полномочий сотрудников;

— система ролей с меньшей вероятностью (чем система должностных инструкций) будет содержать всевозможные пересечения, противоречия и неточности, поскольку она формируется для отдельных видов деятельности, где такие недостатки проще отследить и исключить;

— ролевая система дает больше возможностей точно описать горизонтальные взаимодействия между сотрудниками.

С точки зрения минимизации концентрации полномочий для предотвращения угроз ИБ от персонала ролевое описание полномочий можно считать наиболее подходящим, поскольку оно:

— дает более детальное описание полномочий, чем другие способы;

— более четко, чем другие способы, отражает соответствие полномочий и ситуаций, в которых разрешено их применение;

— позволяет быстро формировать и оценивать различные сочетания полномочий сотрудников.

Описанная выше задача распределения полномочий с целью минимизации их концентрации наиболее эффективно решается посредством формирования и структуризации системы ролей в организации.

При распределении полномочий на основе системы ролей концентрация полномочий может возникнуть в результате двух ситуаций (см. рис. 68):

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.

Состав функций, совмещение которых следует считать недопустимой концентрацией полномочий, должен быть определен организацией, исходя из собственных потребностей и практики. В качестве примера требований к формированию ролей и их назначению можно привести положения стандарта Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26] и положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [56]. Например, в соответствии с пунктом 7.2.3 стандарта Банка России СТО БР ИББС-1.0-2008 с целью снижения рисков нарушения ИБ не рекомендуется совмещение следующих ролей одним сотрудником:

— разработки и сопровождения системы/ПО;

— разработки и эксплуатации системы/ПО;

— сопровождения и эксплуатации системы/ПО;

— администратора системы и администратора ИБ;

— выполнения операций в системе и контроля их выполнения.

В соответствии с положением Банка России № 242-П не рекомендуется назначение одному и тому же подразделению и (или) служащему функций, связанных с:

— совершением банковских операций и других сделок и осуществлением их регистрации и (или) отражением в учете;

— выдачей санкций на выплату денежных средств и осуществлением (совершением) их фактической выплаты;

— проведением операций по счетам клиентов организации и счетам, отражающим собственную финансово-хозяйственную деятельность организации;

— предоставлением консультационных и информационных услуг клиентам организации и совершением операции с теми же клиентами;

— оценкой достоверности и полноты документов, представляемых при выдаче кредита, и осуществлением мониторинга финансового состояния заемщика;

— совершением действий в любых других областях, где может возникнуть конфликт интересов.

В общем виде деятельность по управлению системой ролей в организации (в целях уменьшения рисков ИБ) состоит в последовательном решении следующих задач (см. рис. 69):

— идентификация системы ролей;

— оценка системы ролей;

— оптимизация системы ролей.

При решении перечисленных задач удобно использовать матричные модели распределения полномочий. Один из возможных форматов матричной модели представлен на рис. 70.

Из рис. 70 видно, что для построения матричной модели должен быть определен состав параметров модели и их значений, а также определен состав параметров отражаемых на пересечении строк и столбцов матричной модели (анализируемые параметры). При этом состав указанных параметров зависит от назначения матричной модели и от состава решаемых задач.

На первом этапе, при идентификации системы ролей, за основу для построения матричной модели целесообразно принимать систему распределения задач и полномочий, описанную действующими в организации должностными инструкциями, положениями о структурных подразделениях и другими документами (регламентами, распоряжениями о предоставлении полномочий и др.). Возможный вид матричной модели показан на рис. 71.

Для формирования такой матричной модели необходимо наличие хотя бы простой модели деятельности организации, в которой выделены собственно виды деятельности организации, например в виде процессов (идеи процессного представления деятельности кратко рассмотрены в главе 2), и выделены функции — структурные элементы видов деятельности (для процессного формата описания деятельности — процедуры).

Необходимые для формирования матричной модели элементы организационно-штатной структуры и связи между ними могут быть восстановлены по нормативным и организационно-распорядительным документам организации. Целесообразно также проведение опроса некоторых сотрудников организации с целью проверки актуальности восстановленных данных и их дополнения не отраженными документально отношениями.

Следующий шаг идентификации системы ролей состоит в отражении в матричной модели участия сотрудников в выполнении функций. Если сотрудник организации участвует в выполнении некоторой функции, то в соответствующей ячейке матрицы делается отметка, например «х». Состав допустимых отметок должен быть установлен, например, так:

— В — выполняет;

— К — контролирует;

— О — отвечает;

— И — информируется о результатах;

— С — согласовывает решения и (или) консультирует.

На основании заполненной матрицы осуществляется выделение ролей в соответствии с некоторыми заранее установленными правилами, например:

— роли идентифицируются отдельно для каждого вида деятельности, т. е. не должно быть ролей, входящих одновременно в более чем один вид деятельности;

— если за разными сотрудниками закреплена одна и та же группа функций в рамках одного вида деятельности, то такая группа функций идентифицируется как роль;

— если за одним или несколькими сотрудниками организации закреплена группа функций, отличающаяся от функций других сотрудников в рамках того же вида деятельности, то указанная группа функций идентифицируется как роль.

В результате описанной деятельности будет сформирован перечень ролей, а содержание ролей (обязанности и полномочия) может быть описано в терминах соответствующих видов деятельности организации.

Полученный результат не только позволит перейти к следующему этапу — оценке системы ролей с точки зрения ИБ, но и даст возможность руководству организации по-новому взглянуть на существующее в организации и закрепленное в ее нормативной базе распределение обязанностей и полномочий.

Оценка ролей в организации фактически заключается в выявлении ситуаций концентрации полномочий двух типов:

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.

Эти две задачи решаются сходным способом. Поэтому деятельность по оценке ролей покажем на примере решения первой задачи.

Для осуществления оценки системы ролей с целью выявления в них недопустимого совмещения функций используется матричная модель распределения функций между ролями, пример которой приведен на рис. 72.

Такая матричная модель распределения функций между ролями отражает состав функций закрепленных за ними. Формирование матричной модели распределения функций между ролями осуществляется на основании перечня ролей организации, который был сформирован на предыдущем этапе — идентификации ролей.

Анализ матричной модели распределения функций между ролями выполняется с целью выявления недопустимого совмещения функций в ролях, а его результатом является перечень ролей, в которых обнаружено недопустимое совмещение функций, и перечень собственно пар совмещенных функций.

После того как определена принадлежность функции, в матричной модели рядом с отметкой «х» ставится отметка в виде условного обозначения соответствующей функций недопустимой для совмещения, как представлено на рис. 72. Для удобства заполнения матричной модели и ее дальнейшего анализа рекомендуется использовать различные условные обозначения для групп функций недопустимых для совмещения, например:

— функции, связанные с разработкой программных средств, — Р;

— функции, связанные с сопровождением программных средств, — С;

— функции, связанные с эксплуатацией программных средств, — Э.

Недопустимым для совмещения функции могут быть обнаружены поиском в столбцах матрицы (выделено пунктирным контуром на рис. 72).

Выявление недопустимого совмещения ролей при назначении одному сотруднику выполняется аналогичным образом. В ходе деятельности по оценке ролей организации в качестве рабочих материалов формируются две матричные модели (модель распределения функций между ролями и модель распределения ролей между сотрудниками), а также следующие перечни:

— перечень ролей, в которых выявлено недопустимое совмещение функций;

— перечень сотрудников организации, которым назначены недопустимые для совмещения роли.

Оптимизация системы ролей организации проводится путем внесения изменений по двум направлениям:

— перераспределение функций между ролями с целью устранения недопустимого совмещения функций в отдельных ролях;

— перераспределение ролей между сотрудниками организации с целью устранения недопустимого совмещения ролей сотрудниками.

Оптимизация системы ролей проводится на основе результатов оценки системы ролей в организации.

Перераспределение функций между ролями может быть выполнено путем применения необходимых сочетаний следующих операций:

— удаление функции из роли;

— перемещение функции между ролями;

— создание новых ролей для перемещения в них функции.

При перераспределении функций между ролями целесообразно использовать матричные модели, полученные в ходе оценке системы ролей (см. пример на рис. 73).

Для перераспределения ролей между сотрудниками организации (переназначение ролей) с целью устранения недопустимого совмещения ролей сотрудниками организации могут быть использованы сочетания аналогичных приемов:

— сотрудник может быть освобожден от исполнения одной из ранее назначенных ему ролей;

— сотруднику может быть назначена некоторая роль в дополнение к уже выполняемым им ролям;

— может потребоваться прием на работу нового сотрудника и назначение ему роли, которая не может быть назначена имеющимся сотрудникам из-за концентрации полномочий.

По результатам перераспределения функций внутри ролей и (или) перераспределения ролей между сотрудниками организации формируются обновленные матричные модели. На их основе может быть актуализирована правовая база организации (ролевые инструкции, регламенты, должностные инструкции, описания видов деятельности) и изменена собственно технология деятельности.

Отметим, что при различных изменениях в организации, таких как изменение состава видов деятельности или увольнение/прием на работу сотрудников, система ролей должна переоцениваться с точки зрения концентрации полномочий, а по результатам оценки должны приниматься меры по оптимизации системы ролей.

Отметим, что возможными препятствиями для деятельности по управлению системой ролями могут стать:

— невозможность собрать ту или иную информацию, необходимую для управления системой ролей (в частности, невозможность сформировать достаточно детальное описание видов деятельности, невозможность сформировать достаточно детальное описание распределения полномочий, невозможность сформировать суждения относительно опасности различных сочетаний полномочий);

— противоречие между предложениями информационной безопасности относительно необходимости перераспределения ролей и представлениями бизнеса относительно эффективной организации труда;

— инерционность организации при осуществлении оптимизации системы ролей, включая следующие:

— сопротивление персонала (в качестве мотивов вероятны борьба за сохранение концентрации полномочий, борьба за сохранение бесконтрольности, а также сопротивление изменениям как потенциальной опасности);

— необходимость модернизации технологической среды, например используемых прикладных программных средств;

— негативное влияние изменений на эффективность деятельности организации, поскольку отдельные функции перейдут к новому, возможно, недостаточно опытному в этой сфере исполнителю, в связи с чем качество их выполнения может пострадать. Новому исполнителю потребуется время на то, чтобы установить контакты, необходимые для выполнения функций.

Управление системой ролей наиболее целесообразно применять в основном в тех видах деятельности организации, где рабочий процесс является неизменным в течение достаточно продолжительного времени, что позволяет однократно уделить время грамотному выделению и распределению ролей и пользоваться его результатами продолжительное время.

 

4.3.7. Программно-технические средства защиты от утечек информации

Как было отмечено выше, одной из серьезных угроз от персонала является угроза утечки служебной информации. Подобные инциденты часто на слуху из-за широкого круга затронутых лиц. Утечки конфиденциальной информации облегчаются существованием многочисленных каналов, доступных почти каждому сотруднику организации и связывающих корпоративные сети организаций с Интернетом (к их числу относятся месседжеры, электронная почта), распространением съемных носителей информации большого объема, легко подключаемых почти к любому компьютеру, а также распространением беспроводных сетей.

В последнее десятилетие быстро сформировался отдельный сегмент рынка соответствующих специализированных защитных мер — систем защиты от утечек, DLP. Данные средства ориентированы на выявление и блокирование ситуаций утечки конфиденциальной информации по каналам связи. Участники рынка активно продвигают такие средства под флагом «борьбы» с инсайдерами, с внутренними угрозами ИБ. При том что прогресс в развитии подобных технических средств можно оценить только положительно, необходимо помнить, что только комплексный подход (см. выше) позволит решить проблему. Угрозы от персонала не исчерпываются одними лишь утечками, другие угрозы являются не менее опасными и редкими. В то же время фактически происходящие утечки информации не ограничены каналами, контролируемыми посредством защитных мер DLP (чего стоит только устно передаваемая служебная информация), а эффективное применение DLP требует серьезных организационных политик в области классификации информации и в области управления оборотом служебной информации.

Это лишь один из инструментов, который поодиночке не позволит решить задачу в целом. Кроме того, такие средства требуют тщательной настройки с периодической актуализацией настроек.

 

4.3.8. Расследование инцидентов

Инцидент, в котором замешан сотрудник организации, для большинства организаций — чрезвычайное происшествие. Поэтому способ организации расследования сильно зависит от сложившейся корпоративной культуры организации. Но можно уверенно сказать: важно продумать заранее и зафиксировать организационные политики по расследованию таких инцидентов, включая состав и основные роли участников расследования, условия предоставления и объем чрезвычайных полномочий по получению информации при расследовании, возможные меры в отношении сотрудников, причастных к инциденту.

Расследование выявленного инцидента — информационный процесс, один из этапов реагирования на инцидент. Сбор и документирование информации об инциденте целесообразно начинать уже с момента его обнаружения, а желательно еще раньше — при выявлении предвестников инцидента.

Целями расследования обычно являются:

— восстановление хода инцидента;

— выявление участников инцидента (в том числе из числа сотрудников) и их ролей в ходе инцидента;

— сбор свидетельств и предварительная оценка степени вины сотрудников в инциденте;

— сбор юридически значимых материалов, пригодных для инициирования процедур, обеспечивающих привлечение виновных лиц к ответственности;

— выявление причин и условий инцидента, включая недостатки системы защиты организации, формирование предложений по совершенствованию системы защиты;

— сбор свидетельств и оценка негативных последствий инцидента.

Для успешного расследования крайне важно наличие механизмов регистрации действий сотрудников в расследуемой сфере деятельности.

Отметим, что определение вины сотрудника может быть весьма сложной задачей при проведении внутреннего расследования, поскольку обосновывающие умысел факты часто отсутствуют. К подобным фактам можно отнести:

— неоднократность инцидентов, связанных с сотрудником;

— подтвержденная заинтересованность сотрудника в последствиях инцидента;

— попытки сокрытия сотрудником следов своих действий, связанных с инцидентом;

— наличие следов заблаговременной подготовки сотрудника к инциденту;

— высказывания сотрудника до инцидента, свидетельствующие о его мотивах и намерениях.

Обращение к правоохранительным органам может потребоваться в случае, когда есть основания в умышленном характере инцидента; есть основания для уверенности во внешней поддержке злоумышленника, причинен или мог быть причинен существенный ущерб организации или третьим лицам.

Техническая сторона действий внутреннего злоумышленника зачастую настолько выражена в инцидентах ИБ, что для проведения внутреннего расследования может потребоваться использование специализированных программных средств, позволяющих получить необходимые свидетельства с устройств хранения и обработки информации, принадлежащих организации.

Отметим, что любое внутреннее расследование, пусть и без привлечения правоохранительных органов, — всегда стресс для коллектива. Среди возможных негативных последствий для организации: наказание невиновных, напряженность в коллективе, отвлечение сотрудников от работы и др.

 

4.3.9. Раскрытие информации об инцидентах

Вопросы раскрытия информации о различных инцидентах внутри и вне организации являются весьма значимыми для большинства организаций. При этом вполне обоснованы опасения менеджмента большинства организаций относительно возможных негативных последствий от раскрытия информации.

Такие негативные последствия могут наступить в форме реакции рынка — снижения капитализации компании, реакции акционеров по отношению к менеджменту организации, реакции клиентов и партнеров в форме изменения решений по совместной работе, реакции регуляторов в форме повышения планки различных требований (например, требований по резервированию капитала или обеспечения защиты от различных угроз) и проведения внеплановых проверок, а также конкурентов в форме осуществления черного пиара. Поток негатива о компании может сильно повлиять на ее имидж на рынке и на выполнение бизнес-планов даже в условиях небольших прямых потерь от собственно инцидентов.

Между тем раскрытие информации может оказаться необходимым организации для применения санкций в отношении злоумышленника и его сообщников, организации возврата материальных и других активов, обеспечения осведомленности персонала, выполнения законных требований регулирующих органов и собственников компании, а также выполнения соглашений с партнерами и клиентами.

Кроме того, позиция полного сокрытия информации об инцидентах может оказаться неприемлемой, поскольку информация так или иначе (очень вероятно, что в искаженной форме) все равно будет просачиваться к ее потенциальным потребителям. Сплетни и слухи, оставаясь без официальных комментариев организации, будут формировать ее имидж как скрытного и потенциально ненадежного партнера, риски работы с которым неприемлемо высоки. Естественно, что происшествия различного рода случаются в любой организации, и утверждения о полном их отсутствии вызовут улыбку у любого специалиста или руководителя.

Приведенные аргументы убеждают, что организациям необходимо тщательно прорабатывать вопросы информационной политики в части дозирования выдаваемой во внешний мир информации по инцидентам, определения способа подачи такой информации, выбора момента подачи информации, определения состава первых ретрансляторов информации (СМИ, ресурсов Интернет и др.), а также по выбору ответственных за внутреннюю и внешнюю информационную политику сотрудников компании.

Хорошей практикой является индивидуальное информирование собственников, партнеров и клиентов по крупным инцидентам, затрагивающим их интересы.