Изначально в слове «инсайдер» не было никакой негативной окраски. Так называли сотрудника компании, который имел доступ к закрытой, конфиденциальной информации. Однако были нередки случаи, когда такой работник злоупотреблял оказанным ему доверием и использовал свое привилегированное положение для извлечения собственной выгоды. Именно поэтому в настоящее время инсайдером все чаще именуют некоего отрицательного персонажа, который совершает не слишком благовидные поступки, а инсайдом называют не только доступ к конфиденциальной информации, но и сам процесс «слива» закрытых данных третьим лицам.
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Осторожно – инсайдер, или Как защититься от утечек информации ("Директор по безопасности", №10)
1. ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ЕСТЬ РЕШЕНИЕ
Осторожно –
инсайдер, или
Как защититься
от утечек
информации
ROBERT KNESCHKE / SHUTTERSTOCK
Изначально в слове «инсайдер» не было никакой не-
В
такой трактовке иностранное
слово «инсайдер» приближает-
гативной окраски. Так называли сотрудника компа- ся по значению к русскому «сту-
нии, который имел доступ к закрытой, конфиденци- кач». Однако эти слова не синонимы.
альной информации. Однако были нередки случаи, Разница заключается в самом отноше-
нии к инсайду как к действию по пере-
когда такой работник злоупотреблял оказанным ему даче закрытых данных у них и у нас. Рас-
доверием и использовал свое привилегированное смотрим, в чем же состоит это отличие,
положение для извлечения собственной выгоды. на конкретных примерах из российской
и западной действительности.
Именно поэтому в настоящее время инсайдером все Никита Палкин пришел в Ingate с
чаще именуют некоего отрицательного персонажа, определенной целью – заработать де-
который совершает не слишком благовидные нег, но отнюдь не честным трудом. Не-
скольких дней пребывания в компании
поступки, а инсайдом называют не только доступ к
ему оказалось достаточно, чтобы раздо-
конфиденциальной информации, но и сам процесс быть конфиденциальную информацию
«слива» закрытых данных третьим лицам. о ее деятельности, после чего он тут же
52 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011
2. WWW.S-DIRECTOR.RU
АЛЕКСАНДР ВАШКЕВИЧ,
независимый эксперт по информационной безопасности
покинул организацию. А спустя какое-
то время другим компаниям, участни-
цам SEO-рынка, стали приходить пись-
ма с предложением купить сведения об
Ingate.
Описанный пример – классический
вариант утечки данных. Есть сотрудник,
который поставил себе целью украсть
$7,2млн СОСТАВИЛ СРЕДНИЙ УЩЕРБ ОТ ОДНОЙ
УТЕЧКИ ДАННЫХ В 2011 ГОДУ
конфиденциальную информацию. С по- альные средства для предотвращения Зарплата очень часто служит камнем
мощью технических средств и собствен- утечек данных. Там же, где они при- преткновения между сотрудником и
ной изворотливости он эту информацию меняются, лишь 14 % систем контро- его начальником. Если такая ситуация
получает и пытается продать. лируется специальным отделом, более наличествует, а недовольный работник
Существуют и иные схемы кражи половины опрошенных доверяют ин- имеет доступ к закрытым сведениям,
данных. Обычно их целью становится формационную безопасность IT-отделу, то вероятность их утечки очень велика.
не получение личной выгоды, а извле- который должен выполнять иные функ- Иногда человек сразу приходит в орга-
чение непосредственно информации. ции. Такая ситуация благоприятствует низацию с целью добыть конфиденци-
Такие схемы являются более изощрен- утечкам данных и деятельности «стука- альные данные, как это было в Ingate.
ными и четко разработанными. В их чей», компаниям приходится расплачи- Похожий, но только более серьез-
осуществлении редко участвует один че- ваться за не принятые вовремя меры по ный инцидент произошел в банковской
ловек, обычно имеет место сговор груп- защите собственной информации. сфере. К работе ряда форумов, посвя-
пы лиц. Можно сказать, что подобные Такое обилие возможностей порож- щенных информационной безопасно-
утечки данных ближе к шпионажу, чем дает и несколько разных типов «стука- сти в банках, подключился мошенник.
к обычной краже. чей», каждый из которых преследует Он воспользовался простой процедурой
В этом году Ponemon Institute со- свои цели. Самый очевидный и распро- регистрации на ежегодной межбанков-
вместно с компанией Symantec проана- страненный вид деятельности инсай- ской конференции в Магнитогорске и в
лизировали последствия утечек данных. деров – кража информации ради денег. итоге оказался в курсе всех последних
В 2011 г. цена всего одного такого инци-
$35,3млн
дента в среднем составляла 7,2 млн долл. «СТОИМОСТЬ» САМОЙ ДОРОГОЙ УТЕЧКИ
В исследовании представлены сведения ТЕКУЩЕГО ГОДА
и о самой дорогостоящей утечке – за
одно происшествие неназванная компа-
ния потеряла 35,3 млн долл.
В России точного определения людей,
наносящих столь значительный вред
своему предприятию, нет. Обычно меж-
ду собой их называют неприглядным
словечком «стукач». Отношение к подоб-
ному явлению соответствующее – люди, В странах СНГ некоторые
допустившие утечку данных, становятся директора уверяют, что их совсем
изгоями в коллективе, если, конечно, до
этого их не увольняет начальство. не тревожит тот факт,
что сотрудники при увольнении
Российские реалии
«стукачей» уносят часть сведений
Основная причина российских утечек о предприятии. Они считают,
данных – неправильная политика ин-
формационной безопасности в орга-
что это будет компенсировано
низации. Недавние исследования ком- новыми кадрами, которые
пании SearchInform, одного из лидеров точно так же передадут часть
российского рынка средств защиты и
контроля информационных потоков, информации со своего прошлого
свидетельствуют о том, что только око- места работы
ло 22 % организаций используют специ-
Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ 53
3. ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
В
разработок в сфере дистанционного трения с рабочим коллективом. После Америке, к примеру, даже
банковского обслуживания, где и зани- своего увольнения он создал вредонос- в небольших компаниях
мался мошенничеством. Только спустя ную программу, которую с чужого по- установлена система защиты
несколько лет удалось установить его чтового ящика от лица руководителя внутренней информации. Мало
личность и преступные намерения. разослал всем сотрудникам учрежде- того, каждый сотрудник организации
Вторая распространенная цель ния, где сам раньше работал. При акти- предупрежден об этом. «Там принято
«стукачей» – это сведение счетов с на- вации программы происходило полное внедрить DLP-систему и рассказать об
чальством. Причины мести могут быть уничтожение данных на компьютере, этом максимально подробно всем со-
разнообразными: увольнение, пониже- а также нарушалась его работа. Сей- трудникам, чтобы те прониклись важ-
ние в должности, личная неприязнь к час злоумышленник арестован и ему ностью защиты компании от утечек
руководителю. Затаивший обиду чело- предъявлено обвинение. информации и были в курсе наличия
век стремится навредить организации Кроме трех перечисленных причин «большого брата», который следит
любым способом. А совершить утечку «стукачества», существует и еще одна за ними, – комментирует ситуацию
данных – наиболее удобный и выгод- разновидность «слива» информации, Роман Идов, аналитик компании
ный вариант мести. но назвать ее полноценным «стукаче- SearchInform. – В России же нередки
Крупный инцидент такого рода про- ством» нельзя. Иногда утечка данных случаи, когда система информа-
изошел в Украине. Один из бывших происходит случайно, когда сотрудник ционной безопасности тщательно
руководителей Службы безопасности либо забыл о необходимости соблю- скрывается от персонала, для того
Украины (СБУ) выложил в Интернет дать коммерческую тайну, либо вовсе чтобы свободно контролировать, чем
конфиденциальные данные: штатное не знал этого. Такая ситуация также работники заняты на своем месте».
расписание, план оперативно-розыск- очень вероятна. По данным исследо-
ных мероприятий, должностные обязан- вания кадрового холдинга «Анкор»,
ности руководства и другие секретные только 60 % сотрудников IT-компаний ценностью, и сотрудники уже не пред-
сведения. Предположительно мотивом подписывали соглашение о нераспро- ставляют для себя иного отношения к
для инсайда стало смещение с должно- странении конфиденциальных сведе- секретным данным.
сти этого сотрудника СБУ. Оценивать эту ний, при этом около 80 % работников В странах СНГ некоторые директора
утечку только с точки зрения финансово- имели доступ к такой информации. А уверяют, что их совсем не тревожит тот
го ущерба нельзя: под угрозой оказались значит, они с очень большой вероятно- факт, что сотрудники при увольнении
и сами агенты спецслужбы, их родные и стью могут пополнить ряды случайных уносят часть сведений о предприятии.
близкие, на которых злоумышленники «болтунов», за это никаких санкций к Они считают, что это будет компенси-
могут теперь оказывать давление. ним применить будет нельзя. ровано новыми кадрами, которые точ-
И третий тип «стукачей» – это люди, но так же передадут часть информации
находящиеся в конфликте с кем-то из «Стукач» и инсайдер- со своего прошлого места работы. Не
коллег. Часто руководство об этом не до- правонарушитель означает ли это, что руководство созна-
гадывается, а между тем такое взаимное Чтобы понять, чем же российский тельно допускает утечки данных?
противостояние опасно вдвойне: стать «стукач» отличается от западного ин- Подобное отношение лишь усугу-
инсайдером-правонарушителем может сайдера, прежде всего необходимо бляет ситуацию. Кража данных входит
любой из участников конфликта. Если сравнить отношение компаний к ин- в норму, приобретает оттенок предпри-
между персоналом очень неприязнен- формационной безопасности у нас и у нимательства и торговли.
ные отношения, то на второй план могут них. В России в этом плане существуют Когда сотрудник знает, что любая
уйти даже должностные предписания. определенные недоработки: пренебре- попытка инсайда будет отслежена,
Целью такого сотрудника становится жительное отношение руководства к он, прежде чем передавать конфи-
месть коллеге и инсайд, в частности, как проблеме защиты информации приво- денциальную информацию в третьи
возможность «подставить» конкурента. дит к игнорированию столь важного руки, хорошо подумает, стоит ли это
22%
Такая ситуация произошла в Бар- вопроса и со стороны персонала. Кор- делать. Поэтому западный инсайдер
науле. Уволенный программист имел поративные сведения перестают быть хитрее и изворотливее, чем наш. Он
не пойдет на кражу данных без край-
ней на то необходимости. И такой не-
ТОЛЬКО 22 % ОРГАНИЗАЦИЙ обходимостью для него, как ни стран-
ИСПОЛЬЗУЮТ СПЕЦИАЛЬНЫЕ но, редко становятся деньги. Чаще
СРЕДСТВА ДЛЯ всего правонарушение совершается
ПРЕДОТВРАЩЕНИЯ УТЕЧЕК из-за собственных принципов и убеж-
ДАННЫХ дений. Классический пример такого
54 ДИРЕКТОР ПО БЕЗОПАСНОСТИ Октябрь 2011
4. WWW.S-DIRECTOR.RU
«Робин Гуда» – Эрве Фальчиани, быв- ных). Их отличительная особенность – Она включает в себя информирование
ший IT-специалист британского бан- комплексность. Такие системы отсле- персонала о наличии в организации
ка HSBC. Свое имя он прославил тем, живают все информационные потоки систем информационной безопасности,
что, используя служебные полномочия, в организации – от электронной почты о необходимости соблюдать коммерче-
получил доступ к сведениям о людях, до программ, использующих алгоритмы скую тайну и возможных последствиях
нарушающих налоговое законодатель- шифрования (Skype, например). Кроме ее разглашения как для компании, так
ство. Этот человек составил так назы- того, под их наблюдением находятся все и для самого сотрудника.
ваемый «список Фальчиани» и разослал съемные носители данных, корпоратив- Важный пункт организационной
его полицейским и налоговым службам ные компьютеры и ноутбуки. работы в коллективе – создание до-
Германии, Франции и Великобритании. Вторая важная особенность DLP- верительной рабочей атмосферы. До-
Все перечисленные особенности за- систем – автономность. При их исполь- статочно вспомнить, что конфликт
падных инсайдеров сказываются и на зовании отпадает необходимость со- между сотрудниками может послужить
отношении руководства к этим людям. держать целый отдел, который должен причиной утечки данных, в результате
Если в России «стукача», скорее всего, заниматься информационной безопас- которой пострадают не только сами со-
уволят или применят к нему дисципли- ностью. Достаточно всего нескольких трудники, но и организация.
нарное взыскание, то в Америке «идей- специалистов в этой области. На успешное предотвращение уте-
ному инсайдеру» могут прибавить зар- Недавние исследования SearchInform чек информации влияет и отношение
плату или повысить его в должности. показывают, что сейчас в России DLP- руководства компании к персоналу.
Дело здесь опять же в более серьезном системы не пользуются большой попу- Пока на инсайдеров-правонарушите-
отношении к информационной без- лярностью. Только половина компаний лей будут сразу же вешать ярлык «сту-
опасности. Чаще всего возможность планирует в ближайшее время установ- кач», добиться повышения качества
похитить данные имеется не у рядо-
вых сотрудников, а у хорошо обучен-
ных специалистов, профессионалов. И Классический пример «Робин
компании проще пойти навстречу же-
ланиям проверенного работника, чем
Гуда» – Эрве Фальчиани, бывший
подыскивать на освободившееся место IT-специалист британского банка
нового человека. HSBC. Свое имя он прославил
В России и на постсоветском про-
странстве такая система взаимоотноше- тем, что, используя служебные
ний «начальник–подчиненный», когда полномочия, получил доступ
оба понимают, что для пользы дела тре-
буются взаимоуважение и взаимопони-
к сведениям о людях, нарушающих
мание, только вступает в действие. Мно- налоговое законодательство.
гие компании уже следуют опыту Запада
и предпочитают решать проблему со-
Он составил так называемый
трудника, а не ждать, пока он совершит «список Фальчиани» и разослал
нарушение и возникнет необходимость его полицейским и налоговым
в его наказании. Широкое внедрение
такой системы пойдет только на пользу службам Германии, Франции
информационной безопасности. и Великобритании
Как защититься от утечки
информации? ку комплексной защиты. Некоторые и информационной безопасности будет
Чтобы обеспечить компании качествен- вовсе не считают нужным ее внедре- непросто. И заведомое поощрение
ную защиту информации, нужно принять ние, а другие полагают, что вполне «стукачества» тоже недопустимо. Толь-
целый комплекс мер. Для простоты их достаточно будет частичной защиты, ко отказ от пренебрежительного отно-
можно разделить на две большие группы: а это весьма опасное заблуждение. шения руководства к собственным со-
технические и организационные. Информационная безопасность будет трудникам в сочетании с комплексной
Наилучшим техническим решением максимально эффективной, только информационной защитой позволит
по защите информации считается уста- если обеспечена комплексная защита. добиться практически стопроцентной
новка DLP-систем (от англ. Data Leak Не менее важна организационная информационной безопасности ком-
Prevention – предотвращение утечек дан- работа по сохранности информации. пании.
Октябрь 2011 ДИРЕКТОР ПО БЕЗОПАСНОСТИ 55