Коллеги опаснее хакеров?

Согласно недавно опубликованным данным исследования The Global State of Information Security 2007, которое ежегодно проводит всемирно известная консалтинговая фирма PricewaterhouseCoopers, 69% специалистов, ответственных за информационную безопасность компаний, считают, что утечка конфиденциальных данных может произойти прежде всего по вине бывших и нынешних сотрудников.

В опросе участвовало более 7 000 респондентов со всего мира, из них 28% представляли европейские страны, в том числе и Россию. Погрешность результатов составляет не больше 1%.

Поначалу итоги исследования несколько ошарашили аналитиков: ведь персонал фирм впервые за девятилетнюю историю The Global State of Information Security признан более опасной угрозой, чем, например, хакеры – причем последние отстали в этом своеобразном рейтинге сразу на 30%. Более того, если учитывать только ответы респондентов уровня CSO или CISO, то показатели риска инсайдерской утечки информации будут еще выше – около 84%!

Естественно, это не означает, что за прошлый год наемный персонал стал более склонным к предательству своей фирмы. На самом деле вероятность недружественного инсайда год от года остается примерно на одном и том же уровне, который связан с общим процентом неблагонадежных людей в обществе – а тот, в свою очередь, зависит от глобальных социокультурных факторов и крайне медленно меняется во времени.

Причина, скорее всего, в другом: за последнее время специалисты по информационной безопасности стали гораздо более осведомленными о том, в каких областях на самом деле существуют серьезные проблемы. В частности, после внедрения систем логирования и протоколирования во многих фирмах появилась реальная картина ситуации в корпоративных сетях. Теперь можно регистрировать те случаи, которые прежде были скрыты от внимания отделов информационной безопасности. Оказалось, что прежде деньги зачастую тратились на защиту от мнимых угроз, в то время как реальными почти не занимались. Немалую роль в в нагнетании подобных тревожных настроений сыграла, конечно же, и мировая пресса, подробно описавшая сразу несколько показательных инсайдерских инцидентов с многомиллиардными убытками.

«Даже самый честный и аккуратный сотрудник запросто может стать причиной утечки – например, в результате кражи взятого домой служебного ноутбука или потерянной флешки, – говорит руководитель технического отдела компании «БИСС-Челябинск» (справочная служба 247-10-10) Иван Петров. – И в этом случае те, кто отвечает за информационную безопасность, оказываются в сложной ситуации. Можно, конечно, ввести драконовские меры. Скажем, поставить все серверы под круглосуточную охрану. Запретить сотрудникам пользоваться сменными носителями, устанавливать дополнительное ПО и оборудование и брать работу на дом. Закрыть доступ к не связанным с их деятельностью сайтам, отключить «аську», и так далее. Многие фирмы на самом деле идут по этому пути. Например, на входе в офисы «Газпрома» работники обязаны сдавать свои сотовые телефоны охране, а в одном из банков, где работает мой знакомый, каждые две недели вводятся новые пароли для входа в банковскую систему. Несмотря на то что они состоят из 30-35 символов, сотрудники банка не имеют права их записывать – согласно внутренней инструкции, их нужно запоминать. Иногда такие меры оказываются действенными – однако, во-первых, они далеко не панацея от всех бед, во-вторых, неизвестно, как они сказываются на оперативности и мобильности ведения бизнеса».

«Меня всегда несколько озадачивают руководители фирм, которые просят нас отключить почтовые ящики сотрудников или, допустим, перекрыть USB-порты на служебных компьютерах – якобы для того, чтобы исключить утечку информации, – скептически замечает директор компании «Редсолюшн» Андрей Ненахов. – До тех пор пока у человека есть доступ в Интернет, исключить опасность передачи важной информации во внешний мир невозможно. Да и способы организовать инсайд у желающих всегда найдутся. Мне кажется, проще выстроить правильную мотивацию персонала, чтобы таких желающих в фирме было как можно меньше. Другим источником проблем является всё ещё крайне низкая культура использования компьютера и персональных данных. Например, мы постоянно сталкиваемся с ситуацией, когда работники наших клиентов упорно не желают использовать собственные логин и пароль для входа в систему. Также трудно искореняется любовь пользователей к «файлопомойкам» – общим сетевым каталогам с полными правами доступа для всех».

Действительно, подобное смещение акцентов в борьбе за информационную безопасность от внешних угроз к внутренним несколько озадачило специалистов. Многие до сих пор толком не понимают, что теперь нужно делать – тем более что у сотрудника гораздо больше возможностей украсть информацию, чем у какого-то внешнего злоумышленника, даже если тот обладает более серьезными знаниями. А 40% организаций, согласно исследованию PricewaterhouseCoopers, даже не знают точного числа инцидентов, случившихся в их организации за прошлый год. В качестве наиболее действенной меры многие эксперты предлагают сосредоточиться не на борьбе с умышленными инсайдами, которые случаются достаточно редко, а на исключении утечек, возникающих из-за случайностей или элементарных ошибок персонала. И первым шагом в построении «утечкозащищенной» инфраструктуры они признают классификацию всех имеющихся в фирме данных по степени конфиденциальности. Как показывает практика, такие инвестиции достаточно быстро окупаются – однако производят их пока еще далеко не все. По данным опроса, всего 33% респондентов проводят инвентаризацию всех пользовательских данных. Список всех носителей, содержащих корпоративные сведения, имеется только у 31% респондентов. Вместе с тем более половины (53%) опрошенных компаний имеют стратегию по управлению жизненным циклом данных, а три из пяти организаций (61%) шифруют всю информацию в процессе передачи.