Подкаст
Валерий Сидоров Грандмастер

Бойтесь данайцев, дары уносящих, или Кто такие инсайдеры?

Впервые — за всю историю существования ежегодного опроса американского Института компьютерной безопасности (Computer Security Institute, CSI) — проблемы с инсайдерами опередили вирусы. Отчет «2007 CSI Computer Crime and Security Survey» показал, что инсайдеры беспокоят современные компании значительно больше, чем вирусы, — вирусы переместились на второе место. На третьем месте по опасности оказалась еще одна внутренняя угроза — потеря носителей с конфиденциальными данными (прежде всего, ноутбуков).

Кто такой инсайдер, или Свой среди чужих, чужой среди своих
inside (англ.) — внутренняя сторона; внутренность; изнанка; внутренний; скрытый; секретный;
inside (разг.) — совершенный своими;
insider — 1) член общества или организации; непосторонний человек; свой человек; 2) лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы; 3) хорошо осведомленный человек; человек, посвященный в тайну; 4) человек, имеющий постоянную работу и обладающий некоторой властью над рынком наемных работников; 5) лицо, которому доступна существенная (публично нераскрытая) информация, способная повлиять на рыночную стоимость акций компании.

Российская действительность, как всегда, вносит коррективы в толкование забугорных терминов, у нас инсайдеры — это компьютерные «несуны», ворующие информацию в своей фирме и продающие ее конкурентам.
Инсайдерская атака — это утечка персональной и конфиденциальной информации. Особенно чувствительны к инсайдерским атакам предприятия кредитно-финансовой сферы.
Среди прочих киберпреступлений инсайдерские атаки имеют самый высокий уровень латентности (сокрытия) и самый низкий показатель раскрываемости.

В чем опасность инсайдеров
По мировой статистике, утечка всего 20% коммерческих секретов фирмы в 60% случаев приводит к банкротству.
В перечне последствий инсайдерских атак, кроме прямых убытков (вплоть до банкротства): сокращение клиентской базы, снижение репутации, ухудшение общественного мнения…
Фирмы (предприятия, учреждения, организации) более-менее сносно научились защищаться от внешних угроз, но перед угрозами внутренними — инсайдерами — многие почти полностью беззащитны! И чем больше фирма, тем опаснее для нее инсайдеры.

Психологический портрет инсайдера, или Так вот ты какой, боец невидимого фронта!

«Буратино» — как известно, «буратину» отличает любопытство и стремление сунуть нос не в свое дело. Данный тип инсайдера характеризуется тем, что даже если по роду своей деятельности он не должен иметь доступа к конфиденциальным данным, он все равно, часто из любопытства, желает с ними ознакомиться.
«Мальчиш-плохиш» — легальный сотрудник, обладающий правом доступа к основному серверу, но недостаточными полномочиями для доступа к конфиденциальной информации. Такой человек может попытаться повысить недостаточный для своих целей, не связанных с работой, уровень полномочий в серверной ОС, до уровня администратора.
«Неуловимый мститель» — это обиженный или увольняемый сотрудник, который может воспользоваться периодом времени до отзыва администратором его прав доступа к конфиденциальным данным, для их копирования или изменения с целью хоть как-то «отыграться» за свои обиды.
«Павлик Морозов» — легальный сотрудник компании, действующий целенаправленно и способный привлекать значительные технические ресурсы для получения доступа к интересующей его информации. При этом он использует и социальную инженерию, и физический доступ к серверу, и другие возможности, 90% из которых полностью легальны и необходимы для его штатной деятельности.
«Серый кардинал» — системный администратор, который по должности имеет самый высокий уровень прав доступа. Это наиболее сложный тип инсайдера с точки зрения борьбы с ним.

Как бороться с инсайдерами
Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами — от обычного офисного принтера до обычной флэшки и фотокамеры мобильника.

Методы защиты от инсайдеров:
• аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарт-карты);
• аудит всех действий всех пользователей (включая администраторов) в сети;
• использование мощных программно-аппаратных средств защиты конфиденциальной информации от инсайдеров;
• обучение сотрудников, отвечающих за информационную безопасность;
• повышение личной ответственности сотрудников;
• постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению информационной безопасности и т. д.);
• соответствие уровня зарплаты уровню конфиденциальности информации (в разумных пределах!);
• шифрование конфиденциальных данных;
• …

Но самое главное, конечно, человеческий фактор: хотя человек — самое слабое звено в системе безопасности, но и самое важное! Борьба с инсайдерами не должна превращаться в тотальную слежку всех за всеми. В компании должен быть здоровый моральный климат, способствующий соблюдению корпоративного кодекса чести!

Обновлено 19.12.2007
Статья размещена на сайте 4.11.2007

Комментарии (5):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Работник не станет воровать до тех пор, пока его реально ценят, хорошо платят и дают возможность развиваться. Главную роль в воспитании лояльности сотрудников играет правильная политика руководства и специалистов по персоналу. Человек должен быть заинтересован в процветании своей фирмы, не должен чувствовать себя в ней временным и недооцененным.

    Обычно "затягивание гаек" доходит до маразма, но не приносит какой-то реальной пользы, а наоборот озлобляет. И те, кто "затягивает гайки" по обыкновению не являются высококлассными специалистами и все их телодвижения, как показывает опыт, скорее демонстрационные и ресурсоёмкие, но ни как не способствуют реальной защите данных.

    Оценка статьи: 3

  • Проблема известная.

    Огрехи уже отметили.
    Ну, а по поводу администратора нужно сказать, что в фирмах с большим штатом их должно быть несколько, причем с разными правами: админ БД, админ сетевой, админ системный, админ прикладного программного обеспечения. Это дает возможность не унести все сразу, если уж что-то будет унесено.
    А еще инсайдером можно стать случайно, по глупости. Например, скачал-установил какую-то супер-полезную программу с кряком. А там троянчик оказался, который унес что-то важное. Эта ситуация характерна для маленьких фирмочек без администраторов.

  • легальный сотрудник, обладающий правом доступа к основному серверу, но недостаточными полномочиями для доступа к конфиденциальной информации. Такой человек может попытаться повысить недостаточный для своих целей, не связанных с работой, уровень полномочий в серверной ОС, до уровня администратора
    Как-то все однобоко. Почему именно к какому-то "основному" серверу? К файлам на нем? Это не единственный и даже не главный источник конфид. информации. Почему повысить сразу до уровня администратора?

    системный администратор, который по должности имеет самый высокий уровень прав доступа
    Это не совсем так. И именно так не должно быть.

    Так что - 4

    Оценка статьи: 4

  • Интересно было почитать. Особенно развеселило описание типов.

  • Timeo Danaes et dona perentis.
    Но самый полседний рецептик лежит под самой последней буллет. Так интересно, что же там? А?
    Может, что-то, что поможет, наконец? И начсчет зарплаты очень животрепещуще. Стоит поставить в номер раз. И даже в неразумных пределах!
    Очень интересно. 5. Спасибо. Доходчиво даже для чайников. Каковых я имею честь представлять.