Как распознать инсайдера

Информационная безопасность – это не только установка всевозможного софта и оборудования, защищающего организацию, но и работа с людьми. На самом деле, последняя даже более важна, чем любые технические средства защиты, но почему-то об этом редко вспоминают.

Сейчас мы поговорим о таком аспекте защиты организации, как защита от утечек информации. Все угрозы утечек корпоративной информации можно разделить на две большие категории: внутренние и внешние. Внешние исходят извне организации – например, от тех, кто пытается перехватить её электронную почтовую корреспонденцию.

Именно внешние угрозы, как правило, являются приоритетом в плане защиты для большинства организаций в мире. Однако есть и другая категория угроз – те, которые исходят от самих сотрудников компании. Многие совсем не против немного подзаработать, передав часть корпоративных секретов конкурентам вашей компании. Таких людей называют инсайдерами – от английского inside (изнутри). Защитой от них многие компании почему-то пренебрегают, хотя инсайдер может принести намного больше вреда, чем, скажем, хакер, взломавший корпоративный сайт.

К сожалению, несмотря на неоспоримую важность правильного выбора технических средств защиты от утечек данных, один лишь он не может гарантировать успеха в борьбе с утечками информации в организациях. Система защиты организации от утечек данных (DLP) – всего лишь инструмент в руках специалиста по информационной безопасности. Это означает, что каким бы мощным ни был этот инструмент, без его грамотного использования успеха в работе никак не достичь.

Даже самые лояльные, на первый взгляд, сотрудники могут в итоге оказаться виновными в утечках конфиденциальных данных. Поэтому не стоит заранее составлять «белые» списки из рядовых сотрудников – отсутствие контроля оправдано только для высшего звена руководства организации, да и то с некоторыми оговорками, поскольку в некоторых, пусть и очень редких, случаях и оно может быть заинтересовано в «сливе» закрытых корпоративных данных.

Принято считать, что в основном инсайдеры действуют исключительно из-за желания заработать на продаже корпоративных секретов. К сожалению, не всё так просто – очень часто оказывается, что корпоративными секретами делятся те, кого работодатель и так не обижал в финансовом плане, не получая при этом никакой материальной выгоды. Мотивация инсайдера – один из основных ключей к его выявлению и обезвреживанию. Фактически, без понимания причин того, почему тот или иной сотрудник распространяет закрытую корпоративную информацию, достаточно трудно вывести его «на чистую воду» в сжатые сроки.

Один из основных мотивов инсайдерства – это обида на работодателя. Часто мнимая, иногда вполне обоснованная – но при этом всегда достаточно сильная. Обижаются чаще всего не ранимые сотрудники женского пола, которые, видимо, достаточно быстро забывают обиду, рассказав о ней родственникам или подругам, а мужчины, которые носят её в себе и которые гораздо серьезнее относятся, например, к обвинениям в профессиональной некомпетентности. Чем выше статус человека как профессионала, чем больше внимания он уделяет ему, чем более ответственен и скрупулезен в работе, тем больше шансов на то, что замечание руководителя, особенно сделанное в грубой форме, вызовет сильную обиду и станет причиной появления желания отомстить начальству.

Достаточно часто подоплекой утечек информации из организации становятся интриги сотрудников и кулуарная борьба между ними. Особенно актуальной эта проблема является для достаточно больших по своим размерам организаций, поскольку именно в них «боевые действия» сотрудников могут развернуться не на шутку и порождать даже столкновения целых «кланов» и подразделений в рамках организации.

Пожалуй, выявлять утечки информации, которые сделаны так, чтобы подставить кого-то из ответственных сотрудников, наиболее трудно, потому что их «авторы» старательно маскируются, и, надо сказать, что у многих это получается особенно хорошо. Свою роль в этом играет и тот факт, что службы информационной безопасности обычно, не разбираясь долго, наказывают того, чья вина лежит на поверхности, даже если тот всё отрицает и требует более тщательного расследования.

 «Классические инсайдеры – действительно технически грамотные люди, поскольку для того, чтобы получить доступ к информации, имеющей значение для компании, нужно иметь представление о том, как эта информация защищается от тех работников, которые не должны её видеть»,   считает Сергей Ожегов, коммерческий директор компании SearchInform, специализирующейся в области информационной безопасности. – «Но сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы так называемой социальной инженерии, против которых бессильны пароли и схемы контроля доступа».

Как узнать, что потенциальный инсайдер собирается применять приёмы социальной инженерии для «обработки» кого-либо из сотрудников? Главный признак этого – активный интерес к личным сведениям будущей жертвы, которые нужны инсайдеру для установления тесного контакта с нею. Сбор данных о сотрудниках не может при грамотном использовании технических средств укрыться от сотрудников отдела информационной безопасности. Также обязательно нужно обращать внимание и на поступающие от сотрудников сообщения вида «такой-то интересовался семейной жизнью такого-то», «такой-то узнавал послужной список такого-то» и т.д.

Иногда сбор данных может и вовсе проявляться в форме внедрения злоумышленником на компьютер жертвы «кейлоггеров» и другого шпионского программного обеспечения, крадущего логины и пароли, и открывающего, таким образом, практически неограниченный доступ к любым данным этой жертвы для инсайдера.

Для чего инсайдеры применяют приёмы социальной инженерии и крадут идентификационные данные? Обычно они нужны им для получения доступа к интересующей их информации, хотя, например, в случае с теми же данными для идентификации пользователя на корпоративных информационных ресурсах, они сами могут стать достаточно востребованным информационным товаром, который инсайдер может продать, например, кому-либо из конкурентов.

Конечно, разнообразных аспектов психологии инсайдерской деятельности сотрудников намного больше, и при выявлении инсайдеров в вашей организации вы вполне можете столкнуться и с достаточно экзотическими мотивами передачи секретной информации за пределы организации. Тем не менее, предложенные распространённые варианты вполне могут служить отправной точкой и подспорьем в нелёгкой борьбе с инсайдерами, угрожающими информационной безопасности организации.

Вадим Станкевич
Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!