Внутренние угрозы ИТ-безопасности

Алексей Доля

TanaT@jeo.ru

До недавнего времени проблема внутренней ИТ-безопасности, в частности, защиты конфиденциальной информации предприятий и организаций от умышленных и неумышленных неправомерных действий сотрудников, представлялась в большой мере делом будущего. Многие руководители так или иначе понимали, какую опасность таят в себе эти угрозы, но воздерживались от конкретных, комплексных мер по ее предотвращению. Сегодня этот вопрос вышел из разряда теоретических; от его решения зачастую зависит эффективная работа информационных систем, а следовательно, функционирование организации в целом.

Американский Институт компьютерной безопасности и ФБР, проведя опрос 1000 предприятий в США (CSI/FBI Computer Crime and Security Survey), выяснили, что объем потерь от утечки информации составил более 70 млн долл. (рис. 1). Этот показатель значительно опередил по величине ущерба другие ИТ-угрозы, в том числе вирусы (27 млн долл.), хакерские атаки (65 млн долл.), финансовые мошенничества (10 млн долл.), и составил около 40% от общего объема зарегистрированного ущерба. Согласно тому же исследованию, средний размер потери от действий инсайдеров составил 300 тыс. долл. при максимальном размере 1,5 млн долл.

Рис. 1. Оценка потерь от различного вида атак. Источник: 2003 CSI/FBI Computer Crime and Security Report.

Компания Ernst&Young подтверждает наметившиеся тенденции данными своего ежегодного исследования проблем ИТ-безопасности (Global Information Security Survey 2004). Именно с внутренними угрозами связан наибольший рост озабоченности ИТ-профессионалов: респонденты поставили эту угрозу на второе место в списке наиболее серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем (рис. 2). Этот показатель опередил такие «громкие» проблемы, как спам (56%), атаки типа «отказ в обслуживании» (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%), уступив лишь угрозе со стороны вирусов и червей (77%). В первую десятку попали также другие внутренние угрозы — утечка информации о клиентах и иные виды кражи конфиденциальных данных. Одновременно человеческий фактор вышел на первое место в списке обстоятельств, препятствующих проведению эффективной политики ИТ-безопасности.

Рис. 2. Основные угрозы информационной безопасности. Источник: Global Information Security Survey 2004, Ernst&Young.

Проблему внутренней ИТ-безопасности можно оценить в конкретных финансовых показателях. По данным Association of Certified Fraud Examiners, американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. Сопоставляя эту цифру с величиной ВВП США, получим, что в 2003 г. общий объем потерь составил около 660 млрд долл. По оценке InfoWatch, 50—55% этой суммы составляют потери, вызванные неправомерными действиями сотрудников. Другое исследование Ernst&Young — по проблемам электронного мошенничества — свидетельствует о том, что 20% наемных работников уверены в утечке конфиденциальной корпоративной информации по вине коллег.

Классификация внутренних угроз

Существует целый ряд сценариев, согласно которым могут быть реализованы внутренние угрозы. Каждый из этих сценариев учитывает конкретную цель неправомерных действий и технические средства ее достижения.

Разглашение конфиденциальной информации. Данный вид угроз подразумевает разглашение информации, представляющей коммерческую тайну, посредством отсылки ее по электронной почте, через Интернет (чат, форум и т. д.), с помощью средств обмена мгновенными сообщениями, путем копирования информации на переносные носители или распечатки данных. Для обнаружения факта разглашения конфиденциальной информации разные компании предлагают перехват почтового, внутрисетевого (на уровне TCP/IP) и Web-трафика (протоколы HTTP, FTP, IM и т. д.) с последующим анализом различными методами фильтрации, в том числе с помощью анализа контента.

Обход средств защиты от разглашения конфиденциальной информации. Этого удается добиться при помощи различных преобразований данных, например, шифрования, архивации с большой глубиной вложенности, преобразования в графический формат или редкие текстовые форматы, изменения кодировки, использования неизвестного ПО или общения на иностранном языке, незнакомом большинству сотрудников компании. Системы защиты от утечек конфиденциальных данных борются с такими действиями, поддерживая разнообразные форматы файлов и реагируя на любые подозрительные действия (неизвестный формат файла, шифрование и т. д.).

Кража конфиденциальной информации. Неправомерный доступ к информации возможен при ее передаче через обычное соединение (без шифрования) — путем взлома корпоративной сети; если данные размещены в местах, доступных посторонним людям или сотрудникам, не имеющим соответствующих прав; если посторонний человек имеет возможность читать с экрана монитора; если имеется доступ к напечатанным материалам, переносным носителям или компьютерам.

Нарушение авторских прав на информацию. В рамках данной угрозы возможно копирование частей документов одного автора в документы другого автора (а также в почтовые сообщения, Web-формы и т. д.); индивидуальное шифрование документов, при котором компания лишается возможности работать с документом после увольнения или перевода сотрудника или в случае утраты пароля; использование опубликованных в Интернете материалов без обработки в своих документах; использование мультимедиа-файлов (графики, аудио- и видеозаписей), ПО и прочих информационных объектов, защищенных авторским правом; подделка данных адресата или отправителя с целью опорочить его доброе имя или скомпрометировать компанию.

Нецелевое использование ресурсов компании. Здесь подразумеваются посещение сайтов общей и развлекательной направленности (не имеющих отношения к исполнению служебных обязанностей) в рабочее время; загрузка, хранение и использование мультимедиа-файлов и ПО развлекательной направленности в рабочее время; использование ненормативной, грубой, некорректной лексики при ведении деловой переписки; загрузка, просмотр и распространение материалов для взрослых, а также материалов, содержащих нацистскую символику, агитацию или другие противозаконные материалы; использование ресурсов компании для рассылки информации рекламного характера, спама или информации личного характера, в том числе информации о сотрудниках, номерах социального страхования, кредитных карт и т. д.

Следует отметить, что не существует ни одного комплексного решения, которое позволяло бы полностью защитить компанию от воздействия этих и других угроз. Однако многие поставщики предлагают различные варианты решений, позволяющих контролировать и предотвращать реализацию значительной части угроз. Так, продукты компаний ClearSwift (http://www.clearswift.com), Cobion (http://www.cobion.com) и SurfControl (http://www.surfcontrol.com) позволяют исключить нецелевое использование ИТ-ресурсов компании.

Для фильтрации Web-трафика используется база данных URL, хранящая миллионы классифицированных по темам записей. Когда сотрудник компании запрашивает в браузере какую-нибудь страницу, специальный фильтр проверяет записи базы и определяет категорию запрашиваемого ресурса. Список категорий насчитывает несколько десятков, туда входят почтовые, развлекательные, туристические, порнографические и другие группы ресурсов. Если информации о требуемой Web-странице еще нет в базе, то проводится анализ содержимого страницы и определение ее тематики в автоматическом режиме. Такой подход позволяет администратору строить политики на основании групп пользователей и их прав на доступ к страницам соответствующих категорий.

Чтобы исключить нецелевое использование почтовой службы компании, потребуется контентный анализ каждого письма. Современные решения позволяют анализировать не только формальные атрибуты сообщения, но и вложения различных форматов, графическое и текстовое содержимое тела письма, а также все содержащиеся в нем ссылки.

Решения, позволяющие исключить нецелевое использование ИТ-ресурсов компании, часто содержат некоторые возможности предотвращения утечки конфиденциальных данных. Например, продукты Cobion и SurfControl фильтруют исходящий почтовый трафик еще и на предмет содержания в нем конфиденциальной информации. Чтобы настроить такой анализ, администратору необходимо вручную указать в консоли управления те документы, утечку которых необходимо предотвратить.

Важно отметить, что задача предотвращения утечки конфиденциальных данных не решена в этих продуктах полностью. Так, без всякого присмотра остается рабочая станция сотрудника, с которой он может переписать файл на мобильный носитель или просто его распечатать. Особый контроль требуется и для Web-трафика. В Интернете есть множество чатов, форумов, открытых почтовых сервисов и т. д. Все эти ресурсы могут быть использованы для разглашения конфиденциальной информации.

Рынок систем, специализирующихся только на защите от утечек конфиденциальных данных (Anti-Leakage Software), только начинает формироваться. Среди существующих решений пока лишь InfoWatch Enterprise Solution компании InfoWatch (http://www.infowatch.ru) обеспечивает контроль над всеми видами коммуникаций в ИТ-инфраструктуре компании. Данное решение предусматривает средства анализа почтового и Web-трафика, а также механизмы контроля за рабочими станциями служащих.

Anti-Leakage Software

Anti-Leakage Software — это принципиально новый рынок систем ИТ-безопасности, предназначенных для контроля над конфиденциальной информацией и предотвращения ее утечки. Принципиальное отличие Anti-Leakage Software от других отраслей ИТ-безопасности — фокус на защиту от утечки информации в сочетании со смежными областями (рис. 3).

Рис. 3. Структура рынка средств информационной безопасности.

Ключевые элементы этих решений — контентный анализ почтового и Web-трафика, контроль операций с документами на уровне рабочих станций и система централизованной установки и управления.

Контроль почтового трафика

Рассмотрим алгоритм работы модуля, осуществляющего контроль над почтовым трафиком, на примере InfoWatch Mail Monitor. Продукт в режиме реального времени сканирует почтовый трафик (текст электронных сообщений и вложенные файлы) и блокирует пересылку корреспонденции, которая содержит или может содержать конфиденциальные данные. В задачи решения входит также подробная архивация переписки с возможностью ретроспективного анализа и отсылка сообщения ответственным лицам о случаях нарушения политики внутренней безопасности.

InfoWatch Mail Monitor устанавливается в корпоративной сети в виде выделенного Relay-сервера под управлением ОС Linux или FreeBSD. Этот сервер проводит обработку входящего, исходящего и внутреннего почтового SMTP-трафика с целью выявления запрещенной к пересылке информации и предотвращения ее утечки (рис. 4).

Рис. 4. Схема работы InfoWatch Mail Monitor.

Фильтрующий почтовый сервер проводит комплексный анализ письма, в том числе поиск (в текстах сообщений и вложенных объектах) слов и словосочетаний, характерных для конфиденциальных данных. Проверяются вложения форматов Plain Text, HTML, Microsoft Word, RTF, а также архивированные файлы форматов ZIP, ARJ, RAR. В результате сообщение классифицируется по видам (рубрикам) конфиденциальной информации. Далее сообщению приписывается ряд признаков, фиксируемых в заголовках сообщения, на основании которых выполняется его дальнейшая маршрутизация.

Правила классификации сообщений определяются общими и персональными профилями (управлять профилями можно с помощью менеджера профилей) и базой фильтрации, задающей набор категорий, терминов и образцов сообщений, по которым проводится классификация. Фильтрационная база создается и модифицируется с помощью менеджера категорий.

Менеджер профилей (правил фильтрации) позволяет задать действия, которые нужно выполнить с сообщением в зависимости от его содержания, формальных характеристик (размер, адрес отправителя и получателя, значения технических заголовков сообщения и т. п.) или факта нарушения конфиденциальности пересылаемого документа или текста.

Менеджер категорий — это утилита для создания и тестирования базы фильтрации, с помощью которой фильтр проводит классификацию сообщений. Менеджер категорий позволяет определять классы конфиденциальных документов и задавать формальные признаки (ключевые слова, фразы или образцы документов), характеризующие различные категории документов.

Если сообщение распознано как конфиденциальное, то модуль бизнес-логики фильтрующего сервера направляет подозрительное письмо на рабочее место офицера безопасности, который дает окончательное заключение о том, действительно ли имело место нарушение. Если офицер безопасности подтверждает, что сообщение нарушает политику безопасности, формируется заключение об инциденте. Это заключение пересылается менеджеру, который принимает окончательное решение о мерах в связи с имеющимся нарушением. Если офицер безопасности не подтверждает нарушения, то сообщение возвращается в корпоративную почтовую систему для доставки адресатам.

Одновременно в системе ведется протокол активности пользователей, в котором фиксируется информация об отправленных сообщениях, семантические метки и данные о выполненных действиях. Эти данные используются для построения сводных отчетов об активности пользователей в статистике сообщений.

Модуль статистики сообщений позволяет накапливать и анализировать информацию о событиях в почтовой системе. В частности, можно формировать список наиболее частых категорий, отправителей и получателей, как для всего потока писем, так и для писем отдельного отправителя, получателя или категории сообщения.

Контроль Web-трафика

Второй ключевой элемент системы предотвращения утечки конфиденциальных данных — модуль контроля Web-трафика. Схема его работы представлена на рис. 5.

Рис. 5. Схема работы InfoWatch Web Monitor.

InfoWatch Web Monitor перехватывает пользовательские POST-запросы, обрабатываемые корпоративным прокси-сервером (Microsoft ISA Server/Squid) с целью выявления запрещенной к пересылке информации и предотвращения ее утечки. Так же, как и система проверки почтового трафика, InfoWatch Web Monitor ведет статистику Интернет-активности пользователей, в которой фиксируется информация об отправленных запросах, семантические метки и данные о выполненных действиях.

Модуль фильтрации POST-запросов перехватывает запросы, содержащие сообщения, отправляемые на сайты Web-почты, форумы и т. д. Из перехваченных запросов формируются почтовые сообщения, которые пересылаются на фильтрующий почтовый сервер. По результатам классификации POST-запросов сервер либо пропускает, либо блокирует отправку пользовательского запроса на внешний сервер.

Фильтрующий почтовый сервер, входящий составной частью в InfoWatch Mail Monitor, в соответствии с установленными правилами фильтрации проводит тематическую классификацию POST-запросов, выделяет и перенаправляет офицеру безопасности те из них, которые содержат признаки конфиденциальной информации.

Контроль на уровне рабочей станции

Главное отличие комплексного решения InfoWatch от конкурентных аналогов — модуль InfoWatch Net Monitor, который обеспечивает контроль над операциями с конфиденциальными документами на уровне рабочей станции. Net Monitor в масштабе реального времени отслеживает манипуляции с файлами (изменение, копирование на мобильные носители, удаление, печать и т. д.), заносит их в централизованный отчет и, в соответствии с настройками, блокирует те из них, которые не соответствуют политике внутренней безопасности. Схема работы InfoWatch Net Monitor представлена на рис. 6.

Рис. 6. Схема работы InfoWatch Net Monitor.

Файловый монитор осуществляет контроль над стандартными файловыми операциями: открытие, копирование, перемещение и/или переименование, удаление. Монитор операций в Microsoft Office контролирует операции в приложениях Microsoft Office: открытие документа, закрытие документа, изменение свойств документа, копирование части документа в буфер обмена, сохранение документа под другим именем, с другим типом (операция Save as), вывод документа на печать. Монитор Adobe контролирует следующие операции в Adobe Acrobat: открытие, изменение файла, печать, сохранение под другим именем. Монитор вывода на печать контролирует операции печати. При отправке документа на печать система фиксирует и проверяет на соответствие правилам следующие параметры документа: имя документа, имя пользователя, имя компьютера-отправителя, имя принтера и очереди, на которую отправлен документ.

Каждый из модулей на основании зафиксированных параметров совершаемой операции проверяет ее принадлежность к списку разрешенных/запрещенных операций. Перечисленные действия протоколируются, а в случае отрицательных результатов проверки система посылает сигнал офицеру информационной безопасности и блокирует совершаемую операцию.

Комплексный подход к защите

Защита от внутренних угроз предполагает не только внедрение технического комплекса, контролирующего все коммуникации в ИТ-инфраструктуре компании, но и разработку соответствующих нормативных документов, позволяющих создать юридический базис для защиты конфиденциальной информации от противоправных действий сотрудников.

Отметим, что право на тайну переписки гарантируется любому гражданину РФ в соответствии с п. 2 ст. 23 Конституции и подтверждается ст. 138 УК РФ ("Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан"). Ограничение этого права возможно только Федеральным законом. В настоящее время в нашей стране не существует закона, который однозначно определял бы право юридического лица на перлюстрацию электронной корреспонденции сотрудника с целью защиты коммерческой тайны и своей информационной системы.

Вместе с тем в РФ действуют:

• Федеральный закон "Об информатике, информатизации и защите информации", который дает организации-владельцу информации право на ее защиту;
• Федеральный закон "О коммерческой тайне";
• Трудовой кодекс РФ, имеющий статус Федерального закона (No 197-ФЗ от 30.12.2001), где говорится, что "в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)" (ст.57);
• комментарии к УК: "нарушение тайны переписки заключается в ознакомлении с ее содержанием без согласия лица, которому эта информация принадлежит".

Существует несколько вариантов решения проблемы. Наиболее универсален вариант, в основу которого положен анализ норм Федерального закона "Об информатике, информатизации и защите информации". Он определяет понятия собственника, владельца и пользователя информационных ресурсов, документированной информации и самих информационных ресурсов (массивы документов в информационных системах). А это, в свою очередь, позволяет отнести переписку сотрудника к документированной информации ("зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать"), входящей в информационные ресурсы, собственником которых является компания Х.

Для формальной реализации этого варианта необходимо, во-первых, внедрение в организации положения о конфиденциальности, описывающего нормы внутренней безопасности и содержащего список конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен "под роспись". Во-вторых, требуется изменить содержание трудового договора. В частности, подписанный трудовой договор должен содержать условие об обязанности хранить коммерческую тайну, а также условие о том, что все созданное сотрудником на рабочем месте направляется в корпоративные информационные ресурсы. Таким образом, компания Х получает право собственности на электронный документ и по своему усмотрению может им распоряжаться: отправлять его по указанному сотрудником адресу, архивировать, анализировать на предмет наличия коммерческой тайны.

Развитие информационных технологий в России, несомненно, потребует от законодательных органов инициатив по модернизации отечественной законодательной базы. Современный рельеф российского правового поля защиты информации требует адекватных мер для его «выравнивания». В противном случае отсутствие прочной, однозначной юридической основы защиты корпоративных информационных систем может затормозить развитие ИТ и вызвать волну противоречивых судебных процессов.

Защита конфиденциальной информации от внутренних угроз требует комплексного подхода. Поэтому компании, предоставляющие комплексные решения в этой сфере, берут на себя обязанности разработать соответствующую нормативную базу для каждого конкретного защищаемого предприятия. Помимо решения юридических проблем, поставщик решения отвечает за анализ ИТ-инфраструктуры компании, ее оптимизацию и настройку фильтра, реагирующего на наличие конфиденциальной информации. Таким образом удается учесть специфику деятельности защищаемой организации.

В защите от внутренних угроз половина дела — это технические средства, а другая половина — комплекс сопутствующих услуг. Следует отметить, что недостаток внимания хотя бы к одному из описанных выше этапов может привести к тяжелым последствиям. Именно поэтому следует с одинаковым усердием подходить как к внедрению средств технического контроля, так и к составлению нормативной базы и периодическому аудиту ИТ-инфраструктуры.

Хотя рынок продуктов, предназначенных для защиты от утечек конфиденциальных данных, только начинает развиваться, к решению самой задачи следует приступать уже сегодня. Проблема умышленных и неумышленных противоправных действий сотрудников компании стоит необычайно остро. Чем крупнее компания, тем большие потери она несет из-за действий инсайдеров. А существующие решения позволяют защититься не только от нецелевого использования ИТ-ресурсов, но и от любых попыток передать тайные сведения конкурентам.