"Утечка информации. Человеческий фактор"

РОМАН ИДОВ,
ведущий аналитик компании SearchInform

Прежде всего несколько слов о том, кто такие инсайдеры. Обычно этим термином называют тех сотрудников, которые распространяют конфиденциальные корпоративные сведения за пределами своей организации. О том, как распространение такой информации может навредить организации, можно рассказывать долго, и эта тема заслуживает отдельного разговора. В этой же статье мы рассмотрим, по каким причинам сотрудники решают «поделиться» закрытой информацией с окружающим миром и с какими целями они это делают.

Откуда они берутся?
Инсайдеры в компании возникают не на пустом месте. Если вы подозреваете, что в вашей фирме есть такой сотрудник, то при его выявлении в первую очередь нужно обратить внимание на тех, кто может получить выгоду от утечки информации по какимто личным мотивам. Среди наиболее распространенных мотивов можно назвать личную выгоду и месть работодателю. Само собой, могут быть и другие мотивы, однако такие мотивы можно считать скорее исключениями, чем правилами.

Главной чертой инсайдера можно назвать сильную заинтересованность в том, чтобы «закрытая» информация вышла за пределы организации. Очень часто при поиске виноватого нужно искать того, кто недавно получил серьезное взыскание, либо не получил обещанного повышения, или же не смог пойти в отпуск, когда ему хотелось.

Также специалисты по безопасности советуют обратить внимание на тех, кто пользуется большим доверием у руководителей и у обычных сотрудников компании. Зачастую такое доверие может служить превосходным прикрытием для того, чтобы сотрудник мог получить доступ к такой документации, к которой инсайдер не может получить доступа из-за своих служебных обязанностей.

Также очень часто работники могут допускать систематические утечки информации вовсе не потому, что хотят получить деньги за данные, принадлежащие работодателю, и не потому, что желают отомстить ему. Очень часто в инсайдерстве бывают виноваты именно специалисты по безопасности, которые просто плохо объяснили сотруднику, принимаемому на работу, суть политики информационной безопасности компании. Зачастую возможна ситуация, при которой сотрудник желает взять некоторые важные документы с собой для того, чтобы работать с ними дома какое-то время. Тогда как пересылка подобных документов по e-mail, а также размещение их на файлообменных сервисах или же простое переписывание на флеш-накопитель закономерно определяются специалистами по безопасности как попытка сотрудника организовать утечку данных.

Типы инсайдеров
В теории инсайдером может стать абсолютно любой сотрудник – и молодой системный администратор, и сотрудница бухгалтерии средних лет. В результате исследований компании Result Group удалось установить, что чаще всего инсайдерами становятся мужчины. Типичный инсайдер – это мужчина в возрасте от 30 до 50 лет, обладающий высшим образованием, а также хорошими познаниями в сфере информационных технологий. А поскольку в настоящее время большая часть офисных сотрудников работают с компьютерами, практически любой из них при соответствующих обстоятельствах сможет «слить» информацию – уровня технической подготовки среднего офисного сотрудника для этого вполне достаточно.

Психологи к настоящему времени также установили несколько главных типов сотрудников, готовых стать инсайдерами. Наиболее распространенный из этих типов получил название «Буратино». Обычно такие сотрудники действуют больше из любопытства, а не из корыстных соображений. Навредить такой сотрудник может по неосторожности, из-за неумения молчать о важной информации, а вовсе не потому, что желает обогатиться или же кого-то подставить. К такому типу может относиться сотрудник любой категории и любой компетенции, однако корпоративных политик информационной безопасности должно быть вполне достаточно для того, чтобы успешно противостоять инсайдерам-«Буратино».

Напомним, что одним из наиболее серьезных стимулов для сотрудникаинсайдера является желание отомстить. Вполне логично, что следующий после «Буратино» по распространенности психологический архетип инсайдера получил название «неуловимый мститель». Обычно это сотрудники, желающие отомстить компании за свое увольнение. Компания SearchInform смогла установить, что более 49,5 % всех уволенных сотрудников вполне готовы передавать конфиденциальную информацию, к которой они могли иметь доступ на своей предыдущей работе, своему новому работодателю. Это и в самом деле довольно серьезная проблема, решить ее можно, если постепенно ограничивать доступ сотрудника, которого планируется уволить в скором будущем, к конфиденциальной корпоративной информации. Таким образом руководство может добиться того, что к моменту его увольнения та информация, которой сотрудник владеет, будет неактуальной.

Тип инсайдера, который распространяет закрытую информацию из корыстных побуждений и даже в очень редких случаях по идейным мотивам, называется «Павлик Морозов». Такой человек задействует для получения информации и людей, и ПК, при этом пути получения сведений в основном являются легальными. Та информация, которую данный сотрудник собирает, со стороны может показаться необходимой ему для работы – потому такой тип инсайдера особенно опасный. Специалисты по информбезопасности должны хорошо контролировать сотрудников, которые проявляют служебное рвение, стремясь получить повышение или же заработать деньги за счет получения бонусов и т. п. Некоторые из таких людей не могут устоять перед возможностью получения легкого заработка или же достаточно высокой должности в конкурирующей фирме – все это может быть возможно благодаря инсайдерской информации.

Наконец, самый опасный тип инсайдера – «серый кардинал». Психологи именуют так высокопоставленных инсайдеров, которые по долгу службы имеют доступ к довольно широкому спектру документов. Мотивы, которые движут такими сотрудниками, довольно разнообразны, тем не менее наиболее часто эти инсайдеры предпочитают использовать свое положение и доступную информацию для «устранения» конкурентов, а также для продвижения по службе на более высокие должности. Стоит учитывать, что во многих компаниях, к сожалению, действуют политики, которые позволяют руководству организации действовать практически без какоголибо контроля со стороны отдела безопасности. Поэтому противостоять «серому кардиналу» даже в том случае, если его удастся определить, довольно непросто.

Социальная инженерия и инсайдеры
Уделим немного внимания использованию инсайдерами различных приемов социнженерии. Это важно знать, потому что именно использование таких приемов может выдать замыслы инсайдера.

«Классические инсайдеры – это технически грамотные сотрудники. Ведь для того, чтобы получить доступ к «закрытой» информации, нужно знать о том, как эта информация защищена», – полагает Алексей Валерьевич Дрозд, директор учебного центра компании SearchInform. По его мнению, в настоящее время не нужно быть хорошим хакером, чтобы получить доступ к конфиденциальным документам. Сегодня на первый план выходят приемы социальной инженерии, от которых не могут защитить пароли и обычные схемы контроля доступа.

Для использования приемов социнженерии в общении с конкретными сотрудниками инсайдеру нужна некоторая подготовка, позволяющая ему сблизиться с будущей жертвой. Для подготовки, в частности, потребуется подробная информация об интересующем сотруднике – в том числе информация о семье, о его предыдущих местах работы и о его образовании… Проявление интереса к таким сведениям может свидетельствовать о готовящейся утечке данных из организации при помощи работника, проявляющего такой интерес.

Также стоит учитывать и средства, близкие к социальной инженерии, такие как обычные кейлоггеры, предоставляющие информацию о логинах и паролях, которые нужны для доступа к конфиденциальной информации. Для предотвращения подобных ухищрений инсайдеров нужно использовать хорошее, высококачественное антивирусное ПО, противодействующее работе кейлоггеров на пользовательских ПК.

Психология и информационная безопасность
Если в организации присутствуют штатные психологи, то, возможно, руководство может дать санкцию на использование их помощи в работе над составлением списка сотрудников, которые наиболее склонны к инсайдерской деятельности. Конечно, предварительно необходимо в достаточно убедительной форме объяснить, для чего это требуется. Подобный список позволит наладить контроль за теми сотрудниками, которые окажутся в будущем виновниками утечки данных, а значит, и сможет сэкономить затраты на безопасность, позволяя грамотно организовать работу специалистов по мониторингу действий «условно надежных» и «условно ненадежных» сотрудников компании.

Во время работы необходимо открыть психологам доступ к почтовой переписке сотрудников, эта информация собирается корпоративными системами, предназначенными для защиты от утечки данных (они же – DLP-системы). Некоторые системы, к примеру, довольно популярный в России «Контур информационной безопасности», позволят вести архив всех «перехваченных» данных, таким образом, предоставляется очень богатый материал для психологов. Также не стоит бояться того, что на анализ данных уйдет чересчур много времени. Такие мероприятия окупятся – улучшением работы службы информбезопасности и снижением рисков утечки данных.