Учитывая, что свои сотрудники являются подлинной угрозой, почему мы часто отказываемся признавать это? Некоторые причины могут быть такими:
Нам нравятся наши сотрудники, и мы не думаем о них как о "врагах"
Мы "знаем", что никто из наших сотрудников не преступник (особенно в малых организациях)
Слепая вера в корпоративную этику
Мы не можем придумать ни одну причину, почему кто-то из наших сотрудников не доволен нашей организацией. Мы заведомо уверены, что люди в нашей организации cлишком хороши, чтобы быть плохими. Короче говоря, мы верим им. Однако, сетевой администратор должен понимать, что опасность для взлома систем защиты идет и от хороших работников, у которых даже в мыслях не было злых намерений. Да, они хорошие. Да, они милые. А также, они ничего не знают о безопасности. Это показывает другой опрос: проблема номер один с ними - установка неразрешенного программного обеспечения. По крайней мере, в половине случаев работники просто пытались увеличить эффективность работы или искали "безопасное" развлечение. Но по результатам опроса, у 33%, кто установил неразрешенное программное обеспечение, было повреждение данных. У 11% по результатам опроса установка неразрешенного софта вызвала временную потерю доступа в Интернет. В меньшей мере другие случаи, связанные с установкой неразрешенного программного обеспечения, вызывали утечку важной информации, публичную огласку или использование ее для "черного PR". А также были случаи временной остановки работы корпоративного сайта и корпоративной почты.
Если у вас есть работающие дома сотрудники или домашние компьютеры, подключающиеся к вашей системе, вы, естественно, подвергаетесь еще большему риску. Работники чувствувют себя более свободно в вопросе установки ПО на компьютеры, которые они используют дома, независимо от того чьей собственностью они являются. Они устанавливают пиратские копии программного обеспечения, а в нем потенциально может оказаться "Троян" или работники оставят записанные на бумаге пароли, до которых без труда доберется сынишка и побродит по "просторам Интернета" и одному Богу известно, куда его занесет и что с этих сайтов проникнет к вам на компьютер. Потенциально, все это делает вашу сеть беззащитной, хотя злых намерений не было...
Призраки и Самаритяне
Исследования Эрика Шоу, Джеральда Поста и Кевина Руби* опираются на определение случайного саботажника. *(Эрик Шоу - специалист по индивидуальной и групповой психологии, Джеральд Пост - бывший сотрудник ЦРУ, Кевина Руби - эксперт-аналитик по компьютерным преступлениям). Совместно, в качестве руководителей PPA/IS (Political Psychology Associates/ Information Security), они идентифицировали 8 подтипов внутренних нарушителей, разделив их по мотивации и рабочим взаимоотноошениям. 3 из 8 типов нарушителей обычно не имеют злого умысла:
Исследователи - любопытные сотрудники, слишком занятые погоней за Белым Кроликом, чтобы заметить, что они нарушают запреты в информационной политике компании.
Самаритяне - сотрудники, которые не останавливаются ни перед чем, обходят системы и протоколы, чтобы устранить проблему или помочь коллегам.
Исключения - сотрудники, которые, по любой причине, просто чувствуют себя имеющими больше прав, специальными или выше свода правил для всех других служащих.
Другой факт, который Шоу, Пост, и Руби документировали - то, что многие из лиц, которые преднамеренно вредят вашей сети, делают это из-за проблем в личной жизни, никак не связанных с работой. Так что, даже если ваша компания никогда не увольняла никого, это не гарантирует, что никто из служащих не будет пробовать навредить вам.
Что же делать с этим?
Теперь, давайте считать, что вы теперь рассматриваете даже самого дружественного сотрудника как ходящую, взведенную на определенное время бомбу для "киберпогрома". Что вы можете поделать с этим? Как сетевой администратор, вы, скорее всего, начнете искать технологические решения проблемы. Но технология редко дает ответ на внутренние проблемы, потому что свои сотрудники почти всегда находят путь вокруг технологии. Из четырех самых полезных вещей, которые вы можете сделать, только последняя, действительно, основана на технологии:
Обучить. Большинство тех добродушных людей неумышленно, но все же эффективно разрушая вашу защиту, остановилось, если бы они знали о повреждении корпоративных данных. Объясняйте всем сотрудникам об опасностях неразрешенного программного обеспечения. Убедитесь, что указали, что, когда зловредное программное обеспечение причиняет вред, это не будет выглядеть как вред, и они должны безоговорочно выполнять ваши инструкции и доверять вашим знаниям в этой области. Дайте понять сотрудникам, что это в их же интересах, и они будут внимательнее и сторожнее.
Разрабатывайте и усиливайте политику безопасности. В обзоре ICSA.net отразился тот факт, что организации с имеющейся политикой безопасности фактически обнаруживают большее число атак и случаев нарушения защиты своими сотрудниками, чем те, которые не имеют политики безопасности. Хотя последние также узнали, что делать, когда они нашли любителей порно среди служащих, занимающихся электронной торговлей, азартными играми, а также управляющих своими личными сайтами электронной коммерции с корпоративных компьютеров. Лучше формулировать ваш ответ на эти действия, когда вы к этому готовы, а не в то время, когда адвокаты начинают иски против вас, как говорится, пока гром не грянул.
Применять заставки на компьютерах, которые требуют пароля. Атакующие изнутри, часто пользуются возможностями, которых нет у внешних нападающих. Оставляя рабочую станцию, уже зарегистрировавшись в вашей сети и не заблокировав ее, не поможет честному человеку остаться честным. Установите 5- или 10-минутное время ожидания неактивности пользователя на компьютерах, чтобы пользователю надо было перегистрировался, таким образом, препятствуя использованию возможности работы за чужим компьютером.
Применяйте несколько уровней защиты. (пришло время технологий - барабанная дробь) Обзор ICSA.net показал, что компании с контролем нескольких политик безопасности вместе позволяет обнаружить (и, как следствие, победить) больше атак и нарушений. Вы уже используете идентификаторы пользователя и пароли. Вы уже используете межсетевые экраны. Добавляйте такие инструменты, как токены для аутентификации, виртуальные частные сети (VPN), шифрование транзакций (SSL/SET/SHTTP), а также программное обеспечение для защиты ваших серверов, все эти меры помогут усилить защиту и уменьшить ущерб, кототрый внутрений атакующий сможет причинить.
Подведем черту
Число нарушений изнутри компании сотрудниками со злым умыслом увеличивается, но нет нужды приглашать откровенных преступников в вашу организацию, чтобы столкнуться с проблемой защиты от своих же сотрудников. Организованность работы и корпоративную этику должна взять на себя компания, если она не хочет допускать внутренние нарушения политики безопасности.
Решения по защите корпоративной информации от внутрених угроз смотреть...
Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.
2010 год был богат на громкие события по утечке информации и заставил задуматься мировое сообщество об усилении безопасности данных и защиты информации.
Использование систем электронного документооборота с применением ЭЦП существенно ускоряет проведение многочисленных коммерческих операций, сокращает объемы бумажной бухгалтерской документации, экономит время сотрудников и расходы предприятия, связанные с заключением договоров, оформлением платежных документов, предоставлением отчетности в контролирующие органы, получением справок от различных госучреждений и прочим.
