Загрози витоку інформації через персонал - Информационная безопасность - Информация - Публикации - Автоматизированный Информационный Анализ

Форма входа

Друзья сайта




Онлайн всего: 1
Гостей: 1
Пользователей: 0


Суббота, 2016-12-03, 9:42 PMГлавная
| RSS
Автоматизированный информационный анализ
Публикации


Главная » Статьи » Информация » Информационная безопасность

Загрози витоку інформації через персонал
Головним аспектом у системі захисту інформації є людина. За допомогою технічних, юридичних, організаційних складових люди захищають інформацію від людей. Саме людина, за допомогою технічних чи інших засобів, намагається отримати інформацію. Саме через недбале відношення до довірених людині даних, ці дані можуть бути втрачені.
На сьогоднішній день існує все більше і більше можливостей отримання інформації, в тому числі й інформації з обмеженим доступом (тобто такої інформації, витік якої може завдати шкоди її власнику). З’являється все більше загроз витоку даних. А з розвитком новітніх технологій способи їх отримання постійно вдосконалюються. Отже, існує і багато засобів, що повинні забезпечувати захист інформації з обмеженим доступом. Крім технічних засобів захисту є безліч інструкцій, правил, які регламентують поводження із такою інформацією, а також є ціла низка нормативних актів, з яких ці інструкції випливають.
Та захоплюючись технічними можливостями витоку та захисту від витоку інформації багато керівників забувають, що загроза витоку інформації може бути пов’язана з їхнім власним персоналом.
Виходячи із даних антирейдерського союзу підприємців України:
1)82% загроз реалізується власними співробітниками фірми або при їх прямій чи опосередкованій участі;
2)17% загроз реалізується ззовні підприємства;
3)1% загроз реалізується випадково.
Загроза – це потенційні або реальні дії, що призводять до моральної чи матеріальної шкоди [1].
Найпоширеніші фактори розголошення співробітниками інформації з обмеженим доступом наведені у таблиці №1:
Таблиця №1 – Фактори розголошення співробітниками інформації [1]
ФАКТОРИ%№
п/п
1Надмірна балакучість співробітників32
2Прагнення співробітників заробляти гроші будь-якими способами та за будь-яку ціну24
3Відсутність на фірмі служби безпеки14
4«Радянські» звички співробітників фірми ділитися один з одним (традиційний обмін досвідом)12
5Безконтрольне використання інформаційних систем10
6Наявність можливостей виникнення серед співробітників конфліктних ситуацій: відсутність психологічної сумісності, випадковий підбір кадрів, відсутність роботи по згуртованості колективу і т.д.8
Як видно з таблиці, розголошення співробітниками інформації з обмеженим доступом найчастіше здійснюється через те, що керівництва компаній не приділяють уваги загрозам витоку інформації, пов’язаним з персоналом.
Для кращого розуміння можливостей витоку інформації та визначення способів його попередження пропонується розглянути декілька класифікацій самих порушників та класифікацію загроз, пов’язаних з персоналом.
Існує декілька різних класифікацій внутрішніх порушників, яких теоретики звикли називати інсайдерами. Інсайдерами є ті співробітники, що працюючи на підприємстві являються порушниками правил цього підприємства.
Однією з перших крок в напрямку класифікації зробила міжнародна науково-дослідна компанія IDC, що представила свій погляд на проблему в 2006 році. За версією IDC, система інсайдерів має чотири рівні: «громадяни», «порушники», «відступники», «зрадники».
Верхній рівень складають «громадяни» — лояльні службовці, які дуже рідко (якщо взагалі коли-небудь) порушують корпоративну політику і в основному не є загрозою безпеці.
На другому рівні знаходяться «порушники», що складають велику частину усіх співробітників підприємства. Ці співробітники дозволяють собі невеликі фамільярності, працюють з персональною веб-поштою, грають в комп'ютерні ігри і здійснюють онлайн-покупки. Представники даного рівня порушників створюють загрозу інформаційній безпеці, але ці інциденти є випадковими і ненавмисними.
На наступному рівні знаходяться «відступники» — працівники, які велику частину робочого часу роблять те, що вони робити не повинні. Ці службовці зловживають своїми привілеями по доступу до Інтернету. Більш того, такі співробітники можуть посилати конфіденційну інформацію компанії зовнішнім адресатам, зацікавленим в ній. Таким чином, «відступники» представляють серйозну загрозу безпеці.
На самому нижньому рівні знаходяться «зрадники». Це службовці, які умисно і регулярно піддають конфіденційну інформацію компанії небезпеці (зазвичай за фінансову винагороду від зацікавленої сторони). Такі співробітники представляють реальну загрозу, але їх найскладніше зловити[2].
Більш широка класифікація представлена російською компанією Info Watch. Фахівці компанії фокусують увагу винятково на захисті даних від витоку, спотворення і знищення, і тому їх погляди відрізняються більшою глибиною аналізу.
Недбалі порушники (також відомі як «необережні») є найбільш поширеним типом внутрішніх порушників. Його порушення у відношенні конфіденційної інформації носять немотивований характер, не мають конкретних цілей, наміру, користі.
Порушники, якими маніпулюють – це ті співробітники, яких обманним шляхом штовхають на порушення встановлених норм. Такі співробітники часто і не підозрюють про те, що їхні дії призводять до втрати конфіденційних даних.
Скривджені порушники (по-іншому, саботажники) — це співробітники, які прагнуть завдати шкоди компанії за особистими причинами. Найчастіше причиною такої поведінки може бути образа, що виникла із-за недостатньої оцінки їх ролі в компанії, недостатній розмір матеріальної компенсації, неналежне місце в корпоративній ієрархії, відсутність елементів моральної мотивації або відмова у виділенні корпоративних статусних атрибутів (ноутбука, автомобіля, секретаря).
Наступний тип внутрішніх порушників — нелояльні порушники. Перш за все, це співробітники, що вирішили змінити місце роботи, або акціонери, що вирішили відкрити власний бізнес.
Співробітники, що підробляють і впроваджені внутрішні порушники — це співробітники, мету яких визначає замовник викрадання інформації. У обох випадках інсайдери прагнуть якомога надійніше замаскувати свої дії (принаймні, до моменту успішного розкрадання) [2].
Останньою класифікацією наведена класифікація, що відображає зовнішні і внутрішні загрози підприємства, які пов’язані з персоналом.
Зовнішньою загрозою є така загроза, що знаходиться за межами підприємства, але саме через існування якої потрібно захищати інформацію і через яку існують загрози внутрішні. Адже, як би не було зацікавлених осіб в отриманні інформації підприємства, її не потрібно було б захищати. До зовнішніх загроз можна віднести протиправну діяльність кримінальних структур, конкурентів, фірм або приватних осіб, що займаються промисловим шпигунством та соціальною інженерією.
До внутрішніх загроз відносяться дії чи бездіяльність (навмисні чи не навмисні) співробітників, що протидіють інтересам діяльності підприємства, наслідком яких може бути нанесення економічних збитків компанії, втрата інформаційних ресурсів, підрив ділового іміджу компанії, виникнення проблем у відносинах з реальними та потенційними партнерами (аж до втрати цінних контрактів) тощо.
Розглянемо ці загрози більш детально:
1)Зовнішні:
а)Промислове шпигунство. Вперше термін «промислове шпигунство» було сформульовано на початку 60-х років минулого століття під час семінару з методів збирання інформації для менеджерів вищої ланки, що проводився американською консалтинговою компанією Management Investigation Services. Західні теоретики розуміють під «промисловим шпигунством» добування законним і незаконним шляхом у конкуруючих фірм (монополій, політичних партій, фізичних та юридичних осіб, правоохоронних органів тощо) відомостей або інформації у сфері наукових досліджень, виробництва продукції за найбільш перспективними технологіями тощо, а також персональних даних з метою їх використання у конкурентній боротьбі або у корисливих цілях. [3]
Метою промислового шпигунства частіш всього буває: або перевірка ділового партнера на благонадійність, або ж знищення конкурента чи нанесення йому серйозних збитків. І, якщо в першому варіанті немає загроз підприємству, то в другому, якщо конфіденційна інформація потрапить до рук таких агентів, це може призвести до дуже серйозних наслідків для підприємства, закінчуючи його банкрутством та ліквідацією. [3]
І хоча існує багато технічних засобів для здобуття інформації, промисловим шпигунам інколи просто достатньо поговорити з працівниками і які, самі того не підозрюючи, можуть надати досить суттєву інформацію, якою конкуренти не втратять нагоди скористуватися. За оцінками фахівців, на частку людського фактору, тобто на балакучість співробітників, припадає до 60% всього витоку інформації. Інші 40% - це те, що вдається перехопити технічними засобами. Але й використовуючи технічні засоби, промислові шпигуни дуже часто «звертаються» за допомогою до співробітників компанії, про яку хочуть роздобути інформацію. Навіть співробітникам найнижчої ланки під силу встановити відповідну апаратуру для зняття інформації.
Тож промислове шпигунство є тією загрозою, від якої потрібно захищатися. Як би інформація підприємства нікого не цікавила, не було б сенсу її оберігати. Але, промислові шпигуни не досягали б поставленої мети, якби не загрози внутрішні: необережні чи навмисні дії співробітників.
б)Соціальна інженерія – це метод несанкціонованого доступу до інформації або систем зберігання інформації без використання технічних засобів. Метод заснований на використанні слабкості людського чинника і вважається дуже руйнівним. Зловмисник отримує інформацію, наприклад, шляхом збору персональних даних про службовців об'єкту атаки, за допомогою звичайного телефонного дзвінка або шляхом проникнення в організацію під виглядом її службовця. Зловмисник може подзвонити працівникові компанії (під виглядом технічної служби) і вивідати пароль, пославшись на необхідність вирішення невеликої проблеми в комп'ютерній системі. Дуже часто це спрацьовує. Найсильніша зброя в цьому випадку — приємний голос і акторські здібності [4].
Методи соціальної інженерії:
Претекстінг – це дія, відпрацьована за наперед складеним сценарієм (претексту). В результаті людина повинна видати певну інформацію, або зробити певну дію. Цей вид атак застосовується зазвичай по телефону. Частіше ця техніка включає більше, ніж просто брехню, і вимагає яких-небудь попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку і ін.), з тим, щоб забезпечити довіру людини.
Фішинг – техніка, направлена на шахрайське отримання конфіденційної інформації. Зазвичай зловмисник посилає цілі e-mail, підроблені під офіційний лист, від банку або платіжної системи, що вимагає "перевірки" певної інформації, або здійснення певних дій.
Троянський кінь – ця техніка експлуатує цікавість, або жадібність людини. Зловмисник відправляє e-mail, що містить досить цікаву для людини інформацію, наприклад свіжий компромат на співробітника. Така техніка залишається ефективною, поки користувачі сліпо кликатимуть по будь-яких вкладеннях.
Дорожнє яблуко – цей метод атаки є адаптацією троянського коня, і полягає у використанні фізичних носіїв. Зловмисник може підкинути інфікований CD, або флеш, в місці, де носій може бути легко знайдений. Носій підроблюється під офіційного, і супроводжується підписом, покликаним викликати цікавість.
Кві про кво – зловмисник може подзвонити по випадковому номеру в компанію, і представитися співробітником техпідтримки, що опитує, чи є які-небудь технічні проблеми. У випадку, якщо вони є, в процесі їх "вирішення" людина вводить команди, які дозволяють зловмисникові запустити шкідливе програмне забезпечення. [4]
2)Внутрішні:
а)Необережність персоналу. Дуже часто співробітники, хоч й не мають на меті розголосити конфіденційні відомості, роблять це, інколи навіть не розуміючи цього. Тож необережність можна поділити на дві категорії:
дії чи бездіяльність співробітників, спричинені необізнаністю у сфері захисту інформації;
дії чи бездіяльність співробітників у випадку, в яких співробітники знали або не знали, але повинні були знати про можливі негативні наслідки.
У першому випадку не можна казати про вину співробітника, скоріше це прорахунки вищого керівництва, яке не потурбувалося роз’яснити персоналу про важливість інформації і про її захист. Якщо мова йде про державну таємницю, то такі ситуації не можуть виникнути, бо є чітко визначений законодавством порядок допуску до державної таємниці. Одним з пунктів є підписання зобов’язання про нерозголошення довірених даних. Багато комерційних фірм використовують законодавство про державну таємницю як приклад для аналогічного захисту своєї, комерційної таємниці. Але цього прикладу додержуються не всі компанії. Інколи керівники, як метод захисту інформації, практикують не казати працівникам про важливість даних. Як приклад можна привести ситуацію: прибиральниця, яка прийшла прибрати кабінет керівника фірми, побачила в нього на столі дуже красиву модель якогось пристрою. Вина керівника полягає вже в тому, що він дозволив прибирати в кабінеті тоді, коли працює там сам, коли документи не сховані в сейфі та працює комп’ютер, де також можуть бути відкриті секретні файли. Але він також не попередив прибиральницю про те, що не потрібно розповідати про будь що, що вона бачила. Прибиральниця, якій сподобалася модель з чисто мистецьких поглядів, може поділитися своїми враженнями з людиною, яка зацікавиться цією інформацією. Тож керівникам потрібно попереджати всіх співробітників, які хоч якось взаємодіють з конфіденційною інформацією і можуть ознайомитися з нею в розмірі, достатньому для відтворення хоча б частини такої інформації.
В іншому випадку співробітника повідомили про те, що він не повинен розголошувати конфіденційні відомості підприємства, але він вважаючи, що його дії не призведуть ні до яких наслідків, призводить до втрати інформації чи ознайомлення з нею третіх осіб. У кримінальному кодексі необережність поділяють саме на злочинну самовпевненість та злочинну недбалість.
Під злочинною самовпевненістю розуміють дії чи бездіяльність особи, коли вона знала про можливі негативні наслідки, передбачала їх настання, але зухвало розраховувала на їх відвернення.
Злочинною недбалістю є дії чи бездіяльність особи, коли вона не знала, але повинна була знати про можливі негативні наслідки свого діяння [5].
В усіх цих випадках метою співробітника не було розголошення конфіденційних відомостей, та саме до цього призвели його дії.
б)Умисні дії працівників по розголошенню інформації та мотиви цих дій
На відміну від необережності, умисел передбачає, що метою дій співробітників було саме розголошення інформації, що є конфіденційною. Причому співробітників могли завербувати агенти промислового шпигунства або ж вони самі ініціативно вирішили зрадити організацію, на яку працювали (в цих випадках вони вже самі можуть шукати контактів з представниками конкуруючих фірм чи інших осіб, зацікавлених в отриманні певної інформації).
Для того щоб виявити або попередити такі дії, потрібно визначитися, чому ж саме працівники пішли на них. Кожна людина є індивідуальною, в кожного своє життя та свої проблеми, через які він приймає ті чи інші рішення. Тож кожна ситуація має свої нюанси, але є декілька розповсюджених причин для розголошення інформації співробітниками. До них відносяться:
помста;
матеріальна або інша вигода;
самореалізація.
Саме з цих причин персонал фірми найчастіше зраджує її інтереси. Багато в чому тут також є прорахунки керівництва. Саме це найчастіше є тим, через що вербують співробітників. Невдоволені працівники краще йдуть на контакт з промисловими шпигунами, бо не відчувають патріотизму до цієї фірми, мріють поквитатися з кимось із колег чи з керівництвом, або прагнуть покращити своє матеріальне становище. Таким особам пропонують те, чого в них немає і не буде на даній фірмі: або значні матеріальні виплати, або ж пропонування роботи, де їх працю оцінять, де їх будуть поважати, або ж інші речі, що відповідають потребам цих співробітників.
Інсайдерські інциденти відбуваються набагато частіше, ніж зовнішні атаки. Компанії прагнуть не афішувати свої внутрішні проблеми, але авторитетні дослідження все одно віддають пальму першості інсайдерам. Так, згідно дослідженню 2005 E-Crime Watch Survey, проведеному організацією CERT, в ході якого було опитано більше 800 компаній, кожна друга компанія хоч би раз протягом року постраждала від витоку даних.
Аналітики підрахували, що 33 і 20 % інцидентів викликані нинішніми і колишніми співробітниками відповідно, 11% припадають на частину клієнтів компанії, 8 % відбуваються через партнерів і, нарешті, 7 % викликані тимчасовими службовцями (контрактниками, консультантами і т. д.). Це свідчить про те, що проблема просочування конфіденційної інформації стає на перше місце в списку пріоритетів керівництва компанії [2].
Щоб краще побачити серйозність загроз, пов’язаних з персоналом, далі наведені декілька прикладів втрати інформації з обмеженим доступом через внутрішніх порушників лише за один рік.
Квітень 2006р. Три інсайдера з Lockheed Martin вкрали результати проекту по розробці тренувальної системи для пілотів ВВС США і план дій компаній в боротьбі за контракт Пентагону вартістю $1 млрд. Всі ці відомості були передані конкурентові — підрозділу Link Simulation and Training компанії L-3 Communications. Вся інтелектуальна власність витекла з Lockheed Martin через банальні USB-флешки і CD/DVD-приводи.
Травень 2006 р. Інсайдер з Міністерства у справах ветеранів США приніс додому ноутбук з персональними даними 26,5 млн. колишніх військових. Цей комп'ютер був викрадений з будинку в результаті пограбування. Всі ветерани США опинилися під загрозою крадіжки персональних даних особи, оскільки приватні дані не були зашифровані. Потенційні збитки унаслідок витоку оцінюються в $30 млрд.
Червень 2006 р. Інсайдери з другого за величиною японського оператора стільникового зв'язку — KDDI — вкрали базу приватних даних клієнтів (записавши на компакт-диски і USB-флешки). За допомогою своїх спільників вони шантажували KDDI, загрожуючи розкрити факт витоку перед зборами акціонерів. Інсайдери вимагали $90 тис., але завдяки умілим діям токійської поліції опинилися за гратами.
Жовтень 2006 р. Інсайдер — керівник місцевого відділення Private Banking в Citibank — перейшов на роботу в банк-конкурент UBS, прихопивши конфіденційні дані всіх найбільш спроможних клієнтів. Через деякий час UBS почав переманювати клієнтів Citibank. Проте найцікавіше в тому, що витік відбувся найбанальнішим способом — по електронній пошті.
Жовтень 2006 р. Інсайдери з індійського телекому Acme Tele Power вкрали результати інноваційних розробок і передали їх фірмі-конкурентові Lamda Private Limited. За оцінками Ernst & Young, прямі фінансові збитки Acme склали $166 млн. Цікаво, що інтелектуальна власність «витекла» самим звичайним способом — по електронній пошті. Тепер компанія Acme Tele Power збирається взагалі перенести свій бізнес з Індії до Австралії[2].
Тож загроза цілісності інформації йде від людини. Можна встановити найсучасніші системи технічного захисту, видати мільйони нормативних актів, які регулюють захист інформації, але поки буде ігноруватися людський фактор (тобто фактор людського впливу на інформацію, загрози, які йдуть від людей та причини цих загроз), доти юридичні, організаційні та технічні засоби будуть мало ефективними.
Проаналізувавши загрози конфіденційності даних, які пов’язані з персоналом, можна побачити, що ігнорування цих загроз призводить до серйозних збитків на підприємствах. Мова йде не тільки про фінансові втрати компанії, але й про різке падіння її іміджу у зв’язку з тим, що вона не може захистити власну конфіденційну інформацію.
Список використаної літератури:
1.Консультационный центр «Корпоративная безопасность» Информационная безопасность предприятия
2.Скиба Б. Ю., Курбатов Б. А. Руководство по защите от внутренних угроз информационной безопасности –М.: издательство Питер, 2008. – 320с.
3.Тарас Ткачук «Шляхи запобігання та протидії промисловому шпигунству» Бизнес и безопасность №3/2007 –7с.
4.http://uk.wikipedia.org/
5.http://zakon.rada.gov.ua: Кримінальний кодекс України
Категория: Информационная безопасность | Добавил: myrlyandiya (2010-03-17) | Автор: А. К. Скляренко
Просмотров: 6491 | Рейтинг: 4.8/5 |
Всего комментариев: 0
Имя *:
Email *:
Код *:

Copyright MyCorp © 2016