Войти в почту

Невидимые угрозы: почему сотрудники могут стать киберриском

Как только появилась информация, сразу появились и угрозы для нее. Кто-то пытался ее похитить, кто-то пытался ее узнать, а кто-то пытался ее уничтожить. Этот кто-то был внешним врагом или маскировался внутри и был внутренним врагом (для кого-то разведчики, а для кого-то и шпионы). А еще были те, кто просто нарушал порядок и не был врагом. И так было всегда с того момента, как человек научился фиксировать информацию.

Невидимые угрозы: почему сотрудники могут стать киберриском
© It-world

Компьютерные технологии не принесли ничего нового в эту парадигму. Только изменились средства информации, технологии, способы обработки. Отсюда вывод: угроза информации — это неизбежность информационного процесса.

Но разве нельзя уйти от неизбежности? Построим самую современную систему защиты, обучим персонал, будем мониторить ситуацию 24/7. А угроза, в том числе и внутренняя, все равно не уходит. Аппаратные комплексы выходят из строя, антивирус детектирует не все вредоносное ПО. Сотрудники не соблюдают парольную политику. ИТ-администраторы упрощают себе удаленный доступ. И так далее. Почему это происходит? Не является ли это следствием чего-то? А каких угроз больше — внешних или внутренних? Вот и получается, что наличие информации и ее ценность делают неизбежными угрозы для нее, а несовершенство защиты и невыполнение требований безопасности, как следствие, делают угрозы актуальными.

Вот таким «чудесным» образом внешние и внутренние угрозы информационной безопасности стали и неизбежностью, и следствием. Если перейти к внутренним угрозам, то неизбежными их делает недостаточная цифровая грамотность или, как модно говорить, «низкая цифровая гигиена», а неэффективность внутренних процессов безопасности и внутренних систем контроля, как следствие, приводит к внутренним угрозам.

Яркий пример последних дней тот коллапс, который вызвало в мире некорректное обновление Microsoft. Несоблюдение внутреннего процесса проверки правильности обновления, выпуск «сырого» продукта — а за этим явно просматривается человеческий фактор — и всемирный сбой как следствие реализации внутренней угрозы.

Кто главная угроза — инсайдеры или аутсайдеры?

Источник любого вида кибератаки происходит из внешнего или внутреннего источника. Многочисленные инсайдерские атаки привели к утечкам критичной информации. Основное различие между APT (хакерскими группировками) и инсайдерскими атаками заключается в том, что инсайдеры по определению имеют авторизованный доступ к инфраструктуре и, возможно, даже к серверам, хранящим конфиденциальную информацию (почтовый сервер, серверы баз данных), в то время как APT-атакам необходим несанкционированный доступ. Одним из мотивов внешнего злоумышленника является получение учетных данных инсайдера. Так кто же главный нарушитель информационной безопасности? Вопрос можно считать философским. И здесь оттолкнемся от понятия «нарушитель». Терминологически это тот, кто нарушает. Что нарушает?

Начнем с понимания, что может нарушить инсайдер. Он знает критичную информацию, которая может принести ему или конкурентам организации некий эффект, в том числе и финансовый. Он имеет доступ к этой информации, и в этом главное его преимущество.

Построение культуры безопасности. Защита от внутренних угроз

Что может нарушить аутсайдер? Он не имеет прямого доступа к внутренней информации. Но у него есть доступ к информации при передаче на аутсорсинг техподдержки или самой информационной системы. Он более независим юридически, чем инсайдер. Он отличается от инсайдера по возможностям, но не менее опасен.

Отдельно хотелось бы осветить вопрос, почему аутсайдер не АРТ. Аутсайдер — это более широкое понимание нарушителя. Ему не надо получать информацию с нуля, «стартовый пакет» для нарушения у него уже в руках. АРТ же должно найти исходную информацию для атаки.

Если говорить о последних известных утечках и взломах в России, то большая часть связана с аутсайдерами и АРТ. Об инсайдерских атаках известно меньше, но это не значит, что их нет. Подводя краткий итог: и инсайдер, и аутсайдер одинаково опасны, только с разными сценариями.

Выявление и предотвращение

Внутренняя угроза лишь тогда сможет стать угрозой, когда система безопасности организации позволит это сделать. Вернее, даже так: угрозы будут очень долго, и они потенциальны. А вот реализоваться угрозам позволяет недоработка системы безопасности. Означает ли это, что возле каждого сотрудника должен быть безопасник и в нужный момент он будет бить сотрудника по рукам? Конечно, нет. В компаниях нет таких ресурсов и потребности.

Внутренние угрозы от собственных сотрудников следует разделить на:

угрозы от сотрудника-«разгильдяя», который не соблюдает установленные нормы; угрозы от сотрудника — «злостного нарушителя», который злонамеренно собирает информацию или пытается нанести вред.

У этих категорий разный поведенческий характер. Разгильдяй просто нарушает, если можно сказать, «не по злобе». Но ущерб от его действий может быть крайне существенным. Плюсом является то, что он будет в периметре внимания службы безопасности в силу своих нарушений.

Злостный нарушитель, наоборот, будет стараться соблюдать процедуры. Для решения своих целей ему не надо попадать в поле зрения служб безопасности. Для выявления и тех, и других организация должна формировать систему противодействия. Такая система в базовой версии включает:

Александр Клёнин: всё о технологиях подбора сотрудников для ИТ-отрасли Геополитические вызовы, уход из России глобальных ИТ-компаний, тренд на импортозамещение и усиливающийся дефицит кадров в индустрии ИТ - всё это актуализировало вопросы закрытия потребностей в ИТ-персонале. Заместитель генерального директора ГК BSS Александр Клёнин в интервью IT-World – о моделях найма ИТ-персонала, их преимуществах и недостатках.

подсистему контроля (DLP, CКДПП, SIEM и, если возможно, SOC, ориентированные в том числе на внутренние угрозы), а также подсистему физической безопасности ИТ-ресурсов; подсистему мониторинга интернет-активности пользователей с целью выявления возможной деструктивной заинтересованности, в том числе мониторинг возможного поиска смены работы сотрудниками; - подсистему кадровой безопасности; подсистему информирования сотрудников о контроле информационной безопасности, в том числе и визуализацию информирования. Сработает четкий принцип: если нарушитель знает, что за ним следят, то 50 процентов нарушений не состоится.

Система противодействия должна работать в режиме 24/7, иначе смысла в ее работе нет. Функционально это может выглядеть следующим образом.

Системы предотвращения утечек данных. Позволяют отслеживать и блокировать попытки передачи конфиденциальной информации за пределы корпоративной сети. Также они могут отправлять уведомления о подозрительных действиях, таких как попытки доступа к информационным системам, которые не нужны сотруднику для выполнения его прямых обязанностей.

Мониторинг поведения. Решения для контроля персонала позволяют анализировать поведенческие аномалии и могут обнаруживать нехарактерные для конкретного пользователя действия.

Аудит запросов на доступ. Отслеживание и анализ журналов безопасности может помочь выявить несанкционированный доступ или другие подозрительные действия.

Повышение уровня цифровой грамотности сотрудников. Регулярное обучение персонала и развитие киберкультуры может помочь сотрудникам распознавать подозрительное поведение своих коллег.

Физическая безопасность. Контроль доступа к серверам и хранилищам данных, камеры видеонаблюдения и другие меры физической безопасности также могут помочь в выявлении подозрительной активности.

Проверка на этапе рекрутинга. Запрос у претендента на должность данных об отсутствии судимости, рекомендаций с предыдущих мест работы, а также другие меры проверки при найме могут помочь отсеять потенциально опасных кандидатов.

Граница между доверием и контролем

Самое простое решение в этом вопросе — не проводить границу. Ситуация, как у двуликого Януса: должно быть доверие, но нужен и контроль. При этом доверие заключается в предоставлении доступа к общим информационным ресурсам организации, в обеспечении корпоративными средствами телекоммуникации, в определении полномочий по занимаемой должности. Можно еще назвать целый ряд позиций доверия для сотрудника со стороны организации.

Повышение киберграмотности и кибергигиены на работе и в обычной жизни

Что может предложить сотрудник организации? В общем случае лояльность. А может лояльность быть 100-процентной? Наверное, вряд ли. И что тогда должна делать организация — контролировать? Как контролировать? Постоянно или эпизодически?

Однозначного рецепта нет. Есть организации, в первую очередь крупный отечественный бизнес, в которых реализована жесткая регламентация процессов и определены процедуры контроля. Обязательным элементом является информирование сотрудников о контроле с учетом требований законодательства. Мелкий и средний бизнес более склонны к модели доверия. Как правило, это связано с ограничением ресурсных компетенций по безопасности. Хотя в последнее время в связи с ожидаемым введением оборотных штрафов за утечку персональных данных и в этом сегменте внедряются системы контроля.

Контроль — «кнут» кибербезопасности. А где «пряник»?

Завершить статью хочется не описанием ужесточения, а чем-то иным по направленности. Хочется найти «пряник» кибербезопасности. В чем он может заключаться, постараюсь ответить. Если вы хотите отойти от стратегии подавления в безопасности, задумайтесь о формировании культуры доверия к безопасности у сотрудников. Сделайте понятными процедуры контроля. Работайте над формированием цифровой гигиены. В нынешних условиях помогайте сотрудникам противостоять мошенникам, как говорится, и словом, и делом. Информируйте сотрудников об успешности работы системы безопасности организации. Разъясняйте преимущества соблюдения требований безопасности.

И тогда количество внутренних нарушителей будет уменьшаться, а внутренние угрозы минимизируются.

Что бизнес увидит в облаках: основные тенденции и перспективы рынка облачных решений О том, почему спрос на облачные ИТ-решения для бизнеса в прошлом году вырос на треть, какие сервисы сегодня наиболее востребованы и как искусственный интеллект изменит облачные вычисления, рассказал директор K2 Cloud Сергей Зинкевич.