Читаем Информатизация бизнеса. Управление рисками полностью

Рис. 23. Каналы утечки конфиденциальной информации

Среди основных тенденций специалисты InfoWatch отметили увеличение доли умышленных утечек. По их мнению, как защита, так и утечки персональных данных являются самыми значительными статьями расходов при оценке стоимости информационных рисков. При этом защитники информации излишне сконцентрированы на электронной защите, упуская из виду традиционные (преимущественно случайные) утечки бумажных носителей, которые можно предотвратить лишь организационными мерами, отмечается в отчете InfoWatch за 2009 год. Умышленные утечки могут быть инициированы внутри компании (инсайдерские угрозы) и могут быть вызваны внешними угрозами.

Одной из самых опасных инсайдерских угроз сегодня является несанкционированный доступ к конфиденциальной информации и ее кража. Несанкционированный доступ к информации может быть организован с помощью взлома ПО, копирования на внешние носители и передачи информации через Интернет, использования дополнительных устройств (Wi-Fi, BlueTooth, GPRS и прочего).

В зависимости от ценности похищенных данных убытки компании могут возрасти в несколько раз. Кроме того, компании часто сталкиваются и с физической кражей переносных компьютеров, вследствие чего реализуются как угрозы несанкционированного доступа, так и кражи чувствительной информации, стоимость которой зачастую несопоставима со стоимостью оборудования либо превышает ее.

Среди прочих инсайдерских угроз следует выделить фото– и видеосъемку бумажных документов, содержимого мониторов, вводимых паролей, кражу носителей резервной информации, «рабочих» жестких дисков, установку внутренних устройств-«жучков», бесконтрольную отправку копий документов, голосовую передачу значительных объемов информации, вынос бумажных документов, хакерские атаки, «взлом» сетей. Также бывают случаи кражи переносных компьютеров и внешних носителей, установки вредоносного ПО, визуального «съема» информации с мониторов, бумажных документов, вышедших из эксплуатации носителей, выброшенных документов. Для целей несанкционированного доступа к информации может быть использована социальная инженерия, оказывающая воздействие на психологию сотрудников с целью выманивания паролей, запуска ими специально подготовленных программ.

Согласно отчету Computer Crime and Security Survey, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. То есть наибольшая угроза ИТ-безопасности исходит изнутри организации. Сотрудники компании (инсайдеры) имеют намного больше возможностей нанести вред организации, в отличие от хакеров или внешних злоумышленников. Инсайдерские утечки данных через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз. От внутренних «нарушителей порядка» нельзя защититься так же просто, как от вирусов: установить антивирус и регулярно обновлять сигнатурные базы, – потребуется выстроить гораздо более сложную, комплексную систему защиты. Растущая распределенность вычислительных процессов ведет к тому, что все большая часть корпоративных данных создается, обрабатывается и хранится на персональных компьютерах сотрудников, включая не только настольные, но и переносимые компьютеры – ноутбуки. Наиболее существенным по влиянию фактором стал резкий рост в последние годы размеров памяти съемных носителей при снижении их цены, габаритов и простоте инсталляции, что привело к общедоступности, удобству и высокой маскируемости (из-за малых размеров) этих устройств. Повсеместное распространение беспроводных сетей только усугубляет проблемы информационной безопасности.

Многие ERP-системы не обладают средствами защиты от внешних инсайдеров, хотя располагают сильными средствами защиты от неавторизованного доступа, обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной безопасности.

При оценке решений для управления доступом ИТ-специалисты должны учитывать следующие требования:

• поддержка различных методов аутентификации;

• политики управления доступом на базе ролей и правил;

• интеграция возможностей аутентификации и авторизации с пакетными корпоративными приложениями;

• унифицированные политики управления доступом для различных платформ и организаций;

• контроль числа пользователей в системе и делегирование прав;

• аудит-системы безопасности и защита журнала протоколирования;

• надежные функции аудита и отчетности для всех событий доступа.