Читаем Обеспечение информационной безопасности бизнеса полностью

Использование инсайдерами служебных полномочий и знаний ИТ-среды организации в интересах, противоречащих интересам организации, является одной из наиболее опасных по возможным негативным последствиям угроз ИБ организации.

Негативные последствия действий внутреннего злоумышленника могут быть не очевидны для менеджмента организации, поскольку могут проявиться спустя продолжительное время, заключаться в невозможности реализации долгосрочных целей организации, в снижении эффективности основных и вспомогательных видов деятельности, в финансовых потерях третьих лиц и т. д.

Внутренний злоумышленник будет использовать самое слабое звено системы защиты организации — и атака будет выполнена наиболее простым и безопасным из известных злоумышленнику способов. В частности, нападение внутреннего злоумышленника с большой вероятностью произойдет неожиданно для организации.

Внутренний злоумышленник будет управлять своими знаниями и знаниями окружающих его сотрудников в собственных интересах, воздействуя на информационную сферу организации.

Внутренний злоумышленник хорошо информирован о том способе атаки, который собирается использовать. Велика вероятность, что он воспользуется видами доступа, которые применяет повседневно в своей работе.

Различные угрозы ИБ от персонала не равновероятны между собой из-за того, что разным угрозам соответствуют разные мотивы, разные возможности их осуществления, различная привлекательность результата для злоумышленника.

Главной причиной возникновения угроз ИБ от персонала является возможность конфликта интересов — скрытого противоречия между служебными обязанностями сотрудника перед организацией и личными интересами сотрудника.

Сущностью угрозы ИБ от персонала является злоупотребление доверием организации, причем доверие организации проявляется в предоставлении инсайдеру полномочий в отношении информационных активов организации, а также возможности получения знаний об ИТ-среде организации.

Атака на информационные активы организации, совершаемая внутренним злоумышленником, является элементом противоправной деятельности одного правонарушителя или группы правонарушителей. Деятельность внутреннего злоумышленника в ИТ-среде организации в различных случаях может составлять как значительную, так и небольшую часть общей схемы противоправной деятельности. Поэтому практически идентифицировать атаку, определить личность злоумышленника и действительную цель атаки во многих случаях возможно лишь путем вскрытия всей схемы противоправной деятельности.

Для большинства угроз ИБ от персонала характерна высокая скрытность действий внутреннего злоумышленника.

Меры разграничения и управления доступом к информационным активам организации прозрачны для инсайдеров, поскольку они обладают служебными полномочиями доступа, что определяет необходимость применения специализированных мер для противодействия угрозам ИБ от персонала.

Внутренний злоумышленник потенциально располагает значительными временными ресурсами для получения необходимых знаний, подготовки и проведения атаки.

Также для угроз ИБ от персонала характерна непредсказуемость последствий — негативные последствия самого разного характера и масштаба как для организации в целом, так и персональные последствия для ее сотрудников.

Практически нет такого умышленно вызванного происшествия, в котором его бенефициару не был бы выгоден «свой человек» в организации (для получения информации, подготовки, проведения, сокрытия следов, использования последствий).

Атаки, совершаемые внутренними злоумышленниками, могут быть однократными или длящимися. Следует считать высокой вероятность совершения повторных атак внутренним злоумышленником, успешно совершившим некоторую атаку.

Актуальность угроз ИБ от персонала обозначена в современных нормативных документах по ИБ, например в стандарте Банка России СТО БР ИББС — 1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26]:

«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности».

«Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает».

С точки зрения действующего законодательства действия внутренних злоумышленников, направленные против законных интересов организации, в зависимости от их конкретного содержания могут квалифицироваться как различные уголовные и административные правонарушения:

— кража (в соответствии со ст. 158 УК РФ);

— мошенничество (в соответствии со ст. 159 УК РФ);

— присвоение или растрата (в соответствии со ст. 160 УК РФ);