При этом возможные инциденты часто возникают вследствие действий внутренних нарушителей – сотрудников организаций.
Нельзя сказать, что проблему противодействия внутренним угрозам информационной безопасности регуляторы обходят стороной – напротив. Однако регулирование в данной сфере фокусируется на защите конфиденциальных (в том числе персональных) данных.
Например, в Приказе ФСТЭК России N 17 говорится: «Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы».
Далее следует предметный список необходимых для этого технических мер, в их числе – системы защиты от неправомерных доступа, копирования, предоставления или распространения информации.
Сюда относятся решения по предотвращению утечек информации – Data Loss Prevention, DLP, – но большинство из них рассчитано только на предотвращение утечки данных, хотя это не самая частая и не самая опасная угроза организации, исходящая от ее собственных сотрудников.
“К угрозам, базирующиеся на нелояльности сотрудников, относятся сговор с поставщиками, использование подставных посредников, коррупция, подделка документов”
Вне поля зрения остаются угрозы, базирующиеся на нелояльности сотрудников. К ним относятся сговор или аффилированность с поставщиками, использование подставных посредников, проведение сделок с подконтрольными организациями, коррупция, подделка или фальсификация документов и многое другое. Эти действия часто носят сознательный и систематический характер и наносят огромный ущерб оборонно-промышленным организациям.
Потрет нарушителя и сигналы тревоги
Кто же эти злоумышленники? По данным аналитиков, в большинстве случаев это мужчина 36-55 лет, часто проработавший в организации более 6 лет. Психологический потрет нарушителя также довольно любопытен: 60% сотрудников к мошенничеству подталкивает возможность получить личную выгоду, 36% просто относятся к категории алчных людей, постоянно ищущих пути к обогащению, в 27% случаев люди также руководствуются чувством превосходства и ощущением безнаказанности. В 62% случаев злоумышленник вступает в сговор с третьими лицами – коллегами или подрядчиками. В топ-3 самых рисковых подразделений с точки зрения вероятного мошенничества входят высшее руководство (24%), отдел закупок (22%) и финансовый отдел (20%).
Как можно выявить вероятного нарушителя? По статистике, главным «тревожным звонком» является несоответствие расходов и доходов человека. Покупки в интернет-магазинах, поисковые запросы, фото в социальных сетях с новым автомобилем или дорогими аксессуарами – все это признаки того, что человек живет не по средствам. Поскольку 44% нарушителей тратят больше, чем официально зарабатывают, такие сигналы требуют пристального внимания офицера безопасности.
Те из сотрудников, кто не замечен в неожиданно крупных тратах, но испытывают финансовые трудности, находятся на втором месте по уровню риска – они составляют около трети мошенников. Личные связи с поставщиками и заказчиками в 21% случаев также оборачиваются нелегитимными действиями, направленными против организации.
Найти и обезвредить
Причина большинства мошеннических действий со стороны сотрудников – слабое распространение технологий предотвращения внутренних угроз. Как уже говорилось выше, стандартные DLP-системы могут решить задачу по защите организации от утечек конфиденциальной информации, в том числе персональных данных, и таким образом обеспечивают соответствие требованиям ФСТЭК России в части защиты информации. Но данные технические решения имеют ряд ограничений по хранению долгосрочных архивов, профилированию, выявлению аномалий поведения пользователей и не умели вести досье на сотрудников и обогащать информацию по ним. Поэтому появился класс специализированных DLP-систем, оптимизированных под задачи выявления не только утечек информации, но и корпоративного мошенничества, связей между сотрудниками, сговоров, действий, направленных на нанесение организации экономического ущерба.
DLP против мошенничества: как это работает?
Автоматизированная система мониторинга перехватывает сетевой трафик организации, разбирает его и извлекает переписку сотрудников. Далее в режиме реального времени происходит ее анализ и сохранение в долгосрочном архиве коммуникаций. При этом Solar Dozor контролирует появление косвенных, на первый взгляд незначительных, признаков противозаконных действий сотрудников и аномалий в их поведении.
После «срабатывания» системы (то есть выявления признака мошенничества) данный инцидент поступает на анализ офицеру или аналитику службы безопасности, который уже проводит расследование.
Таким образом, задача выявления внутреннего мошенничества распадается на три подзадачи.
Первая – постоянное наблюдение и выявление косвенных признаков мошенничества, в том числе углубленного мониторинга групп риска. Для этого обеспечивается:
• Мониторинг содержания сообщений сотрудников, выявление подозрительных признаков, ключевых слов, пересылка недопустимых или несвойственных документов.
• Мониторинг косвенных признаков, говорящих, например, о неоправданных расходах, анализ поисковых запросов, свидетельствующих о крупных покупках.
• Мониторинг и выявление связей между людьми внутри организации, подрядчиками или контрагентами, которые могут свидетельствовать о конфликтах интересов или сговорах.
• Выявление аномалий в коммуникациях сотрудников, в частности, изменение тональности общения, уход коммуникаций из корпоративных каналов взаимодействия (например, из корпоративной почты во внешнюю, в мессенджеры).
Все события по конкретному человеку сводятся воедино, тем самым Solar Dozor фактически формирует досье на каждого сотрудника. Оно содержит собственные данные DLP-решения и информацию из смежных систем – например, сведения о дате приема на работу, привилегированных правах доступа к информационным системам и пр. Офицер безопасности может в любой момент открыть досье и получить сводную всестороннюю характеристику на сотрудника, включающего общую информацию, всю его переписку, данные из сторонних баз данных и профилей социальных сетей.
Вторая подзадача заключается в постоянном просеивании и отработке «подсвеченных» подозрительных активностей, косвенных признаков мошенничества, инцидентов.
Третья подразумевает проведение расследований по результатам обнаруженных признаков мошенничества или по полученным оперативным данным, в частности:
• Анализ всех коммуникаций сотрудников, попавших под подозрение.
• Поиск дополнительной информации «вокруг» подозрительного события или инцидента.
• Выявление связей между событиями, людьми, данными.
• Построение карты связей и коммуникаций сотрудников.
• Постановка на более жесткий мониторинг коммуникаций конкретных сотрудников.
Таким образом, новейшие технологии DLP-систем позволяют решить несколько задач сразу:
1. Обеспечить соответствие Приказам ФСТЭК России.
2. Защитить информацию ограниченного доступа от разглашения и компрометации.
3. Выявить внутренних злоумышленников, наносящих экономический ущерб организации.
Предприятия оборонно-промышленного комплекса традиционно являются объектом большого числа регулирующих норм, стандартов и требований. Но было бы ошибкой считать, что исполнения этих норм достаточно для обеспечения информационной безопасности и защиты от современных угроз. Организации ОПК должны быть в авангарде применения самых современных технологий, поскольку реализация внутренних и внешних угроз в данной сфере ведет к гораздо более серьезному ущербу, чем, например, в коммерческом секторе. Успешные атаки киберпреступников и рядовых сотрудников организаций могут стать критичными не только для бизнеса одной конкретной компании, но и для обороноспособности страны в целом.
Василий Лукиных, руководитель направления предотвращения утечек информации, компания Solar Security