Часть 3

(Начало в №27)

Палачи и жертвы

Один из самых сложных моментов в расследовании действий IT-инсайдеров - оценка нанесенного их действиями ущерба. По данным CERT, компании несут финансовые потери, получают урон репутации и проблемы с бизнес-процессами. В некоторых случаях атака внутреннего злоумышленника оказывается направлена не столько на организацию, сколько на конкретных сотрудников. Конечно, финансовые потери в результате внутренних атак очень разнятся в зависимости от страны, отрасли и т.д. В нашем распоряжении пока только статистика американского исследования. Так, 42% компаний в США потеряли до 20 тыс. долларов в результате одного инцидента саботажа; 9% - от 20 тыс. долларов до 50 тыс. долларов; 11% - от 50 тыс. долларов до 100 тыс. долларов; 2% - от 200 тыс. долларов до 200 тыс. долларов; 7% - от 200 тыс. долларов до 300 тыс. долларов; 9% - от 1 млн. долларов до 5 млн. долларов и 2% - более 10 млн. долларов.

Проще перечислить чисто технические последствия и нарушения бизнес-процессов. Чаще всего это сбои в системе коммуникаций вследствие атаки на сеть, маршрутизаторы, серверы или точки удаленного подключения; остановка продаж в связи с уничтожением приложений, отвечающих за продажи, или модификацией записей в базе данных; неудобства пользователей или клиентов в связи с изменением их паролей; уничтожение или повреждение критической информации, например, важного программного обеспечения, компьютерных систем, хранилищ данных и т.д. Вдобавок к этому, 28% пострадавших компаний уронили собственную репутацию в глазах общественности и клиентов. Сложно оценивать такой момент, как потери из-за дестабилизации обстановки внутри самой организации.

Избежать и предотвратить

Конечно же, самое лучшее - предупредить возможный IT-инцидент, выявив инсайдера "на корню". Это, скорее, работа психолога. Прежде всего, по мнению специалистов, необходимо уделять повышенное внимание тем сотрудникам, которые недавно столкнулись с неприятными инцидентами в своей работе. В любом случае, необходимо создать способ разрядить напряженную ситуацию и восстановить здоровую рабочую атмосферу.

Тем не менее, всегда есть и будут саботажники, которые заранее планируют свою деструктивную активность, стараются маскировать свое поведение и не идут на добровольную разрядку ситуации. С этой точки зрения, говорят американские специалисты, в организации с достаточно развитой IT-инфраструктурой необходимо создать систему свободного обмена информацией и мнениями. Она позволит собирать данные о подозрительном поведении служащих, проверять и анализировать поступающие сведения. Кроме того, должны существовать официальные документы и политики, четко описывающие действия ответственных лиц в случае появления каких-либо подозрений о готовящейся IT-диверсии.

Нечто обязательное

В любом случае, есть некоторые обязательные процедуры, призванные как обезопасить IT-инфраструктуру предприятия от действий инсайдеров, так и облегчить расследование возможных инцидентов. Так, необходимо блокировать все возможные входы в корпоративную сеть для тех сотрудников, которые были уволены или уволились сами. Такие процедуры должны приводиться в исполнение сразу же после изменения штатов компании. Очень важным является контроль над техническим персоналом, имеющим широкие полномочия для доступа к IT-инфраструктуре, и системными администраторами. Конечно, тут возникает принципиальная проблема компетенции: любой толковый сисадмин всегда имеет "недокументированную заначку", а вопрос "Кто будет сторожить сторожей?" задавали еще древние римляне. Однако все же большинство неизощренных атак может быть обнаружено и предотвращено на раннем этапе благодаря здоровым политикам IT-безопасности. Следует уделять повышенное внимание учетным записям и паролям пользователей, так как они часто остаются без присмотра.

Чтобы определить, что IT-инфраструктура была атакована, необходимо анализировать записи в журналах событий и осуществлять мониторинг за корпоративной средой. В то же самое время необходимо всеми техническими средствами защитить журналы системных событий от модификации и удаления. Таким образом, злоумышленнику будет значительно сложнее скрыть свою личность или "подставить" другого сотрудника. Необходимо также иметь юридические процедуры, которые позволят провести расследование инцидента и наказать виновного.

Чтобы смягчить удар от действий инсайдера, также следует, разумеется, регулярно проводить резервное копирование. Что касается резервных копий, то их необходимо тестировать. В целом, нужен централизованный контроль над проведением процедур резервного копирования. Многие инциденты удается предотвратить благодаря мониторингу и выявлению ненормальной активности пользователей или изменению конфигурационных (иногда системных) файлов. При этом сотрудники обязательно должны быть в курсе, что производится постоянный мониторинг за их деятельностью.

Размер значения не имеет

От внутренних IT-атак страдают организации любого масштаба. По данным CERT, даже компании, число сотрудников в которых не превышает 100 человек. В то же самое время инсайдером может оказаться кто угодно: мужчина, женщина, подросток, пенсионер и т.д. Однако следует учитывать, что это, в основном, работники технической сферы: программисты, веб-дизайнеры, системные и сетевые администраторы и т.д. Желание совершить диверсию чаще всего приходит при увольнении сотрудника (даже добровольном).

Специалисты рекомендуют в достаточно больших организациях проводить тренинги среди персонала, чтобы научить служащих выявлять саботажника по его поведению, а не стереотипному шаблону. Например, внутренние злоумышленники часто угрожают совершить что-нибудь деструктивное по отношению к компании или коллегам, обсуждают планы мести с кем-то из сослуживцев. Служащие должны понять, что у них есть способ конфиденциально или открыто донести свое мнение до руководства или обсудить какую-то проблему с коллегами, а также сообщить о чьем-то подозрительном поведении.

Впрочем, даже самые распрекрасные тренинги вряд ли способны ликвидировать проблему инсайдеров целиком и полностью.

Виктор ДЕМИДОВ