Возвращаясь к теме

В предыдущей, "основной", статье "Прямая явная угроза IT-инфраструктуре" мы, говоря об инсайдерах, львиную долю внимания уделили внутрикорпоративным саботажникам. И явно недостаточно рассказали о проблеме кражи информации сотрудниками и о проблемах, которые возникают, когда злоумышленник выявлен. Между тем, как показывает практика, часто избавиться от инсайдера бывает сложнее, чем его выявить.

Птенцы кукушки

Сразу оговоримся: для Западной Европы и США многие из описанных ниже проблем не особо актуальны. Просто там, во-первых, намного более развита юридическая культура трудовых взаимоотношений, а во-вторых, сам бизнес намного более "прозрачен". Иное дело - Восточная Европа и, уж тем более, страны бывшего СССР. Впрочем, обо всем по порядку.

Как бы ни изощрялись хакеры, но развитие средств защиты на всех уровнях все реже позволяет им добраться до действительно ценной корпоративной информации. Теперь это чаще происходит в голливудских боевиках, чем в реальной жизни. Практика показывает, что в наши дни наибольший ущерб корпоративной информации наносят собственные сотрудники, завербованные конкурентами. Действительно, в мире корпоративного шпионажа (действия спецслужб оставим в стороне) сегодня редко прибегают к услугам наемных хакеров. Во-первых, дорого. Во-вторых, малоэффективно (хотя так было не всегда). В третьих, есть риск пострадать самому.

Намного проще найти в конкурирующей компании недовольного жизнью или начальством сотрудника и уже с его помощью получить доступ к IT-инфраструктуре конкурента. В результате угроза информационной безопасности компании со стороны собственных сотрудников становится все более серьезной. Только речь уже идет не о саботаже (мотивом которого чаще всего бывает месть), а о торговле конфиденциальными данными (мотив: деньги).

Форма подобного внутрикорпоративного IT-шпионажа может сильно варьировать в зависимости от того, кто именно этим самым шпионажем занялся. Секретарша сделает неучтенную распечатку недельного движения средств по счетам и вынесет ее в папке с другими бумагами. Топ-менеджер "сольет" на флэш-карту базу данных по клиентам фирмы. Системный администратор откроет конкурентам доступ к локальной сети предприятия.

Скелеты в шкафу

Вот мы и подошли к главному казусу. Инсайдер, имеющий доступ к IT-инфраструктуре своего предприятия и продающий конфиденциальную информацию конкурентам, обычно по ходу дела получает доступ к самой разной информации о своей фирме. Вы не забыли, о каких географических территориях мы ведем речь? Нельзя не признать, что мало кто в наших краях (б. СССР) ведет бизнес целиком прозрачно. Одно дело, когда инсайдеру становится доступной информация чисто коммерческая, и совсем другое - когда он узнает про бухгалтерские уловки, налоговые ухищрения, "черный нал" или нелицеприятные факты из личной жизни топ-менеджеров.

Но в абсолютном большинстве случаев, особенно на малых и средних предприятиях, массивы данных оказываются настолько тесно взаимосвязаны, что, узнав что-то одно, инсайдер почти наверняка узнает и все остальное. Однако обычно перекупленные сотрудники сообщают конкурентам только часть тех данных, разглашения которых их работодатели хотели бы избежать. Скажем, знающий всю подноготную бизнеса своих боссов помощник вице-президента компании продаст конкурентам лишь сведения о клиентах и конкретных сделках своей фирмы. А информацию о двойной бухгалтерии оставит себе - в качестве своего рода "страхового полиса".

Но это уже немного не наша тема. Вернемся к IT-системе предприятия. Как свидетельствуют западные специалисты, очень часто утечка секретной информации происходит во время ее резервного копирования. Особенно, если сисадмин не отличается добросовестностью... Попросту говоря, ситуация такова: один-единственный человек (отвечающий за резервное копирование) регулярно получает доступ ко всем данным в рамках своей компании. А это в корне противоречит фундаментальным принципам IT-безопасности. Где выход? Он видится только один: каждое подразделение компании должно производить резервное копирование своих данных самостоятельно. Да, возможно, придется повысить IT-квалификацию ряда сотрудников, прежде ничего, кроме Word и Excel, не знавших, но безопасность того стоит.

Не верь, не бойся, не проси

Как говорят криминалисты, обычно от преступления человека удерживает страх наказания. Между тем, как показывает ряд примеров, сотрудники, продавшие секретные данные конкурентам, чаще всего избегают серьезных санкций. Даже те, чья вина в утечке секретной информации была доказана, обычно просто увольняются "по собственному желанию" без каких-либо дополнительных взысканий со стороны руководства. Последнее обычно старается избежать еще более существенных потерь. Ведь предусмотрительные инсайдеры, как правило, передают конкурентам фирмы не всю доставшуюся им информацию. "Грязное белье" родной компании они обычно оставляют у себя - как определенную гарантию безопасности.

Специалисты по информбезопасности признают: если начать преследование и загнать инсайдера в угол, он может причинить гораздо более существенный ущерб компании. При таком взгляде на проблему речь идет, в первую очередь, о высокопоставленных сотрудниках, которым открыт не один корпоративный секрет. Тем не менее, подобный подход во многом применим и к персоналу на несколько рангов ниже - от секретарш до программистов, получивших несанкционированный доступ к закрытой информации. Если такого работника поймали на разглашении коммерческих данных и пытаются наложить на него санкции, он вполне может устроить своей организации проблемы, например, с налоговой инспекцией.

В подобных ситуациях работодатель фактически не может наказать своих сотрудников, продавших секретную информацию, так как при этом рискует нанести себе еще больший ущерб. Конфликты обычно заканчиваются простым увольнением. В неразглашении подобных прецедентов заинтересованы обе стороны, поэтому в прессе редко появляются громкие сообщения о похищенной информации. Последняя нашумевшая история - весенний скандал с утечкой информации о движении финансов в российском Центробанке.

Защита в жестком стиле

Однако отсутствие жесткой реакции топ-менеджеров на предательство - это не лучший выход. Другие работники получают наглядное подтверждение возможности избежать наказания. Если сотрудники продают конкурентам только часть известной им информации, они сохраняют рычаги давления на руководство, которые позволяют им не бояться санкций. Это может привести к тому, что рост числа подобных прецедентов приобретет лавинообразный характер.

Чтобы предотвратить появление все новых IT-инсайдеров, работодателям придется пойти на риск большого ущерба, но создать показательный прецедент неизбежного наказания. Иначе хищение инсайдерами информации из компьютерных систем с последующим шантажом может стать массовым.

Виктор ДЕМИДОВ