ОЛЕГ КУЗЬМИН, создавал систему информбезопасности Северного флота. Развивал в ВС РФ защиту от утечек информации. С 2006 г. – директор департамента информбезопасности ЗАО «Ай-Теко»
Практический инсайд
Основная проблема и причина низкой эффективности борьбы с утечками и действиями инсайдеров в целом – слишком большая теоретизация.
Утечка информации: суха теория, мой друг…
В настоящее время стремительными темпами развивается новый сектор рынка информационной безопасности – борьба с утечками информации. Технологии предотвращения утечек информации позиционируются чаще всего под аббревиатурой DLP, хотя сам термин, обозначающий решения по защите конфиденциальных данных от внутренних угроз, еще и не устоялся и трактуется по-разному: и как Data/Information Leak Prevention, и как Data Loss Protection.
Большинство ведущих производителей программных и аппаратных средств ИБ уже предложили линейки своей продукции класса DLP-систем для защиты наиболее чувствительной, важной информации, принадлежащей компании, от ее же собственных сотрудников – инсайдеров. Казалось бы, внедри предложенное на выбор решение, ужесточи организационные меры, и вот оно, счастье, – утечки в компании наконец-то прекратятся! Однако не все так просто, как хотелось бы и может показаться на первый взгляд. Несмотря на принимаемые руководством компаний жесткие меры, утечки данных по вине инсайдеров все же случаются, причем довольно часто.
Основная проблема и причина низкой эффективности борьбы с утечками и действиями инсайдеров в целом – слишком большая теоретизация. Теория в вопросах DLP сейчас шагает семимильными шагами, при этом, к сожалению, зачастую расходясь с нынешними реалиями. В чем это выражается? Сегодня все решения по борьбе с инсайдерами строятся прежде всего на предположениях, что сотрудник:
- целенаправленно охотится за конфиденциальной или любой другой чувствительной информацией и занимается ее несанкционированным сбором;
- случайно или преднамеренно пытается выполнить с конфиденциальной информацией какие-либо действия, направленные на ее утечку;
- с использованием и/или превышением имеющихся у него прав пытается извлечь материальную выгоду лично для себя;
- намеревается предпринять противоправные действия, чтобы кому-то в компании отомстить, насолить, создать проблемы.
Такова теория, а что в это время происходит в реальной жизни?
Герой не нашего романа
А с практикой понятно далеко не все. Дело в том, что обычно мы можем оперировать только обработанной аналитиками обобщенной статистикой, основанной на данных анкетирования сотрудников компании, занимающихся ИТ или в лучшем случае еще и сотрудников службы безопасности. Большинство из опрошенных, вероятно, даже не смогут самостоятельно точно определить, что считать утечкой, а что является нормальным рабочим процессом в современной организации, и уж тем более – их общее число в компании. Ведь более-менее уверенно они могут отвечать лишь в рамках своих должностных обязанностей, сферы компетенции и зоны ответственности.
Кроме того, в ходе опроса выясняется, что более 90% из них оказываются попросту незнакомы с перечнем конфиденциальной информации компании, не знают, где и в каком виде она хранится, что с ней в принципе можно сделать. В итоге мы получаем результаты опросов, основанные больше на предположениях, нежели на фактах. Вот и фиксируются у нас лишь последствия громких утечек (в основном благодаря СМИ), приведшие к финансовым потерям, да еще многочисленные случайные факты утечек персональных данных. Соответственно все вышеперечисленные теоретические выкладки на практике оказываются не применимы в полной мере к инсайдерским угрозам как в силу неопределенности самой информации, отнесенной в организации к конфиденциальной, так и всех связанных с ней действий.
В результате нагнетания напряженности вокруг данной проблемы одновременно с ростом озабоченности руководства состоянием ИБ на предприятии в целом наблюдается и рост потерь от зафиксированных СМИ утечек, что отражается в диаграммах ежегодных аналитических отчетов.
Очевидно, что при таком подходе утечки конфиденциальной информации будут происходить и дальше, а количество связанных с ними громких дел год от года с переменным успехом расти. Внедренные DLP-решения, вероятно, смогут, подобно неводу, выуживать из сетей предприятия различных нарушителей, по неопытности или незнанию слишком вольно обращающихся с доверенной им или случайно попавшей к ним информацией, при этом в ряде случаев не замечая действий настоящих инсайдеров, способных в один прекрасный день полностью разорить свою компанию. Именно такие инсайдеры, а не оступившиеся сотрудники, по неосторожности или в результате случайного стечения обстоятельств ставшие причиной мелких локальных инцидентов, будут объектом рассмотрения в нашей статье, посвященной практическому инсайду и его реальному использованию.
У матросов нет вопросов? Зато есть ответы!
В далеких теперь уже 90-х годах ХХ века на одном из флотов Вооруженных Сил РФ для борьбы с утечками конфиденциальной и служебной информации на флоте была предложена и опробована на практике система, позволяющая в режиме реального времени останавливать подобные утечки, обнаруживая и пресекая их еще на этапе возникновения предпосылок. Тогда оценивались возможные события, вероятность сочетания их между собой и дальнейшее перерастание уже в реальные угрозы. В качестве основной уязвимости рассматривался прежде всего сам сотрудник, целенаправленные или случайные действия которого могли бы привести к риску утечки информации.
Например, в штабе флота разрабатывался некий серьезный документ для крайне ограниченного круга пользователей, который мог бы быть весьма интересен определенной категории должностных лиц – скажем, командирам кораблей, соединений, объединений флота – для успешной сдачи зачетов на допуск к самостоятельному управлению. В современной терминологии можно это обстоятельство считать событием, по мере окончательной готовности документа перераставшим в угрозу, поскольку данный документ был гипотетически востребован достаточно большим кругом лиц. Ознакомление с данным документом, в котором агрегировалась информация и обобщались сведения из большого числа закрытых источников, освобождало таких «лишних читателей» от необходимости самостоятельного поиска и изучения более трех десятков других, не менее важных и нужных для успешной сдачи зачета, документов.
Представьте себе, что вам, по основному своему образованию биологу или филологу, срочно нужно сдать экзамен по сложному предмету, включающему обширные разделы знаний из области математики, физики, химии и биологии, вместе взятых. Согласитесь, это трудноосуществимо и требует существенных затрат, в том числе временных. Вдруг происходит чудо, и у вас в руках оказывается документ, содержащий все экзаменационные вопросы с ответами на них. И беспокоиться больше не о чем – ведь лично вам успешная сдача экзамена в этом случае практически гарантирована!
Сотрудника, разработавшего сей документ, и узкий круг официально к нему допущенных офицеров можно считать потенциальной уязвимостью. Технические уязвимости при этом также принимаются во внимание. Данное сочетание угрозы и уязвимости в то время и приводило к утечке информации и дальнейшему ее неконтролируемому размножению на случайных носителях.
Как именно это происходило? Сотрудник, разработавший документ, под «большим секретом» сделал только одну несанкционированную копию для старого друга, которому всецело доверял. Друг в свою очередь также тайно доверил копию двум другим, безусловно, проверенным приятелям, у которых были свои, конечно же, очень надежные и верные друзья. Итог был предсказуем и весьма показателен: через несколько дней после разработки документа его несанкционированная копия была обнаружена (в ходе рядовой проверки состояния информационной безопасности) на жестком диске компьютера в организации флота, крайне далекой от штаба. Проведенное расследование показало, что после ухода первой несанкционированной копии, о которой знал сам разработчик, остальные – и весьма многочисленные – несанкционированно растиражированные копии попали на личные компьютеры и оказались доступны лицам, не только не сдающим никакие зачеты, но и даже вообще потерявшим связь с флотом…
Кто виноват и что делать?
На приведенной схеме (см. рис. 1) над первой красной чертой отмечена допустимая политикой безопасности организация работы с конфиденциальным документом. Блок между первой и второй красной чертой определяет несанкционированное и бесконтрольное распространение документа в пределах организации. Все, что ниже второй красной черты, означает окончательную потерю информации, содержащейся в документе, и возможности каким-либо образом отследить ее дальнейшее использование.
Рисунок 1. Схема распространения конфиденциальной информации в организации
На этом и аналогичных фактах и строились в дальнейшем основы организационной составляющей системы информационной безопасности, позволявшей свести риски утечек важной информации к минимуму.
Как это может быть применено сегодня, надеюсь, большинство читателей уже и сами догадались. При внедрении DLP-решения в компании необходимо оценивать реальные возможности гипотетических действий сотрудников с информацией, а также учитывать сочетания возможностей двух и более сотрудников компании либо при наличии сговора, либо возможного случайного стечения обстоятельств. Сам объект защиты – конфиденциальная информация – должен быть досконально изучен, четко определен и выражен в конкретных документах или данных. При этом различного рода размытости, неточности формулировок и двусмысленности в их определении должны быть полностью исключены. Места хранения конфиденциальной информации и документов должны четко фиксироваться, контролироваться и анализироваться на предмет возникновения аномалий, включая возрастающую активность допущенных к ним сотрудников.
Действия инсайдера должны не только перехватываться в момент совершения утечки важной информации, как это, например, происходит сейчас: они должны быть заранее спрогнозированы на случай как самой возможности, так и мотивации сотрудника, по вине которого конфиденциальная информация может уйти на сторону. Это очень тонкая и последовательная многоэтапная работа, подчас не доступная ни сотрудникам службы безопасности компании, ни тем более ИТ-службам.
Генеральная уборка
Вот еще характерный пример, раскрывающий одну из форм практического инсайда, на этот раз позитивную. Внедряется большой комплекс средств автоматизации (БКСА) АСУ «Океан». Как грибы после дождя автоматизированные рабочие места (АРМ) пользователей появляются в управлениях и отделах, где немедленно забиваются разнообразной закрытой информацией. Организация обучения фактически отдана на откуп самим пользователям, которым даны инструкции и руководство по работе с сетью и конкретным АРМ. В БКСА применяется система защиты информации, сертифицированная по 3-му классу защиты от НСД, и обслуживает ее ни много ни мало 12 сотрудников службы безопасности.
Начальник средств автоматизации уверяет, что закрыто всё, что только возможно, и первая проведенная очередь государственных испытаний это подтверждает: все условия по ИБ, оговоренные в техническом задании, действительно выполнены. Начальник средств автоматизации торжествует, принимает поздравления разработчиков комплекса и «признания в любви» от руководства отделов и управлений, до которых очередь установки АРМ еще не дошла. По понятным причинам не дошла она и до ответственного за ИБ флота, в результате чего возможность проверки системы защиты вне рамок госиспытаний отсутствовала.
Однако вскоре офицеру, ответственному за ИБ, случайно становится известно, что на нескольких технологических АРМах по окончании испытаний разработчиками БКСА неофициально были оставлены дисководы. После этого офицер флота по ИБ, изучив схему функционирования БКСА и распорядок работы управлений флота, решился на практический инсайд, заручившись предварительно соответствующим разрешением своего руководителя.
В роли инсайдера выступил сам офицер, выбрав в качестве модели возможного поведения самую низкоуровневую фигуру в штабе флота – уборщика производственных помещений. В назначенный час, по согласованию с начальником технологического подразделения, с ведром и шваброй он прибыл в одно из технологических помещений, попросив всех присутствующих сотрудников удалиться на время уборки, по регламенту на 10-15 минут. Обрадованные возможностью покинуть на время душное помещение, сотрудники поспешно удалились на перекур, оставив шесть включенных в сеть АРМов. При этом ни один из них не закрыл паролем доступ к своему компьютеру! На одном из АРМов обнаружился рабочий дисковод, в который «уборщиком» и была вставлена дискета (заранее надлежащим образом зарегистрированная). Далее последовал быстрый серфинг по сети, обнаружение в ней АРМов, принадлежащих наиболее привлекательным – с точки зрения конфиденциальности обрабатываемой информации – управлениям флота. Быстрый просмотр расшаренных папок (по версии разработчика, это были хранилища почтовых ящиков) дал поразительную картину: сотни важных документов оказались доступны для немедленного их копирования, что и было сделано «уборщиком». Спустя 15 минут прибывшие с перекура сотрудники застали его вытирающим влажный пол и уже готовым удалиться.
В ожидании реакции службы безопасности БКСА на несанкционированные действия с технологического АРМа была взята 24-часовая пауза. И поскольку реакции не последовало, скопированные документы были частично распечатаны и предъявлены начальнику штаба флота с предложением поручить начальнику средств автоматизации разобраться, каким образом они могли «уйти» из защищенного БКСА. Последовал ряд «боевых» действий, а закончилась история тем, что при попытке разработчиков убрать открытые почтовые ящики весь комплекс стал буквально разрушаться, и в итоге БКСА АСУ «Океан» так и не был принят флотом, оставшись существовать в разобранном на разрозненные локальные сети виде.
Так, используя методы практического инсайда, удалось доказать несостоятельность системы защиты в деле сохранения важной конфиденциальной информации. Надо понимать, что дисковод в данной ситуации был инструментом для сбора доказательств и являлся дополнительной уязвимостью, а воспользоваться основной уязвимостью мог любой легальный пользователь с любого АРМа, или же такие действия мог выполнить любой посторонний человек, случайно оказавшийся возле оставленного без присмотра АРМ. О том, как бы он мог распорядиться полученной информацией, лучше даже и не думать.
За примером далеко ходить… надо
Перенесемся за океан. Лето 2008 года, США. Терри Чайлдс, администратор городской сети г. Сан-Франциско FiberWAN, 13 июля получил контроль над сетью FiberWAN. Узнав о планах начальства по его увольнению, Чайлдс создал учетную запись, которая наделяла его исключительными правами доступа. Заблокировав доступ к FiberWAN всем остальным пользователям, Чайлдс в итоге стал единственным администратором городской сети.
Сеть FiberWAN обошлась Сан-Франциско в несколько миллионов долларов. Она содержит сотни тысяч конфиденциальных документов, включая платежные ведомости и переписку служащих. Сотрудники муниципалитета еще не до конца оценили нанесенный Чайлдсом ущерб. В полиции опасаются, что сисадмин мог оставить лазейку для третьих лиц, чтобы те могли уничтожить сотни тысяч важных документов.
Если сотрудник – инсайдер, допущенный или случайно получивший доступ к конфиденциальной информации, ограничен в возможностях ее несанкционированного копирования, изменения, уничтожения или отправки, это вряд ли его остановит. Он в конце концов найдет новое нестандартное решение, направленное на одно или сразу несколько перечисленных выше действий с конфиденциальной информацией. Или даже просто выучит ее и восстановит по памяти на компьютере у себя дома. Но даже на этот случай должны быть разработаны превентивные меры и меры, сводящие ущерб от подобных действий к его допустимому минимуму.
Практический инсайд – это не только тематическая область для постоянного изучения и выработки мер противодействия и предупреждения. Это еще и хороший инструмент в умелых руках для убеждения собственного руководства в недостаточной защищенности жизненно важных для компании информационных ресурсов.
А как дела обстоят в Европе? Январь 2008 года, Франция. Банк Societe Generale прогремел на весь мир в связи с потерей почти 5 млрд евро из-за спланированных действий его сотрудника Жерома Кервьеля.
Этот сотрудник не являлся топ-менеджером, не принадлежал к руководящему персоналу банка. Не обладая особыми коммерческими и финансовыми талантами, к своим 30 годам Жером смог подняться с позиции скромного клерка отдела контроля до брокера, став торговцем. Трейдер Кервьель не придумал ничего уникального и не изобрел новый гениальный способ наживы. Благодаря точному знанию правил и условий контроля и мониторинга в банке он смог успешно обойти все установленные заслоны, похитить коды доступа операторов банка и умело их использовать для осуществления операций с финансовыми транзакциями в компьютерной системе банка. Хотя в этом банке наверняка были выполнены все требования акта Sarbanes Oxley (SOX) и других обязательных актов в вопросах управления операционными, инвестиционными и кредитными рисками. Да и вопросы информационной безопасности в этом банке были решены не самым худшим образом. Однако последствия практического инсайда не заставили себя долго ждать. Помимо сразу выявленных прямых убытков в 4,9 млрд евро, банк был оштрафован еще на 4 млн евро, а его акции рухнули на 3,64%. Причиной столь значительных потерь стали незаконные операции, которые производил на бирже трейдер Кервьель, открыв позиции на фондовой бирже на сумму, в несколько раз превосходящую собственный капитал Societe Generale. Если в январе 2008 года рейтинг банка был «АА», то уже 18 февраля 2008 года рейтинговое агентство Standard & Poor's понизило долгосрочный кредитный рейтинг банка до «АА-» и оставило негативный прогноз. Некоторое время спустя, узнав о своих дополнительных потерях, банку пришлось пойти на продажу части своих акций с 40% скидкой. Столь высокой оказалась цена действий лишь одного инсайдера.
Следствие по этому делу зашло в тупик, и отпущенный на свободу после полуторамесячного заключения Ж. Кервьель сразу получил выгодное предложение о работе от компании, занимающейся информационной безопасностью. Главный вывод расследования, проведенного банком с привлечением сторонних экспертов, был сформулирован так: «Банк недооценивал риски, связанные с возможностью фиктивных сделок и свободным перераспределением лимитов на операции между трейдерами». По утверждению авторов доклада, именно благодаря этому Кервьель смог открыть фиктивные позиции на большие суммы и даже создать внутри банка собственную организацию, которая позволяла ему получать доход за счет использования ресурсов Societe Generale. Этот пример приведен в качестве иллюстрации наиболее острой формы практического инсайда – злонамеренного.
К сожалению, печальный опыт не всегда оказывается полезным и учитывается в дальнейшем. Иначе чем объяснить тот факт, что спустя всего несколько месяцев после нашумевшей истории с Ж. Кервьелем кассир Румынского банка развития, принадлежащего Societe Generale, Михаэла Росана Биту была арестована за попытку перевести на свой счет 3,2 млн долларов. Для доступа к счетам госпожа кассир воспользовалась паролями высокопоставленных сотрудников этой кредитной организации. По сообщению источника в Румынском банке развития, банку удалось своевременно заблокировать перевод большей части и вернуть около 2,8 млн долларов. Вместе с мошенницей арестованы еще три человека, всего же в число подозреваемых попало семь лиц.
Стоит ли упоминать, что и в России аналогичных примеров предостаточно...
Существует и еще одна, третья форма практического инсайда – скрытый острый негатив. Эта форма инсайда предполагает, что инсайдер подготовился и выполнил заранее все необходимые действия, в результате чего не только получил доступ к интересующей его информации, но и совершил ее хищение (в виде копий). Убедившись, что его действия не раскрыты, инсайдер может пересмотреть конечную их цель с точки зрения получения им существенно больших, чем ожидалось ранее, дивидендов. Например, к ним может быть отнесена продажа инсайдером не одной, а сразу нескольких копий конфиденциальной информации с предварительным шантажом руководства компании и получением выкупа или же сдвиг активных действий с информацией по времени до наступления более выгодных для инсайдера условий. И такие случаи сейчас далеко не редкость, особенно в небольших и средних по размеру компаниях. Остановка действий инсайдера на этом этапе еще может помочь сократить размер убытков и последствий для компании в целом.
Инсайт vs инсайд
Таким образом, можно выделить три вида практического инсайда (см. рис. 2).
Позитивный – это наиболее гуманный вид инсайда, носящий предупредительный характер и не приводящий в большинстве случаев к серьезным реальным потерям в организации.
Злонамеренный инсайд – тот, который выполняется с целью получения немедленной выгоды в результате тщательно продуманных действий злоумышленника.
Остро негативный инсайд – наиболее изощренный в плане нанесения компании максимально возможных убытков, вплоть до ее полного разорения или поглощения. Этот вид инсайда может быть растянут во времени до неопределенных пределов, конечная цель инсайдера может делиться на этапы, представленные разными целями.
Рисунок 2. Виды и последствия практического инсайда
Практический инсайд сегодня – это реальный инструмент, который может одинаково эффективно сработать как во благо компании в единичных случаях, так и – в абсолютном их большинстве – во вред организации. Насколько хорошо и, главное, кем он может быть применим – основной вопрос для руководства любой компании, которой есть что защищать от посторонних в целях безопасности своего бизнеса и самого существования организации. Целенаправленная деятельность по построению полноценной системы защиты от практического инсайда включает в себя хорошо организованную работу с важной конфиденциальной и другой чувствительной информацией и допущенными к ней в компании людьми, а также предполагает разработку эффективных организационных мер и использование различных технических средств для осуществления действенного контроля за работой этой системы.