Инсайдеры - Узнайте все об инсайдерской угрозе

ФАКУЛЬТЕТ
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
Кафедра
«Информационная безопасность банковских
систем»
ОТЧЕТ
«Инсайдеры в банковской сфере. Портрет инсайдера. Методы защиты»
Исполнитель:
студент гр. Б9-03
Хлеборобов М. В.
(подпись, дата)
Принял доц. Каф. 41
Журин С.И.
Москва – 2009
1
РЕФЕРАТ
Отчет 21 страниц, 6 рисунков, 1 таблица, 10 источников.
ИНСАЙДЕР, ПОРТРЕТ ИНСАЙДЕРА, УТЕЧКИ, СТАТИСТИКА, БАНКИ, МЕТОДЫ
ВЫЯВЛЕНИЯ, МЕТОДЫ БОРЬБЫ.
В данной работе рассматриваются инсайдеры и их действия в банковской сфере.
Приводятся
статистические
данные,
позволяющие
сформировать
портрет
инсайдера.
Рассмотрены методы выявления инсайдерских инцидентов. Перечислены основные способы
борьбы с инсайдерами.
2
СОДЕРЖАНИЕ
Введение .................................................................................................................................................... 4
Инсайдеры............................................................................................................................................. 6
Узкое место ........................................................................................................................................... 9
Портрет инсайдера. ............................................................................................................................ 13
Утечки ................................................................................................................................................. 14
Инциденты .......................................................................................................................................... 15
Мотивация........................................................................................................................................... 16
Нетипичный инсайдер ....................................................................................................................... 16
Выявление фактов инсайдерства ...................................................................................................... 17
Борьба с инсайдерством .................................................................................................................... 19
Заключение .............................................................................................................................................. 21
3
Введение
Страшилки недавнего прошлого о хакерских атаках на системы организаций для
подавляющего числа систем неактуальны — обычно внешние физические и логические границы
организаций хорошо защищены. Чего часто не скажешь о внутренней информационной
инфраструктуре. Нередко доступ к любым информационным активам имеют едва ли не все
сотрудники банка, в том числе и те, кому по роду деятельности они не нужны. Что касается
порядка работы с этими активами, то в лучшем случае он хоть как-то формализован, во всех же
остальных — отсутствует как таковой.
Поэтому все активнее входит понятие «инсайдер», до сих пор относившееся
преимущественно к сфере рынков ценных бумаг (в США определено в 1933 году, в Европе — с
90-х годов прошлого века). «Виновата» в этом технологическая революция. Если прежде
служебная информация занимала множество шкафов и стеллажей, теперь она умещается на
нескольких дисках, так что «скачать» ее на электронный носитель и вынести за пределы банка —
почти минутное дело.
Инсайдер (англ, insider, от inside - буквально внутри) - лицо, имеющее в силу своего
служебного или семейного положения доступ к конфиденциальной информации о делах
компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с
широким владением акциями и их ближайших родственниках. В эту группу включаются также
лица,
добывающие
конфиденциальную
информацию
о
деятельности
корпорации
и
использующие ее в целях личного обогащения.
Нормативными документами Банка России понятие «инсайдер» определено еще в
Инструкции №1 «О порядке регулирования деятельности банков», где инсайдерами названы
«физические лица: члены Совета директоров банка (Наблюдательного совета), лица,
выполняющие функции единоличного исполнительного органа (директора, президенты,
председатели) и их заместители, члены коллегиального исполнительного органа, члены
кредитного совета (комитета), руководители материнских обществ и другие лица, которые могут
повлиять на решение о выдаче кредита (сотрудники банка, которые обладают реальными
возможностями
воздействовать
на
характер
принимаемого
решения
(например,
в
функциональные обязанности которых входит подготовка предложений о выдаче кредитов,
подготовка и оформление договоров о выдаче кредитов и т. д.), а также руководители дочерних
обществ, родственники инсайдеров (к категории родственников инсайдеров относятся лица,
4
определенные статьей 20 Кодекса законов о труде Российской Федерации) и лица, ранее
соответствовавшие критериям, определенным для инсайдеров».
В более поздней Инструкции №110И «Об обязательных нормативах банков» об
инсайдерах сказано лаконично: «физические лица, способные воздействовать на принятие
решения о выдаче кредита банком». Но сегодня даже это широкое определение, пожалуй,
оказывается узковатым.
За рубежом, где автоматизация и информатизация развивались более быстрыми темпами,
чем в России, соответственно раньше встала и проблема инсайдерских угроз. Причем
столкнулись с ней не только в «мирных» сферах. Министерство обороны США еще в 1998 году
учредило специальную комиссию для борьбы с этим злом. Инсайдера квалифицировали как
«любое лицо, которому разрешен или был разрешен доступ к информационной системе
Министерства обороны, будь это военнослужащий, гражданский служащий Министерства
обороны или служащий другого федерального агентства или частного сектора».
5
Инсайдеры
Рассмотрим результаты исследования 2006 CSI/FBI Computer Crime and Security Survey.
Справедливости ради отметим, что наши специалисты обычно скептически относятся к выводам
Западных аналитиков. Ведь все мы прекрасно понимаем, что информационная безопасность (ИБ)
в США и России — это, как говорят в Одессе, «две большие разницы». Тем не менее, на сей раз
следует сделать исключение по двум причинам.
Во-первых,
мы
можем
проследить
корреляцию
между
статистикой
ФБР
и
соответствующими выкладками российских аналитиков.
Во-вторых, американцы впервые в своем исследовании предложили респондентам
открытый вопрос (без вариантов ответа). Надо сказать, полученные результаты оказались весьма
неожиданными.
Вначале остановимся на ключевых выводах исследования 2006 CSI/FBI Computer Crime
and Security Survey. Итак, вследствие реализации угроз ИБ почти три четверти (74%) всех
финансовых потерь бизнеса вызваны четырьмя угрозами:
утечкой конфиденциальной
информации, кражей ноутбуков и мобильной техники, неавторизованным доступом и вирусными
атаками. При этом большинство респондентов (68%) серьезно опасаются внутренних угроз.
Практически каждая пятая компания (19%) считает, что на долю инсайдеров приходится
свыше 60% всего ущерба от угроз ИБ, а 7% респондентов убеждены, что инсайдеры несут
ответственность более чем за 80% всех потерь. Кроме того, свыше одной трети респондентов
(39%) винят инсайдеров более чем в 20% всех своих потерь, вызванных реализацией угроз ИБ.
Однако такой высокий уровень опасности не мешает подавляющему большинству организаций
(75%) замалчивать утечки и другие внутренние инциденты. Наконец, заключительный открытый
вопрос показал, что наибольшей опасносждут именно со стороны инсайдерских атак, то есть от
утечек персональной и конфиденциальной информации.
Довольно любопытно, что, вопреки маркетинговому давлению индустрии ИБ, аналитики
ФБР зафиксировали снижение числа инцидентов ИБ и средних финансовых убытков каждой
компании, нанесенных реализацией угроз ИБ. Другими словами, успешных атак стало меньше, а
те, что все-таки достигли цели, стали менее опасными. Однако, перечисляя ключевые выводы
исследования, мы уже указывали на озабоченность бизнеса проблемой инсайдеров.
За счет чего же тогда образуется столь позитивная динамика по совокупности всех угроз ИБ?
Оказывается, за последний год более чем на 60% снизился ущерб от таких распространенных
угроз, как неавторизованный доступ, вирусные атаки и атаки типа «отказ в обслуживании».
Именно эти три кита снизили все агрегированные показатели и даже перевесили стремительный
6
рост потерь от других угроз (например, потери в результате кражи ноутбуков и портативной
техники, подскочившие на 65%).
Если посмотреть на структуру самых опасных угроз ИБ (рисунок 1), то легко заметить,
что вирусные атаки и неавторизованный доступ сохранили за собой первое и второе место по
совокупному ущербу. Третье и четвертое места заняли соответственно кража ноутбуков и утечка
конфиденциальной информации. Эти угрозы демонстрируют неприятную для бизнеса динамику.
В то время как частота и средний ущерб от большинства угроз снижаются, как минимум, одна из
этих угроз — кража мобильной техники — движется в прямо противоположном направлении.
При этом аналитики ФБР отмечают, что кража классифицированной информации по числу
инцидентов и причиняемому ущербу осталась примерно на том же самом уровне, что и в
прошлом году. Между тем, согласно исследованию 2005 CSI/FBI Computer Crime and Security
Survey, средний ущерб вследствие утечки составил для каждой компании $355,5 тыс. за год. Для
сравнения: по сведениям того же источника, средний ежегодный ущерб от вирусной угрозы
составляет менее $70 тыс.
Рисунок 1 – Самые опасные угрозы ИБ по совокупному ущербу в долларах
7
По мнению аналитического центра InfoWatch, изменение структуры максимально опасных
угроз вполне логично. Вирусные атаки и неавторизованный доступ сдают свои позиции: число
инцидентов сокращается или, по крайне мере, не растет, а совокупные и средние убытки
стабильно снижаются из года в год. Почему так происходит? Потому что бизнес уже научился
более-менее эффективно противостоять вирусным атакам и неавторизованному доступу. Чтобы
убедиться в этом, достаточно посмотреть на применяемые сегодня средства ИБ. Мы не станем
приводить очередной рисунок из исследования ФБР, поскольку он практически не изменился за
прошедшие годы. Отметим лишь, что 98% респондентов используют межсетевые экраны, 97% —
антивирусы, 79% — антишпионские средства, 70% — серверные списки контроля доступа и 69%
— системы обнаружения вторжений. Это самые популярные технологии ИБ, предназначенные
для предотвращения вирусных атак и неавторизованного доступа. Между тем, средства для
защиты от угроз, ставших новыми «лидерами» (утечка конфиденциальной информации и кража
ноутбуков), далеко не так популярны.
Теперь ненадолго оставим отчет ФБР и обратимся к аналогичной российской статистике.
Уже не один год в нашей стране тоже проводится масштабное исследование ИБ, в рамках
которого компания InfoWatch опрашивает несколько сотен отечественных организаций.
Анкетирование более 300 компаний, проведенное в 2005 году, показало, что российский бизнес
так же, как и американский, довольно неплохо защищен от внешних угроз (рисунок 2), причем
популярностью пользуются все те же антивирусы, межсетевые экраны и средства контроля
доступа.
8
Рисунок 2 – Популярные средства IT-безопасности
Результаты российского исследования «Внутренние IT-угрозы в России ‘2005»,
представленные на рисунке 2, демонстрируют интереснейший контраст. В то время как бизнес
буквально забаррикадировался от внешних угроз, организации остаются почти полностью
беззащитными перед угрозами внутренними. Таким образом, если инсайдер захочет продать
кому-то конфиденциальную информацию или создать свою собственную подставную фирму, а
потом обокрасть работодателя, то его ничто не остановит.
Узкое место
Но вернемся к исследованию ФБР. Комментируя объемы ущерба, причиненного каждой
из названных выше четырех основных угроз, аналитики ФБР и Института компьютерной
безопасности крайне скептически относятся к тому, что респонденты смогли более или менее
точно определить объем убытков в связи с утечкой персональных данных или коммерческих
секретов.
Дело в том, что такие инциденты имеют множество долгосрочных отрицательных
последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение
клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления
убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что
внутренняя структура 74% всех финансовых потерь из-за угроз ИБ не поддается точному
определению.
9
На такие же проблемы указывают результаты исследования «Внутренние IT-угрозы в
России ‘2005»: подавляющее большинство отечественных организаций (62%) вообще
затрудняются подсчитать ежегодное количество утечек информации из своей компании (рисунок
3).
Рисунок 3 – Количество утечек конфиденциальной информации
Более того, как указывают эксперты InfoWatch, все четыре угрозы-лидера имеют очень
тесную взаимосвязь, и, похоже, именно это упустили из виду аналитики ФБР. Например,
похищение мобильного компьютера опасно именно тем, что может привести к утечке
конфиденциальных сведений. По данным IDC, кража всего одного корпоративного ноутбука
обходится компании в среднем в $4,6 тыс. за аппаратное обеспечение и $46 тыс. за потерянные
конфиденциальные документы. Как видите, цифры говорят сами за себя.
Посмотрим теперь на угрозу вредоносных кодов. Широко известны случаи, когда для
конкретной организации писались троянские программы, которые потом внедрялись в
корпоративную сеть с помощью инсайдеров. Разумеется, это делалось только для того, чтобы
выкрасть торговые секреты компании. Таким образом, налицо взаимосвязь четырех самых
опасных угроз — на практике часто бывает невозможно отделить ущерб одной из этих угроз от
остальных.
Вот почему названные угрозы нужно устранять одновременно, иначе 74% финансовых
потерь очень быстро перетекут к угрозе, оставшейся без внимания специалистов ИБ.
10
В подтверждение этих слов следует рассмотреть финансовые убытки, причиненные
компаниям в связи с реализацией внутренних угроз ИБ. К сожалению, российский бизнес пока не
научился подсчитывать ущерб от подобных угроз, так что снова обратимся к исследованию ФБР.
Прежде всего, лишь 32% респондентов полагают, что инсайдерские инциденты вообще не
принесли им денежных потерь за прошедший год (рисунок 4). Однако здесь снова нельзя обойти
вниманием сомнения аналитиков ФБР и Института компьютерной безопасности по поводу
точной оценки ущерба при реализации внутренних угроз, например, кражи конфиденциальной
информации и злонамеренного использования информационных ресурсов фирмы.
Рисунок 4 – Принесли ли вам инсайдеры финансовый ущерб?
Посмотрим теперь на финансовые потери вследствие реализации внутренних угроз. На
рисунке 5 представлены результаты опроса, пересчитанные для тех респондентов, которые
зафиксировали финансовые убытки из-за инсайдерских атак. Можно видеть, что почти для
четверти организаций (28%) инсайдеры представляют не просто основную, а критическую угрозу
ИБ. На их долю пришлось более 60% всего ущерба. Примерно для такой же группы
респондентов (30%) инсайдеры являются главной угрозой ИБ — доля потерь от внутренних атак
превышает 20%, но не дотягивает до 61%.
Рисунок 5 – Доля инсайдерских убытков в общем объеме финансовых потерь
11
Другими словами, инсайдерские инциденты, успешно реализовавшие угрозы ИБ, попрежнему составляют одну из основных статей расхода компаний.
Наконец, в последнем исследовании ФБР был впервые представлен следующий открытый
вопрос: «Как вы думаете, какой аспект обеспечения ИБ будет являться наиболее важным для
вашей организации в течение ближайших двух лет?»
Ответы 426 респондентов просуммированы в таблице 1.
Таблица 1 – Главные проблемы ИБ на ближайшие два года
Проблема
Число респондентов
Защита данных
73
Совместимость с нормативными актами 63
Защита от утечек и кражи личности
58
Вирусы и черви
52
Управление рисками
47
Контроль доступа
43
Тренинги персонала
43
Безопасность беспроводных сетей
41
Защита от инсайдеров
38
Между тем, детальный анализ ответов демонстрирует живописную картину. Несмотря на
выводы аналитиков, касающиеся опасности таких угроз ИБ, как вирусные атаки и
неавторизованный доступ, респонденты спокойно и уверенно указали, что больше всего их
заботит именно защита данных от утечек и инсайдеров.
Посмотрим на первую строку в таблице — «Защита данных». Это и есть предотвращение
той самой угрозы, которую в англоязычных странах называют data breach, а в России — «утечка
информации». Далее следует совместимость с нормативными актами. Кроме того, респонденты
отдельно указали американский закон SOX (SarbanesOxley Act of 2002), печально известный
своим параграфом № 404, который требует от бизнеса организовать внутренний контроль и
обеспечить целостность, защиту от искажения и гарантию конфиденциальности финансовой
отчетности и информационных активов.
12
Эта проблема отнюдь не чужда российским компаниям, ведь у нас тоже есть Кодекс
корпоративного управления ФСФР, Стандарт Центробанка по ИБ, закон «О персональных
данных» и т. д. Далее, на третьей строчке таблицы, указана такая задача, как защита от кражи
персональных данных, интеллектуальной собственности и т. п.
То есть респонденты напрямую выразили озабоченность проблемой утечек. Наконец, в
десятку главных угроз вошла и защита от инсайдеров. Другими словами, респонденты самыми
разными способами попытались донести до аналитиков свое беспокойство по поводу того, что в
России принято называть «утечки и инсайдеры». Кстати, следует отдать должное аналитикам
ФБР, весьма своевременно включившим открытый вопрос в свою анкету, — это позволило в
значительной мере уточнить реальные страхи респондентов.
Портрет инсайдера
Американцы выделили несколько категорий инсайдеров:

служащий — гражданский или военный, подрядчики (например, при привлечении
внешних организаций), работающий на полную ставку, работающий на неполную ставку,
временный;

пользователи,
имеющие
доступ
через
сети
—
другие
федеральные
агентства
(исполнительные, законодательные), подрядчики (например, использующие системы
участия в конкурсах), коллеги/университеты, зарубежные партнеры, агентства штатов и
местные;

провайдеры средств, систем и услуг информационных технологий.
Видимо, решению интересующей нас проблемы отвечает в большей степени именно
подобный подход (он учитывает возникающие отношения). Поскольку термин «инсайдер»
используется за пределами таких традиционных областей, как рынки ценных бумаг, логично
трактовать и понятие «инсайдерской информации» более широко — информация служебная,
внутренняя, конфиденциальная, коммерческая.
К сожалению, нет российской статистики фактов злоумышленной инсайдерской
деятельности в банковской и финансовой сферах, позволяющей сформировать «портрет»
внутреннего нарушителя. Однако за рубежом эти факты отслеживают и накапливают
специализированные службы. Исследования показали, что ситуации в банковской сфере имеют
свои особенности.
13
Утечки
Большинство инцидентов, исследованных в банковском и финансовом секторах, не были
технически тонкими или сложными. Обычно использовались не уязвимость информационных
систем или сетей, а правила бизнеса или политика организации. Виновниками же оказывались
лица, не имеющие отношения к технике или разбирающиеся в ней на уровне рядового
пользователя.

В 87 % случаев инсайдеры использовали простые команды зарегистрированных
пользователей. Лишь иногда применялись специфические технические знания о мерах
безопасности систем. Нет свидетельств того, что какой-либо инсайдер сканировал
компьютерные
системы
для
обнаружения
уязвимостей
для
их
последующего
использования.

В 70 % случаев инсайдеры использовали или пытались использовать системные
уязвимости в финансовых программах, процессах или процедурах (например, в проверке
бизнес-правил). В 61 % случаев использовали уязвимости, оставленные разработчиками в
конструкции
аппаратных
средств,
программном
обеспечении
или
сетевой
инфраструктуре.

В 78 % случаев инсайдерами были авторизованные пользователи. В 43 % случаев
инсайдер использовал свое имя и пароль, а в 26 % — имя и пароль других сотрудников.
Использовались и необслуживаемый терминал, имеющий подключение к системе, и
методы социального инжиниринга (например, получение доступа путем манипуляции
персоной или персонами, которые могут разрешить или облегчить доступ к системе или
данным).

Только 23 % инсайдеров использовали специфические технические знания, а 17 %
обладали уровнем доступа системного администратора.

И, наконец, 39 % инсайдеров не знали о существовании технических мер безопасности в
организации.
Цифры красноречивы. Для большинства инцидентов в банковском секторе не нужно
особенного технического мастерства, и они совершаются персоналом не техническим, а «ИТмалограмотными» сотрудниками функциональных подразделений.
14
Вывод напрашивается сам собой. Банку важно обеспечить безопасность своих
информационных активов от любых авторизованных пользователей: от лиц, ответственных за
ввод данных, до системных администраторов и руководителей среднего и более высокого звена.
Это в принципе вполне прогнозируемо. Например, в положениях введенного в действие
стандарта Банка России СТО БР ИББС 2006 отмечается, что «наиболее актуальные источники
угроз — на уровнях операционных систем, систем управления базами данных, банковских
технологических процессов».
Проведенные исследования показали, что требуется четкое разделение ролей, прав и
обязанностей персонала и контроль их соблюдения. Например, в одном из зафиксированных
случаев инсайдер, работавший на терминале с кредитными картами, использовал методы
социального инжиниринга, чтобы заполучить аутентификационную информацию от персонала,
выпускающего кредитные карты. Для этого оказалось достаточно изобразить (подкрепив обман
поддельным удостоверением) представителя авторизованного клиента, которому нужна помощь
в ремонте терминала. Получив нужную информацию, инсайдер просто перепрограммировал
терминал и стал… кредитовать свою кредитную карту.
Инциденты
Большинство инцидентов обдумывалось и планировалось заранее. Как правило, имелись
лица, знавшие о намерениях или планах злоумышленника — они часто были либо прямо
вовлечены в планирование инцидента, либо получали выгоду от его результата.

В 81 % инцидентов инсайдеры заранее планировали свои действия.

В 85 % инцидентов был кто-то, кроме инсайдера, кто имел полные или частичные знания
о намерениях инсайдера, его планах и/или деятельностях: лица, вовлеченные в инцидент
и/или имеющие от него пользу (74 %); сотрудники (22 %); друзья (13 %); члены семьи (9
%).

В 61 % случаев лица, знакомые с инсайдером, что-то знали о его намерениях, планах или
его даже о его деятельности.

В 31 % инцидентов присутствовали признаки того, что инсайдер чтото планирует:
хищение паролей административного уровня, копирование информации с домашнего
компьютера в систему организации, встречи с бывшими сотрудниками для помощи в
изменении финансовых данных.

В 35 % инцидентов инсайдер вел подготовительную работу.

В 65 % инцидентов инсайдеры не рассматривали возможных негативных последствий.
15
Итак, большинство инцидентов планировалось заранее, причем о намерениях инсайдера
знали другие. А это означает, что злоумышленника можно схватить за руку еще на стадии
подготовки. Профессионалы, работающие в службах корпоративной безопасности или в
правоохранительных органах, располагают методами, позволяющими раскрыть умысел на самых
ранних стадиях: при желании (и умении) всегда можно обнаружить определенные свидетельства
планирования, подготовки или уже ведущейся деятельности.
Можно перечислить целый ряд фактов, которые должны насторожить тех, кто отвечает за
информационную безопасность банка. Это, например, попытки организовать для нескольких
сотрудников общий пароль или создать необязательную общую учетную запись (логин/пароль).
Или, скажем, кто-то стремится получить авторизованный доступ к информационным активам за
пределами ответственности, пытается обойти технические средства защиты или попросту
игнорирует правила информационной безопасности.
Мотивация
Отдельно
хотелось
бы
выделить
еще
один
аспект
проблемы,
который
явно
просматривается в итоговых материалах исследований. Впрочем, результат этот вполне
предсказуем — большинство инсайдеров, 81 %, пошли на должностное преступление ради
финансовой выгоды, хотя лишь 27 % испытывали в этот момент материальные затруднения.
Однако никто из них, как оказалось, не хотел нанести ущерб родной компании или вред —
информационной системе.
Были, тем не менее, и «этические» мотивы: реванш (23 %), недовольство руководством
организации, внутренними культурой или политикой (15 %) и, наконец — желание заслужить
уважение (15 %).
Нетипичный инсайдер
Если и можно выделить какие-то типичные черты банковских и финансовых инсайдеров,
то роднит их, пожалуй, лишь то, что в своих организациях они не работали на технических
должностях, никогда не занимались атаками на уровне техники или хакерством и не
подозревались как проблемные служащие.

Возраст инсайдеров колебался в широком диапазоне: от 18 до 59 лет. «Одиночек» больше,
чем семейных (54 % против 31 %).
16

Служебное положение самое разное: в обслуживании работали 31 % инсайдеров, в
администрации — 23 %, в профильных подразделениях 19 % и 23 % — в технических
службах.

По мнению руководителей и коллег, очень немногие из инсайдеров были трудно
управляемыми или не внушающими доверия (15 и 4 %). Правда, 19 % инсайдеров коллеги
воспринимали как людей «не в настроении».

Необычное поведение перед инцидентом, обратившее на себя внимание начальства или
коллег, продемонстрировали 27 % инсайдеров. Кто-то жаловался на маленькую зарплату,
другой слишком часто звонил из офиса по сотовому. Были случаи отказа работать под
началом нового руководителя или вспышки недовольства по отношению к коллегам, а то
и некоторая «самоизоляция».

Более четверти инсайдеров (27 %) имели в прошлом неприятности, закончившиеся
арестом.
Выявление фактов инсайдерства
Как же бороться с уже случившимися и готовящимися преступлениями внутри компании?
Для начала их необходимо выявить. Как показывает практика, существует три основных способа
обнаружить инсайдера: случайно, благодаря внутреннему аудиту, либо с помощью внешней
компании.
Любопытно, что инсайдерские инциденты были обнаружены не только сотрудниками
службы безопасности, но порой и людьми, не работавшими в организации. Помогали же выявить
их различные процедуры, как ручные, так и автоматизированные.

В 61 % случаев инсайдеры были обнаружены лицами, не отвечающими за безопасность:
потребителями — 35 %, контролерами — 13 %, прочим персоналом — 13 %.

Среди
служб,
выявивших
инсайдеров,
оказались:
департамент
корпоративной
безопасности — в 4 % случаев, службы информационной безопасности или системных
администраторов — в 13 % и ответственные за информационные системы (данные) — в
17 % эпизодов.

По крайней мере, в 61 % случаев инсайдеров поймали с помощью неавтоматизированных
процедур, обратив внимание на затруднения во входе в системы и жалобы потребителей.
Помогли также ручная проверка счетов и информация из внешних источников.

26 % инсайдеров выявлены через аварии или сбои систем.

В 22 % случаев инсайдеров выявили через аудит или мониторинг.
17

В 74 % случаев после обнаружения личность инсайдера установили по системным
записям в журналах регистрации. В 30 % его личность помог установить внешний анализ
сетей, систем или данных, оборудования инсайдера на работе и дома.
Легко
увидеть,
что
современные
компании
предпочитают
искать
инсайдеров
самостоятельно, с помощью аудиторских проверок (20%), либо корпоративной службы
безопасности (28%). По сравнению с 2005 годом, популярность механизмов внутреннего
контроля выросла практически в 5 (!) раз - с 9% до 48%. А вот популярность внешнего аудита,
напротив, неуклонно падает.
По-видимому, данная тенденция объясняется растущим вниманием компаний к проблеме
внутренних экономических преступлений. Организации усиливают службу безопасности,
внедряют информационные системы защиты, регулярно проводят внутренний аудит. Как
следствие, количество случайно выявленных преступлений значительно упало – теперь их доля
составляет 21%. Два года назад случайно "всплывали" 35% случаев мошенничества.
Рисунок 6 – Методы выявления фактов мошенничества
Отметим, что большинство мер защиты по-прежнему имеют "реактивный" характер.
Служба безопасности стремится обнаружить инсайдера, а не предотвратить ее появление
18
заранее. Профилактическая работа, как правило, ведется лишь задним числом – заявляя о
громких инсайдерских случаях, СБ пугает недобросовестных сотрудников.
Эксперты Perimetrix полагают, что в будущем будет расти популярность "проактивных"
мер. Организациям надоело полагаться на авось и ждать, пока грянет инсайдерский гром, считают они. – Проще перекреститься заранее. Благо, сегодня существуют достаточно
качественные продукты, которые снижают вероятность утечки проприетарных данных и прочих
инсайдерских преступлений.
Борьба с инсайдерством
Меры, в общем-то, известны. Во-первых, неукоснительное следование принципам «знай
своего клиента» и «знай своего служащего», нашедшим отражение и в международных, и в
отечественных
стандартах
безопасности
банковской
деятельности.
Во-вторых,
строгая
регламентация и контроль деятельности персонала, а также — закрепленная в контрактах и
трудовых договорах ответственность за возможные нарушения. В-третьих, работа с персоналом и
повышение корпоративной культуры.
Понятно, что лучше не доводить ситуацию до инцидентов, а применять превентивные
меры, о чем сказано выше. В цепочке событий по разбору инцидентов: «выявление —
расследование — реагирование» — наиболее сложным является последний этап. Практика
расследований подобных инцидентов обсуждалась в рамках IV межрегионального форума
специалистов по информационной безопасности. В частности, один из выступающих сказал, что
«как показывает ряд «широко известных в узких кругах» примеров, сотрудники, продавшие
секретные данные конкурентам, часто избегают серьезных санкций. Даже те, чья вина в утечке
секретной информации была доказана, обычно просто увольняются «по собственному желанию»
без каких-либо дополнительных взысканий со стороны руководства».
Мотивов такого разрешения конфликта множество, но чаще всего имеет место банальный
шантаж. Так что и с этой точки зрения желательно выявлять опасность на ранних стадиях.
Основные методы защиты от инсайдеров, следующие:
 аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарткарты);
 аудит всех действий всех пользователей (включая администраторов) в сети;
19
 использование мощных программно-аппаратных средств защиты конфиденциальной
информации от инсайдеров;
 обучение сотрудников, отвечающих за информационную безопасность;
 повышение личной ответственности сотрудников;
 постоянная работа с персоналом, имеющим доступ к конфиденциальной информации
(инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению
информационной безопасности и т.д.);
 соответствие уровня зарплаты уровню конфиденциальности информации (в разумных
пределах!);
 шифрование конфиденциальных данных.
20
Заключение
Прогноз простой - информацию как воровали, так и будут воровать. В этом плане ничего
утешительного сказать нельзя. С другой стороны, конечно, будет развиваться нормативная и
техническая базы противодействия инсайдерам. На сегодняшний день уже есть несколько
интересных программно-аппаратных комплексов, которые позволяют достаточно плотно
контролировать работу пользователей в сети.
Будет совершенствоваться и нормативно-правовая база, касающаяся внутренних угроз.
Очень бы хотелось, чтобы законодательно увеличилась ответственность за хищение
информации. Люди воруют базы данных стоимостью в несколько миллионов долларов, а
наказание за такие преступления предусматриваются более легкие, чем за кражу трех мешков
картошки.
Тем не менее как бы ни совершенствовались средства контроля работы пользователей, природа
инсайдера, увы, не изменится.
Основную проблему состоит в том, что руководители организаций зачастую просто не
уделяют проблеме инсайда должного внимания. Защита информации требует довольно
серьезных материальных вложений. Надо содержать штат специалистов по ИБ, закупать и
внедрять технические средства, вести мониторинг работы пользователей, - другими словами,
проводить дорогостоящий комплекс мероприятий. Когда инсайдеры не наносят ущерб
организации, может показаться, что деньги потрачены впустую. Как только прекращается
выделение средств, и руководство перестает уделять внимание этому вопросу, возникают
серьезные проблемы. И в дальнейшем те, как правило, кто подвергся воздействиям этих угроз,
научившись на горьком опыте, начинают вкладывать деньги в комплекс мер по защите
информации от внутренних угроз.
21
Список использованных источников
1. Инсайдеры – ночной кошмар крупного бизнеса.
http://www.securitylab.ru/analytics/274364.php
2. Information Security Breaches Survey 2006. http://www.dti.gov.uk/files/file28343.pdf
3. В.А. Тарачев «Инсайдеры и аутсайдеры», «Индикатор», ММВБ, Ежемесячный
журнал по российскому рынку капиталов. № 1(39), январь 2001 г.
4. «Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector», National
Threat Assessment Center United States Secret Service, CERT® Coordination Center Software Engineering Institute Carnegie Mellon University, August 2004.
5. Принципы информационной безопасности стандарта Банка России СТО БР ИББС–
1.0–2004.
6. Банковские инсайдеры. http://bankir.ru/analytics/infosec/1367793
7. "Банковское обозрение", №6, июнь 2008 г. Статья: Найти инсайдера и обезвредить.
8. Ершов С. Как обнаружить инсайдера в банке.
http://www.cnews.ru/reviews/free/banks2008/articles/inside.shtml
9. Инсайдер – портрет на фоне банка. http://www.outsourcing.ru/content/rus/193/1930article.asp
10. Инсайдеры в банках. http://sb.adverman.com/modules/myarticles/article_storyid_3.html
22