Suojakeinot sisäisiä uhkia vastaan. Mestarikurssi "Tietoturva: suojaus sisäisiä uhkia vastaan"

SULAVKO A. E., jatko-opiskelija

Siperian valtion auto- ja moottoritieakatemia,

TEKNOLOGIAT TIETOTURVALLISUUDEN SISÄISILLE UHKILLE SUOJAUKSESTA *

Annotaatio. Puutteita olemassa olevissa suojakeinoissa tietoturvallisuuden sisäisiä uhkia vastaan on tunnistettu. Kuvataan nykyaikaisissa turvajärjestelmissä käytettyjä lähestymistapoja luottamuksellisen tiedon tunnistamiseen tiedonkulussa ja niiden tehokkuutta sekä perusvaatimuksia tällaisille järjestelmille. Sisäisten uhkien torjuntakeinojen tehostamiseksi hahmotellaan mahdollisia tulevaisuuden tutkimussuuntia.

Avainsanat: tietoturva, sisäiset uhat, sisältöanalyysi, kontekstin suodatus, suojaus luottamuksellisten tietojen vuotamista vastaan.

Johdanto. Nykyään suurimman uhan tietoturvalle (jäljempänä tietoturvallisuus) muodostavat sisäiset hyökkääjät. Tämä uhka kasvaa joka vuosi. Ajat, jolloin yritysjohtajat pelkäsivät hakkereiden ja virusten hyökkäyksiä, ovat nyt menneisyyttä. Tietenkin tämän luokan uhat muodostavat edelleen suuren vaaran, mutta yritykset ovat eniten huolissaan yritystietojen ja henkilötietojen katoamisesta ja vuotamisesta. Tästä ovat osoituksena lähes minkä tahansa tietoturva-alan tutkimuksen tulokset eri hankkeiden puitteissa (kuvat 1, 2).

Kuva 1. Vastaajien mukaan vaarallisimmat kyberturvallisuusuhat

* Työ tehtiin ohjelman "Innovatiivisen Venäjän tieteellinen ja tieteellis-pedagoginen henkilöstö vuosia", sopimus nro P215, 22.7.2009, puitteissa.

Venäläisen Perimetrixin analyyttisen keskuksen tekemän tutkimuksen ”SISÄPIIRIUHAT VENÄJÄ '09” (kuva 1) tulosten mukaan on selvää, että yrityksen sisältä lähtevät uhat antavat kokonaisuutena korkeamman vaaraluokituksen. kuin ulkopuolelta lähteviä uhkia.

Kuva 2. Sisäisten ja ulkoisten tietoturvaloukkausten vaaran suhde

Tämä tilanne ei ole havaittavissa vain Venäjällä. Teknisten raporttien TIETOTURVALLISUUSTUTKIMUS 2006 ja 2008 mukaan myös sisäiset vaaratilanteet ovat etusijalla ulkoisiin nähden. Viime vuosina pienten ja keskisuurten yritysten edustajien pelko sisäisistä tapahtumista on lisääntynyt merkittävästi (kuvio 2). Vuodoista kärsivät paitsi yritysten edustajat myös valtion virastot ympäri maailmaa. Tämän osoittavat maailmanlaajuisen InfoWatch-tutkimuksen tulokset (kuva 3).

Kuva 3. Tapahtumien jakautuminen organisaatiotyypin mukaan

Esitetyistä materiaaleista käy selvästi ilmi, että sisäisten uhkien torjunta on nykyään kiireellisempi kuin ulkoisten uhkien torjunta. On huomattava, että tämän päivän vaarallisin uhka on luottamuksellisten tietojen vuotaminen (kuva 1).

Sisäisten uhkien torjuntakeinot ja menetelmät. Sisäpiiriuhkien torjumiseksi tehokkaasti on tarpeen tunnistaa nykyisten turvatoimien puutteet tällä alueella. Sisäisiä turvajärjestelmiä on useita.

Valvonta- ja auditointijärjestelmät ovat hyvä työkalu tapausten tutkinnassa. Nykyaikaisten auditointijärjestelmien avulla voit tallentaa lähes kaikki käyttäjän toimet. Näiden järjestelmien haittapuolena on kyvyttömyys estää vuotoja, koska se edellyttää tapahtumiin reagointia ja päätösten tekemistä järjestelmän, joka tunnistaa, mikä toimenpidesarja muodostaa uhan ja mikä ei. Jos rikkomukseen ei reagoida välittömästi, tapahtuman seurauksia ei voida välttää.

Vahvat todennusjärjestelmät suojaavat luvattomalta pääsyltä tietoihin. Ne perustuvat kaksi- tai kolmivaiheiseen todennusprosessiin, jonka tuloksena käyttäjälle voidaan myöntää pääsy pyydettyihin resursseihin. Tällaisilla keinoilla voidaan suojata tietoja "asiantuntemattomalta" työntekijältä, mutta ei sisäpiiriläiseltä, jolla on jo pääsy suojattuun tietoon.

Median salaustyökalut. Tämän luokan ohjelmat suojaavat tietovuodolta, jos media tai kannettava tietokone katoaa. Mutta jos sisäpiiriläinen siirtää median yhdessä avaimen, jolla tiedot on salattu, toiselle osapuolelle, tämä suojausmenetelmä on hyödytön.

Vuodon havaitsemis- ja estojärjestelmät (Data Vuoto Ennaltaehkäisy, DLP ). Näitä järjestelmiä kutsutaan myös järjestelmät luottamuksellisten tietojen suojaamiseksi sisäisiltä uhilta(jäljempänä vuodonsuojajärjestelmät). Nämä järjestelmät valvovat tietovuotokanavia reaaliajassa. On olemassa monimutkaisia (kattaa useita vuotokanavia) ja kohdennettuja (joita kattaa tietyn vuotokanavan) ratkaisuja. Näissä järjestelmissä käytetään ennakoivaa teknologiaa, jonka ansiosta ne eivät vain rekisteröi tietoturvaloukkauksen tosiasiaa, vaan estävät myös itse tietovuodon. Tällaisen ohjauksen laatu riippuu tietysti suoraan järjestelmän kyvystä erottaa luottamukselliset tiedot ei-luottamuksellisista tiedoista, eli käytetyistä sisällön tai kontekstin suodatusalgoritmeista. Useimmissa nykyaikaisissa vuodonestojärjestelmissä on media- ja tiedostosalaustoimintoja (tällaisia järjestelmiä kutsutaan myös Tietosuoja ja valvonta (IPC)). He voivat käyttää suojattua tiedontallennustilaa, erityisesti krypto-säilöjä, jotka tiedostoja käytettäessä ottavat huomioon salausavaimen lisäksi myös erilaiset tekijät, kuten käyttäjän käyttöoikeustason jne.

Sisäiset uhkien suojausjärjestelmät ovat nykyään ainoa ratkaisu, jolla voidaan estää vuodot reaaliajassa, hallita käyttäjien toimia ja tiedostoilla suoritettuja prosesseja sekä tunnistaa luottamukselliset tiedot tietovirrasta. Sellaisen järjestelmän tarjoaman suojan haavoittuvuuden määrittämiseksi on tarpeen tarkastella lähemmin niiden päätoimintoja ja ominaisuuksia sekä menetelmiä, joita nämä järjestelmät käyttävät sisällön/kontekstikohtaisen suodatuksen toteuttamiseen.

Kaikki olemassa olevat menetelmät luottamuksellisen tiedon tunnistamiseksi perustuvat kollektiivisesti useiden pohjimmiltaan erilaisten lähestymistapojen synteesiin.

Etsi allekirjoituksia. Yksinkertaisin menetelmä sisällön suodattamiseen on etsiä tietovirrasta tietty merkkijono. Joskus kiellettyä merkkijonoa kutsutaan "lopetussanaksi". Tekniikka toimii vain tarkkojen ilmaisujen yhteydessä, ja se voidaan saavuttaa helposti yksinkertaisesti korvaamalla merkit analysoitavassa tekstissä.

Etsi säännöllisiä lausekkeita (maskimenetelmä). Jollakin säännöllisen lausekkeen kielellä määritellään "maski", tietorakenne, jota pidetään luottamuksellisena. Useimmiten tätä menetelmää käytetään henkilötietojen (TIN, tilinumerot, asiakirjat jne.) määrittämiseen. Menetelmän haittana on se, että siinä on suuri määrä vääriä positiivisia tuloksia.

Digitaalinen sormenjälkimenetelmä. Viitetiedoista otetaan "sormenjälki" hash-funktiolla. Seuraavaksi sormenjälkeä verrataan analysoidun tiedon fragmentteihin. Haittapuolena on, että tiivistefunktiota käytettäessä tekniikka toimii vain tarkkojen osumien kohdalla. On olemassa algoritmeja, jotka sallivat pieniä muutoksia analysoitavaan tietoon verrattuna viitteeseen (enintään 20–30 %). Vuotosuojajärjestelmien kehittäjät sulkevat nämä algoritmit.

Suojausjärjestelmille sisäisiä uhkia vastaan on tunnusomaista myös useiden lisävaatimusten (vuotosuojausjärjestelmiin kuulumisen kriteerit) noudattaminen. Tutkimustoimisto Forrester Research esitti tärkeimmät vaatimukset tälle suojausjärjestelmien luokalle:

 monikanavainen(kyky valvoa useita tietovuotokanavia);

 yhtenäinen hallinta(yhtenäisten tietoturvapolitiikan hallintatyökalujen saatavuus, kyky analysoida tapahtumia kaikissa valvontakanavissa yksityiskohtaisten raporttien luomisen avulla);

 aktiivinen suojaus(järjestelmän tulee paitsi havaita, myös estää tietoturvaloukkaukset);

 sisällön ja kontekstuaalisen analyysin yhdistelmä(tässä tapauksessa kontekstuaalisen analyysin tulee sisältää tunnisteiden lisäksi käyttäjän ja sovelluksen toiminnan analysointi).

Kuten näette, esitetyt vaatimukset eivät sisällä tarkastelua, kuka tarkalleen työskentelee käyttötilillä tietyllä hetkellä.

Nykyään on olemassa melko paljon vuodonsuojajärjestelmiä ja toiminnaltaan niitä vastaavia tuotteita. Joidenkin ratkaisujen pääominaisuudet ja toiminnot (päätettiin valita 10 suosituinta) on esitetty taulukossa 1.

Markkinoilla olevilla vuodonsuojajärjestelmillä ei ole kykyä tunnistaa käyttäjää käyttämällä "tyypillistä työskentelykuvaa järjestelmässä". Olemassa olevat ratkaisut eivät anna sinun määrittää, kuka todella on tietokoneen ääressä. Tätä varten on turvauduttava videovalvontaan, mikä ei ole aina mahdollista käytännössä.

Ensimmäiset vuodonsuojajärjestelmät käyttivät pääasiassa sisällön suodatusmenetelmiä. Mutta niiden tehokkuus osoittautui alhaiseksi, koska käytännössä tällaiset menetelmät tuottavat melko suuren prosenttiosuuden ensimmäisen ja toisen tyypin virheistä. Gartnerin mukaan Hype Cycle of Information Security -raportissa vuodelta 2007 olemassa olevien sisällönsuodatusmenetelmien maksimiluotettavuus on 80 %, eikä viime vuosina ole tapahtunut merkittäviä muutoksia tällaisten algoritmien tehokkuuden lisäämisen suunnassa. Täten, Suurin todennäköisyys luottamuksellisten tietojen oikealle tunnistamiselle sisällön suodatusalgoritmeilla tietovirrassa (asiakirja, tiedosto, liikenne jne.) ei nykyään ylitä 0,8. Ja tämä todennäköisyys voidaan saavuttaa käyttämällä kaikkia lueteltuja lähestymistapoja sisällön analysointiin (säännölliset lausekkeet, allekirjoitukset, kielelliset menetelmät jne.). Tämä indikaattori on alhainen (paljon alempi kuin kehittäjän ilmoittamat ominaisuudet) eikä täytä tietoturvavaatimuksia.

Taulukko 1 – Suojausjärjestelmien päätoiminnot sisäisiä uhkia vastaan

Nimi tuote	sisältö suodatus	kontekstuaalinen suodatus (mikä vihjaa kontti- lopullinen analyysi)		Salaus	Kriteeri kanavointi, yhdistäminen vaelsi hallinta, aktiivinen suoja,
Liikennevalvonta +	allekirjoitukset, morfologia			suojattu astiat
	morfologia, digitaalinen tulostaa		ontologiat	astiat
	digitaalinen tulostaa
	allekirjoitukset, digitaalinen tulostaa			integroitu salaus
	allekirjoitukset, digitaalinen tulostaa			integroitu salaus
	allekirjoitukset, digitaalinen tulostaa			integroitu salaus
Tietojärjestelmä SMAP ja SKVT Jet Watch	allekirjoitukset, säännöllinen ilmaisuja

Toisen sukupolven vuodonsuojajärjestelmät käyttävät säiliöanalyysiä. Tämä lähestymistapa sisältää arkaluontoisten tietojen yksiselitteisen tunnistamisen streamissa tiedostomääritteen (tunnisteen) avulla. Mutta ilmeisestä determinismistä huolimatta tällainen järjestelmä tekee oikean päätöksen edellyttäen, että se luokittelee tiedot oikein, minkä se on aiemmin suorittanut olemassa olevilla menetelmillä. Mutta kaikki olemassa olevat luokittelumenetelmät (todennäköisyyspohjaiset, kielelliset jne.) perustuvat myös sisällönsuodatusmenetelmiin (sisältöanalyysi), jotka, kuten edellä mainittiin, eivät ole läheskään täydellisiä. On tarpeen luoda ja kehittää menettelyt tarrojen kiinnittämiseksi uusiin ja saapuviin asiakirjoihin sekä järjestelmä tietojen siirtämisen estämiseksi merkitystä säiliöstä merkitsemättömään ja tarrojen asettamiseen luotaessa tiedostoja alusta alkaen. Kaikki tämä on erittäin monimutkainen tehtävä ja riippuu myös sisällön analysointitehtävästä. Kuten näette, deterministisen suodatuksen käsitettä ei voida käyttää erillään sisällön suodatuksesta, eikä sisällön suodatusmenetelmiä voida eliminoida edes teoreettisesti.

Uuden sukupolven vuodonsuojajärjestelmät (IAS RSKD, tieto- ja analyyttiset järjestelmät luottamuksellisten tietojen salassapitoon) lupaavat päästä eroon sisällön ja kontekstuaalisten menetelmien puutteista käyttämällä niitä jokaista siinä tapauksessa, missä se on tehokkainta. Mutta kahden epätäydellisen ja riippuvaisen teknologian yhdistelmä ei voi tuottaa merkittävää parannusta.

Johtopäätös. Yhteenvetona edellä olevista tiedoista voimme päätellä, että huolimatta luottamuksellisten tietojen tunnistamiseen käytettävissä olevien algoritmien suuresta määrästä, ne kaikki eivät ole tehokkaita. Sisäisten uhkien ongelman toistumisen syynä on organisaatioiden haavoittuvuus niille ja tehokkaan ratkaisun puuttuminen niitä vastaan. Lähes kaikki yritykset käyttävät ohjelmisto- ja/tai laitteistosuojaustyökaluja, jotka on suunniteltu torjumaan ulkoisia uhkia (virukset, palomuurit, IDS jne.) ja torjumaan niitä varsin tehokkaasti. Sisäisiä uhkia vastaan suojautuvista keinoista (vuototurvajärjestelmät) vain hyvin pieni osa yrityksistä käyttää niitä (kuva 4), vaikka tarve näille keinoille on objektiivisesti olemassa. Tietoturvamarkkinat eivät vielä pysty tarjoamaan täydellistä ratkaisua yritysten tietojen tehokkaaseen suojaamiseen, ja olemassa olevat ratkaisut eivät tarjoa riittävää suojaustasoa ja niiden hinta on korkea (lisenssi 1000 tietokoneelle maksaa noin 100 - 500 tuhatta dollaria).

Kuva 4. Suosituimmat tietoturvatyökalut

On tarpeen parantaa sisällönsuodatustekniikoita, kehittää uusia menetelmiä luottamuksellisen tiedon tunnistamiseen, käsitteellisesti muuttaa lähestymistapoja sen tunnistamiseen. On suositeltavaa tunnistaa paitsi tekstin semanttinen sisältö, myös sen kirjoittaja. Hyökkääjä voidaan tunnistaa tunnistamalla tekstin kirjoittaja (kun tämä teksti ylittää organisaation rajan), jonka käyttäjä on kirjoittanut ja joka sisältää luottamuksellisia tietoja. Tämä lähestymistapa voidaan toteuttaa käyttämällä sisällön analysointimenetelmiä yhdessä biometristen menetelmien kanssa käyttäjän tunnistamiseksi näppäimistön käsialalla. Ottaen huomioon paitsi tekstin staattiset ominaisuudet (merkitys), myös tekstinsyötön dynamiikka, on mahdollista tunnistaa tekstin kirjoittaja suurella todennäköisyydellä.

"Sisäisiltä uhilta suojautuminen viestintäyrityksissä"

Johdanto

1. Tunnetuimmat sisäpiiritapaukset televiestinnän alalla

2. Sisäpiiriläiset

3. Sisäisiä uhkia vastaan suojaavat lait

3.1.Laki- ja säädösmääräykset

3.2.Kansainvälisten standardien mukainen sertifiointi

4. Tilastollinen tutkimus

5. Menetelmät sisäisten vuotojen estämiseksi

Johtopäätös

Luettelo käytetystä kirjallisuudesta

JOHDANTO

Aiheen relevanssi johtuu siitä, että viestintäpalvelujen tarjonnan massiivisuuden vuoksi teleyritysten tietokantoihin voi kertyä miljoonien ja kymmenien miljoonien kansalaisten tietueita. He ovat niitä, jotka tarvitsevat vakavimman suojelun. Kuten käytäntö on osoittanut, vuodon vaaran huomiotta jättämisen seurauksena yritykset ovat vaarassa käyttää satoja miljoonia dollareita PR-kampanjoihin, oikeuskuluihin ja uusiin keinoihin asiakkaiden henkilötietojen suojaamiseksi.

Tietosuojan erityispiirteet teleyrityksissä ilmenee suojattavien tietojen luonteessa. Kaikki tiedot on tallennettu tietokantoihin, jotka sijaitsevat operaattorin IT-infrastruktuurissa. Varkaudet ovat täynnä useita negatiivisia seurauksia kerralla. Ensinnäkin tämä voi vahingoittaa yrityksen mainetta, mikä ilmenee olemassa olevien asiakkaiden ulosvirtauksena ja vaikeuksina houkutella uusia. Toiseksi yritys rikkoo lain vaatimuksia, mikä voi johtaa lisenssin peruuttamiseen, oikeudenkäyntikuluihin ja kuvalle aiheutuviin lisävaurioihin.

Työn tarkoituksena on tutkia viestintäyritysten suojaamista sisäisiltä uhilta.

Työn tavoitteet ovat:

Tietoliikennealan tunnetuimpien sisäpiiritapausten huomioiminen;

Sisäisten rikkojien analyysi;

Sisäisiltä uhkilta suojaamisen alan lakien opiskelu: oikeudellinen ja lainsäädännöllinen sääntely ja sertifiointi kansainvälisten standardien mukaisesti;

Tilastollisen tutkimuksen tutkimus;

Harkitse menetelmiä sisäisten vuotojen estämiseksi.

Teos koostuu viidestä luvusta.

Ensimmäisessä luvussa tarkastellaan tunnetuimpia tietoliikenteen sisäpiiritapauksia, toisessa luvussa sisäisiä loukkaajia, kolmannessa luvussa analysoidaan lainsäädäntökehystä suojautumisessa sisäisiltä uhilta, neljännessä luvussa tarkastellaan tilastotutkimusta ja viidennessä luvussa kerrotaan. menetelmiä sisäisten vuotojen estämiseksi.

Johtopäätös sisältää johtopäätökset tehdystä tutkimuksesta.

1. Tunnetuimmat sisäpiiritapaukset

televiestinnän alalla

Tosielämän tapahtumat ovat selkein esimerkki sisäpiiriuhan vakavuudesta. Tämän vaaran laiminlyönti vuonna 2006 johti suureen skandaaliin Yhdysvalloissa. Toimittajat ostivat 90 dollarilla listan Yhdysvaltain entisen presidenttiehdokkaan kenraali Wesley Clarkin saapuvista ja lähtevistä puheluista, ja amerikkalainen yleisö yllättyi huomatessaan, että ensinnäkin puhelintiedot eivät ole lain suojaamia ja toiseksi ovat erittäin huonoja. suojattu matkapuhelinoperaattoreiden viestinnällä.

Tammikuussa 2007 uutistoimistot raportoivat yhdestä "ei-ilmeisestä" vuodosta. Corbina Telecomin matkaviestintäkäyttäjien tietokanta on ilmestynyt Internetiin: nimet, puhelinnumerot, takuumaksut lähes 40 tuhannelta tilaajalta, mukaan lukien useat yrityksen ylin johtajat. Corbinan kommentit rauhoittivat asiakkaita jossain määrin. Todennäköisesti uuden tietokannan varjolla tarjottiin tietoja 4 vuotta sitten. Sitten sisäpiiriohjelmoija itse asiassa julkisti tiedot yrityksen tilaajista, ja tänä aikana tieto menetti lähes kokonaan merkityksensä.

Kymmenen eniten julkistanutta sisäpiiritapausta sisälsi japanilaisen matkapuhelinoperaattorin KDDI:n asiakaskunnan varkauden. Uhkattuaan paljastaa tietoja suuresta tietovuodosta, sisäpiiriläiset vaativat 90 tuhatta dollaria japanilaiselta KDDI-yhtiöltä, maan toiseksi suurimmalta matkapuhelinoperaattorilta. Uhkailujensa paikkansapitävyyden osoittamiseksi kiristäjät antoivat toukokuussa 2006 KDDI:n edustajille CD-levyjä ja USB-muistitikkuja, joissa oli yksityisiä tietoja, ja istuttivat ne tarkastuspisteeseen. Yrityksen johto ei kuitenkaan huomioinut rikollisten vaatimuksia ja kääntyi lainvalvontaviranomaisten puoleen. Poliisi seurasi kahden viikon ajan kiristäjien ja KDDI:n välisiä neuvotteluja ja pidätti sitten epäillyt. Tutkimus osoitti, että neljän miljoonan KDDI-asiakkaan yksityisiä tietoja sisältävä tietokanta joutui kiristäjien käsiin. Jokainen tietokanta sisälsi jokaisen asiakkaan nimen, sukupuolen, syntymäajan, puhelinnumerot ja postiosoitteet. Kaikki nämä tiedot ovat ihanteellisia identiteettivarkauksille. Ylin johto on vakuuttunut siitä, että yksi työntekijöistä kopioi tiedot tarkoituksella ja vei ne yrityksen ulkopuolelle.

Yhteensä yli 200 työntekijällä oli pääsy varastettuihin tietoihin.

Yhtä korkeatasoinen tapaus tapahtui lähempänä Venäjää: valkovenäläisen matkapuhelinoperaattorin Velcomin tietokannan vuoto. Toimittajat ostivat tekstitiedoston, jossa oli tietoja 2 miljoonan tilaajansa puhelinnumeroista ja nimistä. Samaan aikaan lehdistö toteaa, että Velcomin tietokannat tulevat säännöllisesti julkisiksi: vuodesta 2002 lähtien on julkaistu vähintään kuusi versiota, ja joka kerta tietoja on täydennetty. Samaan aikaan MTS-tietokannat puuttuvat edelleen Valko-Venäjän Internetistä. Kritiikin aallon edessä Velcom totesi, että Valko-Venäjän lait eivät suojaa kansalaisten henkilötietoja, mikä tarkoittaa, että Velcomia vastaan ei voi esittää oikeudellisia vaatimuksia. Operaattori syytti vuodosta pankkia, jolle asiakastietokanta siirrettiin "jotta [pankin] työntekijät voisivat tarkistaa ilmoitettujen tietojen oikeellisuuden maksaessaan viestintäpalveluja". Tämän jälkeen Velcom "harkintaa mahdollisuutta tehdä kanteen suojellakseen liikemainettaan". Aika näyttää, mihin menettely johtaa, mutta toistaiseksi sisäpiiriläiset välttelevät liian usein vastuuta.

Lokakuu 2006 Intialaisen telealan AcmeTelePowerin sisäpiiriläiset varastivat innovatiivisen kehitystyön tulokset ja siirsivät ne kilpailijalle LamdaPrivateLimitedille. Ernst & Youngin arvioiden mukaan Acmen välittömät taloudelliset tappiot olivat 116 miljoonaa dollaria. On kummallista, että immateriaaliomaisuus "vuotettiin" yleisimmällä tavalla - sähköpostitse. Tämän jälkeen AcmeTelePower suunnittelee siirtävänsä liiketoimintansa Intiasta kokonaan Australiaan.

2. sisäiset rikolliset

Monet organisaatiot ovat tehneet tutkimusta sisäisten vuotojen alalla. Suurimmat ja tunnetuimmat ovat Ponemon Instituten suorittamat Uncertainty of Data Breach Detection -tutkimukset; länsimaisten analyytikoiden tutkimus: CSI/FBIComputerCrimeandSecuritySurvey. Taulukko 1 havainnollistaa yhtä tällaista tutkimusta.

Pöytä 1. Vaarallisimmat kyberturvallisuusuhat kokonaisvahingoilla dollareina

Uhat	Vahinko (dollareissa)
Virukset	$ 15 691 460
Luvaton pääsy	$ 10 617 000
Kannettavan tietokoneen varkaus	$ 6 642 560
Tietovuoto	$ 6 034 000
Palvelunestohyökkäys	$ 2 992 010
Taloudellinen petos	$ 2 556 900
Verkon väärinkäyttö tai postia sisäpiiriläisille	$ 1 849 810
Televiestintäpetos	$ 1 262 410
Zombie-verkostot organisaatiossa	$ 923 700
Järjestelmän hakkerointi ulkopuolelta	$ 758 000
Tietojenkalastelu (organisaation puolesta)	$ 647 510
Langattoman verkon väärinkäyttö	$ 469 010
Sisäpiiriläisten harjoittama Internet-viestintäpalvelujen väärinkäyttö	$ 291 510
Julkisten verkkosovellusten väärinkäyttö	$ 269 500
Tietojen ja verkkojen sabotointi	$ 260 00

Voimme vain lisätä, että FBI:n ja Computer Security Instituten analyytikot ovat vahingon suuruutta koskevissa kommenteissaan skeptisiä, että vastaajat pystyivät määrittämään enemmän tai vähemmän tarkasti henkilötietojen tai liikesalaisuuksien vuotamisen aiheuttaman vahingon määrän. Tällaisilla tapauksilla on monia pitkäaikaisia kielteisiä seurauksia. Esimerkiksi yleisen mielipiteen heikkeneminen, maineen heikkeneminen ja asiakaskunnan väheneminen. Kaikki tämä tapahtuu vähitellen ja kestää viikkoja ja kuukausia. Ja vuodon vuoksi menetettyjen voittojen muodossa olevien tappioiden tunnistaminen kestää vähintään vuoden. Tietoturvauhkista johtuvien taloudellisten menetysten sisäistä rakennetta ei siis voida tarkasti määrittää.

Yleisesti ottaen tiedonsuojaus organisaatioissa sisältää:

· joukko tietokoneita, jotka on kytketty toisiinsa verkossa;

· mielivaltaisilla tiedonsiirtokanavilla toteutetut viestintäkanavat, joiden kautta loogisten yhteyksien verkko toteutetaan fyysisesti;

· luottamuksellisten tietojen vaihto verkon sisällä tiukasti sallittujen loogisten yhteyksien mukaisesti

· Integroitu monitasoinen suojaus luvattomalta pääsyltä ja ulkoisilta vaikutuksilta

· loogisten yhteyksien rakenteen ja kulunvalvonnan tiukka keskitetty asetus verkon sisällä

· verkon loogisen rakenteen riippumattomuus tiedonsiirtokanavien tyypeistä.

Useimmat yritykset ovat jo pitkään rakentaneet suojan ulkoisia uhkia vastaan, ja nyt niiden on suojattava takaosaa. Sisäisten uhkien joukossa on useita yleisimpiä tapoja aiheuttaa vahinkoa:

· luottamuksellisten tietojen tallentaminen tai käsittely järjestelmään, jota ei ole tarkoitettu tähän tarkoitukseen;

· yrittää kiertää tai rikkoa turva- tai auditointijärjestelmiä ilman lupaa (paitsi tietoturvatestauksen tai vastaavan tutkimuksen yhteydessä);

· muut sisäisen verkon turvasääntöjen ja menettelyjen rikkomukset.

On olemassa useita tapoja vuotaa luottamuksellisia tietoja:

o postipalvelin (sähköposti);

o web-palvelin (avoimet sähköpostijärjestelmät);

o tulostin (asiakirjojen tulostaminen);

o FDD, CD, USB-asema (kopiointi medialle).

Ennen kuin siirrytään analyyttisiin laskelmiin, on tarpeen vastata kysymykseen, mitä kutsutaan sisäiseksi uhaksi. Tämän määritelmän merkitystä lisää entisestään se, että sabotaasi on vain osa sisäisiä uhkia, on erotettava toisistaan sabotoijat ja esimerkiksi kilpailijoille luottamuksellisia tietoja "vuotavat" sisäpiiriläiset.

Yrityssabotaasi on yritykselle haitallista toimintaa, jonka sisäpiiriläiset tekevät haavoittuneista ylpeydestä, kostonhalusta, raivosta ja muista tunneperäisistä syistä. Huomaa, että tilava termi "sisäpiiriläinen" tarkoittaa yrityksen entisiä ja nykyisiä työntekijöitä sekä sopimustyöntekijöitä.

Yrityssabotaasi tehdään aina tunneperäisistä, joskus irrationaalisista syistä. Sabotoijaa ei koskaan ohjaa halu ansaita rahaa tai tavoittaa taloudellista hyötyä. Tämä itse asiassa erottaa sabotoinnin muista sisäpiirin uhista.

Yhdysvaltain salaisen palvelun tutkimuksessa todettiin, että 98 %:ssa tapauksista sabotoija on mies. Nämä motiivit ovat kuitenkin seurausta aiemmista tapahtumista, jotka ovat saaneet aikaan työntekijän levottomuuden (taulukko 2). Analyytikot arvioivat, että useimmissa tapauksissa sabotaasi edeltää epämiellyttävä työtapaus tai sarja sellaisia tapauksia.

Pöytä 2 Sabotaasi edeltävät tapahtumat

Lähde CE RT

Monet sabotoijat sabotoinnin aikaan ovat jo uhriyrityksen entisiä työntekijöitä, joilla oli jostain syystä pääsy sen tietoresursseihin (todennäköisesti järjestelmänvalvojan laiminlyönnistä). Huomaa, että tämä on lähes puolet kaikista tapauksista.

Kuten CERT-tutkimus osoitti, lähes kaikki yrityssabotöörit ovat tavalla tai toisella tietotekniikkaan liittyviä asiantuntijoita.

Pöytä 3 Tyypillisen sabotöörin muotokuva

Lähde CE RT

Näin ollen sabotoijan luotettavimmista ominaisuuksista voidaan tunnistaa vain kaksi: hän on mies, teknisen osaston työntekijä. Yhdeksän kymmenestä sabotaasista on tavalla tai toisella tietotekniikkaan liittyvien ihmisten tekemiä. Luottamuksellisten tietojen suojaamiseen sisäpiiriläisiltä suojaavia järjestelmiä kehittävän InfoWatchin asiantuntijoiden mukaan syy tähän ammatilliseen kuulumiseen on näiden työntekijöiden psykologisissa ominaisuuksissa. Kaksi esimerkkiä elämästä antavat meille mahdollisuuden ymmärtää ongelmaa tarkemmin, ja ne kuvaavat selkeimmin IT-ammattilaisten tyypillisiä luonteenpiirteitä.

”Työskentelin keskisuuressa ohjelmistoyrityksessä. Minulla oli järjestelmänvalvojan oikeudet käyttäessäni pääpalvelimia. Ajattelin vain, miten tätä pääsyä voitaisiin käyttää haitallisesti, ja päätin seuraavan suunnitelman. Ensinnäkin, hakkeroi varmuuskopiojärjestelmä... Toiseksi, odota vuosi tai kauemmin. Kolmanneksi, poista kaikki tiedot palvelimilta, mukaan lukien hakkeroitu ohjelmisto varmuuskopiotietojen salaamiseen/salauksen purkamiseen. Siten yrityksellä on vain salattuja varmuuskopioita (ilman avainta). Neljänneksi, tarjoa yritystä ostaa avaimet, jotka hankittiin ensimmäisessä vaiheessa. Jos yritys kieltäytyy, se menettää vuosien työnsä. Tämä on tietysti vain hypoteettinen suunnitelma. En yrittänyt toteuttaa sitä, joten en tiedä olisiko se toiminut vai ei...” - Filias Cupio. ”Useimmat tuntemani tietotekniikan asiantuntijat, jopa aloittavat, asentavat heti rootkitin yrityksen järjestelmään, kun he ottavat vallan. Se on refleksi. Kaverit eivät halua vahingoittaa ketään eivätkä tee haitallisia suunnitelmia, he haluavat vain luotettavan pääsyn järjestelmään, jotta he voivat työskennellä turvallisesti kotoa tai yliopistosta käsin, Ben.

Sabotaasin taustalla oleva syvä psykologinen luonne saa tyytymättömän työntekijän usein uhkailemaan esimiehiään tai työtovereitaan. Joskus hän jopa jakaa ajatuksensa jonkun työtoverin kanssa. Toisin sanoen, ei vain sabotoijalla ole tietoa uhkaavasta sabotaasista. Analyytikot ovat laskeneet, että 31 prosentissa tapauksista muilla on tietoa sabotöörin suunnitelmista. Heistä 64 % on työtovereita, 21 % ystäviä, 14 % perheenjäseniä ja 14 % rikoskumppaneita.

47 prosentissa tapauksista sabotoijat suorittavat valmistelutoimia (esimerkiksi varastavat luottamuksellisten tietojen varmuuskopioita). 27 prosentissa he suunnittelevat ja testaavat hyökkäysmekanismin (logiikkapommin valmistelu yritysverkossa, ylimääräiset piilotetut kirjautumiset jne.). Samaan aikaan 37 %:ssa tapauksista työntekijöiden aktiivisuus voidaan havaita: tästä määrästä 67 % valmistelevista toimista on havaittavissa verkossa, 11 % offline-tilassa, 22 % - molemmat kerralla.

On myös otettava huomioon, että valtaosan hyökkäyksistä sabotoijat tekevät työajan ulkopuolella ja käyttämällä yrityksen verkkoon etäkäyttöä.

3. Sisäpiirin uhkia vastaan suojaavat lait

Laki- ja säädösmääräykset

Telekommunikaatioalan erityispiirteet (verrattuna muihin toimialoihin) näkyvät myös sääntelykysymyksissä. Ensinnäkin tämän alan yritykset keskittyvät usein tarjoamaan palveluita yksityishenkilöille ja keräävät siksi valtavia määriä tilaajien henkilötietoja yritysverkostoonsa. Tästä syystä IT- ja tietoturvaosastojen johdon on kiinnitettävä erityistä huomiota liittovaltion lakiin "henkilötiedoista", joka asettaa joukon vaatimuksia kansalaisten yksityisten tietojen turvallisuudelle. . Toiseksi Telecom hankki äskettäin oman standardin nimeltä "Teleoperaattoreiden tietoturvan perustaso". Se edustaa suositusten vähimmäisjoukkoa, jonka toteuttamisen pitäisi taata viestintäpalvelujen tietty tietoturvan taso, joka mahdollistaa toimijoiden, käyttäjien ja valtion etujen tasapainon. Tämän standardin kehitys johtuu telealan kehityksestä: teleoperaattorit joutuvat yhdistämään verkkonsa tarjotakseen tarvittavia palveluita, mutta operaattorit eivät itse tiedä kenen kanssa he ovat tekemisissä ja keneen voivat luottaa. kyberturvallisuusuhkien välttämiseksi. Jotkut tämän asiakirjan säännökset liittyvät suoraan sisäisiin tietoturvariskeihin ja henkilötietojen säilyttämisen ongelmiin. Operaattoria suositellaan esimerkiksi ”varmistamaan viestintäpalvelujen (laskutus) valvontajärjestelmistä ja automaattisista maksujärjestelmistä siirrettyjen ja/tai tallennettujen tietojen, tilaajatietojen (yksityishenkilöiden henkilötietojen) ja heille tarjottujen viestintäpalvelujen luottamuksellisuus, jotka ovat tulleet teleoperaattoreiden tietoon viestintäpalvelujen tarjoamista koskevien sopimusten täytäntöönpanon vuoksi." Yritykset ovat velvollisia pitämään tietoturvatapahtumista lokeja ja säilyttämään niitä vanhentumisajan (Venäjällä – 3 vuotta) mukaisesti. Lisäksi "ensisijaisten tapahtumien kulun suodattamiseksi on suositeltavaa käyttää teknisiä tapahtumien korrelaatiokeinoja, jotka optimoivat tietoturvahäiriöiden lokien merkinnät." Emme voi sivuuttaa kohtaa, joka kuuluu: "Operaattorin, joka on sallinut muiden (vuorovaikutuksessa olevien) operaattoreiden tilaajien (asiakkaiden) tietokantojen katoamisen, suositellaan ilmoittamaan tästä viimeksi mainituille mahdollisimman pian." Näin ollen Venäjän televiestintäsektori lähestyy vähitellen parhaita käytäntöjä - Yhdysvalloissa ja EU:ssa yrityksiä on jo pitkään pidetty vastuullisina henkilötietojen vuotamisesta ja lain mukaan on ilmoitettava vuodon uhreille. Ajan myötä tällaisen normin pitäisi ilmestyä Venäjälle.

Tosin ei vielä voida sanoa, että sääntelyllä olisi ratkaiseva rooli televiestintäalalla. Tästä huolimatta johdon tulisi nykyään miettiä IT- ja tietoturvan yhteensopivuutta olemassa olevien standardien ja lakien kanssa siltä varalta, että valvontaviranomaiset vihdoin alkavat toimia. Lisäksi suurten teleyritysten, joiden osakkeet on listattu pörssissä, on täytettävä osakemarkkinoiden vaatimukset. Esimerkiksi Venäjällä tämä on FFMS:n (Federal Service for Financial Markets) valinnainen Corporate Conduct -säännöstö, Isossa-Britanniassa - Joint Code of Corporate Governance (osittain pakollinen) ja Yhdysvalloissa - SOX-laki (Sarbanes). -Oxley Act 2002). Liittovaltion laki "henkilötiedoista" ja "perustaso..." kiinnostavat suoraan venäläisiä teleyrityksiä.

Liittovaltion laissa "viestinnästä" (46 artiklan 1 kohta) annetaan operaattorille sellaiset tietoturvatoiminnot, kuten viestintälaitteiden, viestintälaitteiden ja niiden kautta siirrettyjen tietojen suojaaminen luvattomalta käytöltä; teleyrityksen sisäisen infrastruktuurin turvallisen toiminnan varmistamiseksi.

Nämä vaatimukset tulee toteuttaa viestintäverkon toimintajärjestelmässä, seurata niiden toimintaa, tukea niiden toimintaa, laatia ja toimittaa tilastoraportteja ylemmille viranomaisille. Koordinoivan sääntelyn puutteen vuoksi tietoturvaan ei kuitenkaan ole yhtenäistä lähestymistapaa. IT- ja tietoturvaosastojen kokoonpanossa ei ole yhteistä lähestymistapaa. Tämä riippuu pääsääntöisesti operaattorin suorittamien tehtävien määrästä ja toiminnalliset vastuut IT:n ja IS:n välillä jakautuvat näiden osastojen päälliköiden aikaisemman kokemuksen perusteella.

Sertifiointi kansainvälisten standardien mukaisesti

Maailman tunnetuin sertifiointi on ISO 27001:2005 -standardin vaatimusten mukainen. Venäjällä on tähän mennessä kuusi yritystä virallisesti sertifioinut tietoturvan hallintajärjestelmänsä (ISMS); heistä neljä työskentelee IT-alalla. British Standards Instituten vuonna 2005 julkaisema ISO/IEC27001:2005 perustuu maailmanlaajuisiin parhaisiin käytäntöihin. Siinä määritellään selkeästi keskeiset prosessit, joita organisaation tietoturvasta vastaavan johtajan tulee hallita. Tämän standardin mukaan viimeinen vaihe tietoturvajärjestelmän tehokkuuden vahvistamisessa on akkreditoidun sertifiointielimen suorittama riippumaton auditointi. Tällaisen elimen myönteinen johtopäätös kertoo tietoturvan johtamisprosessien tehokkaasta ja oikeasta järjestämisestä, positiivisesta imagon yrityksestä ja toimii sen johdolle vakuuttavana perusteena, että yrityksen tietojärjestelmä käyttää nykyaikaisia tietoturvakeinoja mahdollisimman korkealla tasolla. tehokkuutta. Itse ulkopuolisen sertifiointielimen suorittama varmennusprosessi lisää johdon luottamusta tietoturvaosastoihin, mikä on indikaattori tämän palvelun työntekijöiden laadusta ja ammattitaidosta.

Päätös ISMS:n käyttöönotosta organisaatiossa tulisi tehdä korkeimmalla johdon tasolla, mieluiten toimitusjohtajan toimesta. Ilman johdon tukea tällaiset projektit ovat usein tuomittuja epäonnistumiseen tai parhaimmillaan tehottomuuteen tilanteessa, jossa yrityksen työntekijät eivät hyväksy prosesseja.

1) Vakuutusvaatimukset määrittelevät viestintäyrityksen sisäisillä menettelytavoilla kirjatun (hyväksyttävän) turvapolitiikan tarpeen, joka perustuu riskien arvioinnin ja hallinnan parhaisiin käytäntöihin, täyttää liiketoiminnan tarpeet ja noudattaa kansallista lainsäädäntöä. Turvallisuuskäytännöt on julkaistava ja niistä on tiedotettava liikenteenharjoittajien henkilökunnalle ja ulkoisille sidosryhmille (asiakkaat, vuorovaikutuksessa olevat liikenteenharjoittajat, muut kiinnostuneet tahot).

2) Toimivuusvaatimukset kuvaavat vain olemassa olevia sertifioituja teknisiä välineitä koskevia vaatimuksia ja kuvaavat tapahtumien kirjaamisen menettelytavat.

3) Vuorovaikutusvaatimukset kuvaavat menettelyä omien asiakkaiden ja muiden toimijoiden tunnistamiseksi. Alakohdassa kerrotaan 24 tunnin ttarpeesta (tai palvelun käytöstä ulkoistamalla).

Lisäksi edellytetään viestintäpalvelujen hallintajärjestelmien ja automaattisten maksujärjestelmien (laskutus) siirrettävien ja/tai tallennettujen tietojen, tilaajatietojen (yksityishenkilöiden henkilötietojen) ja heille tarjottujen viestintäpalvelujen luottamuksellisuuden varmistamista. Samalla on huomioitava, vaikka nämä tiedot olisivat tulleet teleyrityksen tietoon viestintäpalvelujen tarjoamista koskevien sopimusten toimeenpanon johdosta.

4. Tilastot tieteellinen tutkimus

Yksi suurimmista ja mielenkiintoisimmista töistä suojauksen alalla sisäisiltä uhilta oli InfoWatch-analyysikeskuksen 275 tietoliikenneyrityksen tutkimus. Sen tulosten mukaan sisäpiiririskit ylittävät ulkoisia uhkia suhteessa 6:4. Analysoidaan näiden riskien rakennetta ja eri tekijöiden vaikutusta niihin: käytetyt tietoturvatyökalut, sääntely jne.

Tietoturvalle vaarallisimpien sisäisten uhkien listan (taulukko 4) kärjessä on tietojen luottamuksellisuuden loukkaus (85 %) ja tiedon vääristely (64 %). Molemmat näistä uhista voidaan tiivistää käsitteellä "tietovuoto".

Kolmannella ja neljännellä sijalla ovat petokset (49 %) ja sabotaasi (41 %). Mielenkiintoista on, että toimialan laajuisessa tutkimuksessa sabotaasin uhka ylitti petoksen riskin lähes 15 prosentilla. Ilmeisesti viestintäpalvelujen tarjoamisen erityispiirteiden vuoksi petos on tunnustettu yhdeksi vaarallisimmista uhista.

Pöytä 4 vaarallisimmat kyberturvallisuusuhat

Hallinnollinen työ henkilöstön kanssa

InfoWatchin asiantuntijoiden mukaan paras tapa estää yrityssabotaasi ovat ennaltaehkäisevät toimenpiteet. Ensinnäkin yritysten on tarkistettava palkattujen työntekijöiden referenssit ja aiemmat työpaikat. Toinen erittäin tehokas tapa on säännölliset koulutukset tai seminaarit, joissa tiedotetaan henkilökunnalle tietoturvauhkista ja sabotaasista sinänsä. Tällä lähestymistavalla johto luottaa niihin työntekijöihin, jotka ovat vuorovaikutuksessa sabotöörin kanssa toimistossa, näkevät hänen hermostuneen käyttäytymisensä, saavat heitä vastaan uhkauksia jne. Valtuutetuille henkilöille tulee ilmoittaa välittömästi tällaisista tapauksista.

Seuraavassa menetelmässä käytetään vähiten etuoikeuksien periaatetta ja toimintojen selkeää erottelua. Tavallisilla toimistotyöntekijöillä ei pitäisi olla hallinnollisia valtuuksia. On myös selvää, että varmuuskopioista vastaavan henkilön ei pitäisi pystyä poistamaan alkuperäisen lähteen tietoja. Lisäksi tämän työntekijän tulee olla vastuussa siitä, että hän ilmoittaa esimiehelleen, jos toinen työntekijä loukkaa varmuuskopioita. Yleensä varmuuskopioiden suojausongelma voidaan ratkaista luomalla niistä kaksoiskappaleita. Koska yrityksellä ei pääsääntöisesti ole paljon todella kriittistä tietoa, useiden varmuuskopioiden luominen vaikuttaa suositeltavaa.

Tehokas salasanan ja tilin hallinta on erittäin tärkeää.

Parasta ehkäisyä voidaan kutsua seurannaksi, ei vain passiiviseksi (tapahtumalokit), vaan myös aktiiviseksi (arvokkaan tiedon suojaaminen). Tässä tapauksessa vain ylin johtaja voi aiheuttaa todellista vahinkoa yritykselle, koska muilla työntekijöillä, joilla on pääsy yrityksen digitaaliseen omaisuuteen, ei yksinkertaisesti ole oikeutta poistaa arvokkaita tietoja. Markkinoilla on jo erikoisratkaisuja tietojen suojaamiseen sisäisiltä uhilta, mukaan lukien yritysten sabotaasi.

InfoWatch Enterprise Solution

InfoWatch Enterprise Solutionin (IES) toimittaa venäläinen InfoWatch, joka on sisäpiirintorjuntajärjestelmien kehittäjä. Sen avulla voit tarjota kattavan hallinnan kaikkia tapoja vuotaa luottamuksellisia tietoja: sähköpostikanavaa ja verkkoliikennettä, työasemien viestintäresursseja jne. Nykyään IES on jo valtion (talousministeriö, tullipalvelu), televiestintä (VimpelCom) käytössä. , rahoitusyhtiöt (Vneshtorgbank) sekä polttoaine- ja energiayhtiöt (HydroOGK, Transneft).

IES-arkkitehtuuri voidaan jakaa kahteen osaan: monitoreihin, jotka valvovat verkkoliikennettä, ja monitoreihin, jotka valvovat käyttäjien toimintaa työasematasolla. Ensimmäiset asennetaan yritysverkkoon yhdyskäytävänä ja suodattavat sähköposti- ja verkkoliikennettä, kun taas jälkimmäiset on asennettu henkilökohtaisiin tietokoneisiin ja kannettaviin tietokoneisiin ja valvovat toimintaa käyttöjärjestelmätasolla. Verkkomonitorit IWM ja IMM voidaan toteuttaa myös laitteistona - InfoWatch Security Appliance. Näin asiakkaalle tarjotaan sähköposti- ja verkkoliikenteen suodattimien ohjelmisto- tai laitteistototeutus. Tämän lähestymistavan edut näkyvät parhaiten suojattaessa monimutkaista tietokoneverkkoa, joka kattaa maantieteellisesti hajautetut haarat.

Työasematason näyttöjä ovat Info-Watch Net Monitor (INM) ja InfoWatch Device Monitor (IDM). INM-moduuli valvoo tiedostojen toimintaa (lukeminen, muuttaminen, kopiointi, tulostus jne.), ohjaa käyttäjän työtä Microsoft Officessa ja Adobe Acrobatissa sekä tallentaa huolellisesti kaikki toiminnot luottamuksellisiin asiakirjoihin.

Kaikkia näitä toimintoja täydentävät loogisesti IDM-moduulin ominaisuudet, jotka ohjaavat pääsyä irrotettaviin asemiin, asemiin, portteihin (COM, LPT, USB, FireWire), langattomiin verkkoihin (Wi-Fi, Bluetooth, IrDA) jne.

Lisäksi INM- ja IDM-komponentit pystyvät toimimaan kannettavissa tietokoneissa, ja turvajärjestelmänvalvojalla on mahdollisuus asettaa erityisiä käytäntöjä, jotka koskevat työntekijän offline-työaikaa. Kun seuraavan kerran muodostat yhteyden yritysverkkoon, monitorit ilmoittavat välittömästi turvapäällikölle, jos käyttäjä on yrittänyt rikkoa asetettuja sääntöjä etätyöskentelyn aikana.

Kaikki IES:n sisältämät näytöt pystyvät estämään vuodot reaaliajassa ja ilmoittamaan tapahtumasta välittömästi turvapäällikölle. Ratkaisua hallitaan keskuskonsolin kautta, jonka avulla voit määrittää yrityskäytännöt. Mukana on myös automatisoitu turvapäällikkötyöasema, jonka avulla erikoistyöntekijä voi reagoida tapauksiin nopeasti ja riittävästi. Siten kattava IES-ratkaisu kattaa kaikki luottamuksellisten tietojen suojaamisen sisäpiiriläisiltä.

Lumigent Entegra ja LogExplorer

Lumigentin Entegra- ja Log Explorer -tuotteet tarjoavat passiivisen suojan tietokantoihin tallennetuille tiedoille. Niiden avulla voit tarkastaa tietokantoja ja palauttaa niissä olevia tietoja.

Entegra-tuote valvoo käyttäjien toimintaa tietokantojen parissa työskennellessä ja tarkastaa itse tietokannat. Sen avulla voit määrittää, kuka, milloin ja miten tarkasteli tai muokkasi tietokannan tietueita, sekä muutti sen rakennetta tai käyttöoikeuksia. On syytä huomata, että tuote ei pysty estämään haitallisia vaikutuksia, se voi lähettää vain tietoja tästä toiminnosta lokiin. Log Explorer ylläpitää redundanttia lokia kaikista tietokannan kanssa tehdyistä tapahtumista, jonka avulla mahdollisten ongelmien sattuessa voidaan analysoida ja tarkastaa suoritetut tapahtumat ja palauttaa kadonneet tai muuttuneet tietueet ilman varmuuskopiota. Emme kuitenkaan todellakaan puhu palautumisesta. Log Explorerin avulla voit peruuttaa tapahtumia. Näin ollen tämä moduuli ei pysty estämään vuotoja, mutta se voi vähentää tietueiden vioittumisriskiä.

PC Acme

PC Activity Monitor (Acme) mahdollistaa käyttäjien toiminnan passiivisen seurannan työasematasolla. Ratkaisu koostuu kahdesta osasta: keskitetystä hallintatyökalusta ja useista agenteista, jotka on asennettu työasemille kaikkialla organisaatiossa. Tuotteen ensimmäisen osan avulla voit jakaa agentteja keskitetysti koko yritysverkossa ja sitten hallita niitä. Agentit ovat ohjelmistomoduuleja, jotka on upotettu erittäin syvälle Windows 2000:een tai Windows XP:hen. Kehittäjät raportoivat, että agentit sijaitsevat käyttöjärjestelmän ytimessä, ja käyttäjän on lähes mahdotonta poistaa niitä laittomasti sieltä tai poistaa ne käytöstä. Agentit itse kirjaavat huolellisesti kaikki käyttäjän toiminnot: sovellusten käynnistäminen, näppäinten painaminen jne. Voidaan sanoa, että tuloksena oleva tapahtumaloki muistuttaa yksityiskohtaisuudeltaan tietokoneen näytön valppaan videovalvonnan tuloksia. Tuloksena oleva loki esitetään kuitenkin luonnollisesti tekstimuodossa. Keskushallintakonsolin avulla voit kerätä lokitietoja yhdelle tietokoneelle ja analysoida niitä siellä. Tässä vaiheessa voi kuitenkin ilmetä vaikeuksia. Ensinnäkin turvapäällikön on analysoitava manuaalisesti satoja tuhansia tietueita tietyistä järjestelmätapahtumista tunnistaakseen ne, jotka rikkovat IT-tietoturvapolitiikkaa, johtivat vuotoon jne. Mutta vaikka turvapäällikkö onnistuisi havaitsemaan tosiasian vuodosta, hän ei kuitenkaan pysty estämään sitä. Näin ollen PC Acme sopii kaikkien käyttäjän toimintojen passiiviseen seurantaan työasematasolla.

Proofpoint Messaging Security

Proofpointin laitteistoratkaisun avulla voit tarjota täydellisen hallinnan sähköpostiisi. Tämän laitteen avulla voit tarkistaa viestit virusten ja roskapostin varalta, estää sähköpostiresurssien väärinkäytön ja luottamuksellisten tietojen vuotamisen sähköposteissa. Suojaus luottamuksellisten tietojen vuotamista vastaan perustuu sisällön suodatusmekanismiin. Jos lähetetty viesti sisältää luottamuksellisia tietoja, tuote pystyy estämään vuodon. Proofpoint on klassinen esimerkki tuotteesta, joka on suunniteltu suojaamaan tiettyä viestintäkanavaa: sähköpostia. Tällaista tuotetta voidaan käyttää tapauksissa, joissa päätoimintona on roskapostin suodatus ja virustentorjunta, ja vuotojen esto on vain mukava lisä.

Kuinka sisäpiiriläiset saadaan kiinni

Helmikuun puolivälissä 2006 esitti esimerkkiä sisäpiiriläisten voitosta venäläinen LETA IT-yritys. Osaavan lähestymistavan ansiosta sisäiseen tietoturvaan yhtiö pystyi neutraloimaan virka-aseman väärinkäytöstä tuomitun sisäpiiriläisen. Sisäinen tutkinta osoitti, että yksi asiakasvastaavista yritti neuvotella ohjelmiston toimitussopimuksia laillisen työnantajansa, vaan hänen perustamansa shell-yhtiön kautta. Väärinkäyttö tunnistettiin nopeasti ja varhain InfoWatch Mail Monitorin avulla.

PÄÄTELMÄ

Näin ollen Yhdysvalloissa ja EU:ssa yrityksiä on jo pitkään pidetty vastuullisina yksityisten tietojen vuotamisesta, ja niiden on lain mukaan ilmoitettava vuodosta uhreille. Toivomme, että ajan myötä tällainen normi ilmestyy Venäjälle. Myönteisiä suuntauksia on jo havaittavissa. Vuodoilta suojautuneiden organisaatioiden määrä kasvaa jatkuvasti ja kasvaa edelleen.

Organisaatiot ovat yhä tietoisempia omaa henkilöstöään uhkaavasta kasvavasta uhasta, mutta he eivät ryhdy toimiin suojellakseen itseään. Kaikki eivät sisälly ensisijaisten tehtävien listoilleen tietoturva-alan koulutusta ja työntekijöiden jatkokoulutusta, IT-palveluntarjoajiensa työn säännöllistä arviointia tietoturvapolitiikan noudattamisen valvomiseksi pelkästään luottamukseen luottaen. Nykyään harvat ihmiset pitävät tietoturvaa hallinnon prioriteettina.

Organisaatioiden liiketoimintamallien kehittyessä kohti hajauttamista, osa toiminnoista delegoidaan ulkopuolisille urakoitsijoille, minkä vuoksi heidän tietoturvansa hallinta ja riskien tason arviointi on yhä vaikeampaa. Yritykset voivat delegoida työtä, mutta niiden ei pitäisi delegoida vastuuta turvallisuudesta.

Ylimmän johdon riittämätön huomio, epäsäännölliset riskinarvioinnit sekä riittämätön tai täydellinen investointien puute pyrkimyksiin vähentää inhimilliseen tekijään liittyviä riskejä (työntekijöiden sopimaton käytös, laiminlyönti, vahvistettujen sääntöjen tai standardien rikkominen). Päähuomio kiinnitetään edelleen vain ulkoisiin uhkiin, kuten viruksiin, ja sisäisten uhkien vakavuutta aliarvioidaan: halutaan ostaa teknisiä työkaluja (palomuurit, virustorjunta jne.), mutta ei haluta ratkaista. henkilöstön turvallisuusongelmia.

Monet työntekijöitä koskevat tapaukset jäävät huomaamatta. Tutkimusten tekijöiden mukaan tietoliikenneyritykset voivat ja niiden tulee muuttaa näkemystään tietoturvasta vain liiketoiminnan kustannuseränä: käsitellä sitä yhtenä keinona lisätä kilpailukykyä ja ylläpitää yrityksen kustannuspotentiaalia.

Useisiin suuriin yrityksiin sovelletaan erilaisia säännöksiä, jotka velvoittavat ne suojaamaan yksityisiä tietoja. Kaiken kaikkiaan sisäpiiri- ja vuotosuojausratkaisujen kysynnän odotetaan kasvavan tasaisesti ainakin seuraavan viiden vuoden ajan.

Luettelo käytetystä kirjallisuudesta

1. InfoWatch. Uutiset. Kuinka vaikeaa on tunnistaa vuoto - Corbina Telecom. 2007

2. Sbiba V.Yu, Kurbatov V.A. Opas suojautumiseen tietoturvan sisäpiiriuhkilta. Pietari: Pietari, 2008.

3. "KNS INFOTEKS" http://home.tula.net/insider/001b.htm.

4. Zenkin, D. Sisäpiiriläiset ovat 75 kertaa vaarallisempia kuin hakkerit. C-uutiset. Analytics. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Jaa, A. CityCity. Sisäpiiriläisiä tulee. http://citcity.ru/14874/

6. InfoWatch: Sisäiset uhat: yleisen vaaran edessä. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Jaa, A. Sabotaasi yritysympäristössä. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Teleyritysten tietoturvan perustaso. [Internetissä] http://www.ccin.ru/treb_baz_u.doc.

9. Jaa A. Telecom-tietoturva. http://citcity.ru/15562

10. Jaa A.V. Tietoliikenteen sisäiset tietoturvauhat. 2007. http://www.iks-navigator.ru/vision/456848.html.

11. Kostrov, D.V. Tietoturva suosituksissa, vaatimuksissa, standardeissa. 2008

http://www.iks-navigator.ru/vision/2390062.html.

12. Communications Bulletin: Tietoliikenneyritysten sisäpiiriläisiltä suojautuminen.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Muukalainen omiensa joukossa: pyöreän pöydän kokouksen pöytäkirja. Viestintätiedote. - Nro 7. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Ei ole mikään salaisuus, että keskimäärin 82 % yritysten tietoresursseihin kohdistuvista uhista tulee niiden omien työntekijöiden toiminnasta, joko huolimattomuudesta tai tahallisesti. Asiantuntijoiden mukaan sisäisten uhkien vaara on nousussa ja on edelleen yksi kiireellisimmistä ongelmista. Kovassa kilpailuympäristössä tietojen luottamuksellisuuden säilyttäminen on erityisen kiireellinen. Virheellisesti lähetetty sähköposti, ICQ-viesti tai painettu asiakirja voi sisältää luottamuksellisia tietoja, joita ei ole tarkoitettu luvattomille henkilöille. Liike- tai virkasalaisuudet, asiakkaiden, yhteistyökumppaneiden tai työntekijöiden henkilötiedot sekä muun tyyppiset suojatut tiedot voivat joutua kolmansien osapuolten käsiin ja aiheuttaa korjaamatonta vahinkoa yritykselle. On tarpeen ryhtyä ajoissa toimenpiteisiin luottamuksellisten tietojen vuotamiseen liittyvien riskien estämiseksi.

Yrityksesi voi altistua erilaisille riskeille, mukaan lukien:

Taloudelliset riskit
Luottamuksellisen tietovuodon seurauksena voi olla tilanne, jossa liikesalaisuus tulee kolmansien tietoon. Jos tällainen tieto joutuu kilpailijoiden käsiin, on suuri todennäköisyys taloudellisille tappioille, jotka usein johtavat yrityksen konkurssiin.
Oikeudelliset riskit
Luottamuksellisen asiakirjan hallitsematon luovuttaminen yritysverkon ulkopuolelle saattaa olla viranomaisvalvonnan kohteena. Oikeudenkäynnit ja rangaistukset henkilötietojen ja muun luottamuksellisen tiedon suojaa koskevien lakien rikkomisesta eivät ole harvinaisia.
Maineriskit
Luottamuksellisten tietojen vuotaminen voi saada laajaa mediahuomiota ja johtaa yrityksen kuvan tuhoutumiseen asiakkaiden ja yhteistyökumppaneiden silmissä aiheuttaen vakavia taloudellisia vahinkoja.

Jokaisella yrityksellä on oltava DLP-järjestelmä suojatakseen luottamuksellisten tietojen vuotamista.

DLP-järjestelmät (englanninkielisestä Data Loss Preventionista) ovat ohjelmistoja tai laitteistoja ja ohjelmistoja, jotka on suunniteltu suojaamaan vuotoja vastaan verkon ja paikallisten kanavien kautta. Siirretyt tiedot analysoidaan luottamuksellisuuden suhteen ja jaetaan tiettyihin luokkiin (julkiset tiedot, henkilötiedot, liikesalaisuudet, immateriaalioikeudet jne.). Jos tietovirrassa havaitaan luottamuksellisia tietoja, DLP-järjestelmä suorittaa jonkin seuraavista toimista: sallii sen siirron, estää sen tai lähettää ne epäselvissä tapauksissa lisävarmennusta varten tietoturvaasiantuntijalle. DLP-järjestelmät kattavat laajan valikoiman viestintäkanavia, joiden avulla voit seurata sähköpostia, pikaviestipalveluita ja muuta Internet-liikennettä, tulostimia, Bluetooth-laitteita, USB-laitteita ja muita ulkoisia tietovälineitä.

Nykyiset DLP-järjestelmät eroavat toiminnallisuuksistaan. Ensinnäkin DLP-järjestelmät voivat olla aktiivisia (havaitse ja estää tietovuodot) tai passiivisia (tunnistaa tietovuodon ja lähettää hälytyksen tapahtumasta). Tällä hetkellä painopiste on aktiivisissa DLP-järjestelmissä, joiden päätehtävänä on estää tietovuodot reaaliajassa, ei havaita niitä jälkikäteen. Tällaisissa DLP-järjestelmissä voit valinnaisesti määrittää valvontatilan, jonka avulla voit olla häiritsemättä liiketoimintaprosesseja ja lähettää viestin tietoturvaasiantuntijalle. Toiseksi DLP-järjestelmät voivat ratkaista useita lisätehtäviä, jotka liittyvät työntekijöiden toiminnan, työajan ja yrityksen resurssien käytön seurantaan.

DLP-järjestelmien merkittävä etu on, että niiden avulla voit ylläpitää liiketoimintaprosessien jatkuvuutta käytännössä ilman vaikutusta loppukäyttäjien työhön. Kaikkien yllä olevien ominaisuuksien ansiosta DLP-järjestelmät ovat tällä hetkellä yksi suosituimmista ratkaisuista yrityksen tietoturvan varmistamiseen.

DLP-järjestelmän oikea käyttöönotto ja konfigurointi on erillinen monimutkainen ongelma. Tämä on mahdotonta tehdä ilman asiantuntevaa neuvontaa. Infozashita-yrityksen korkeasti koulutetut asiantuntijat auttavat sinua valitsemaan ratkaisun, joka sopii yrityksesi erityispiirteisiin.

Nykyaikaiset DLP-markkinat ovat yksi nopeimmin kasvavista, mikä osoittaa selvästi tällaisten suojajärjestelmien suuren kysynnän. DLP-ratkaisujen kehittäjät kehittävät ja parantavat jatkuvasti uusia tehokkaita tekniikoita tietovuotojen torjumiseksi.

Infozashchita-yritys on valmis tarjoamaan sinulle laajan valikoiman edistyksellisiä ratkaisuja johtavilta kehittäjiltä suojaamaan sisäisiä uhkia vastaan.

Monet organisaatiot ovat tehneet tutkimusta sisäisten vuotojen alalla. Suurimmat ja tunnetuimmat ovat Ponemon Instituten suorittamat Uncertainty of Data Breach Detection -tutkimukset; Länsimaiden analyytikoiden tutkimus: CSI/FBI Computer Crime and Security Survey. Taulukko 1 havainnollistaa yhtä tällaista tutkimusta.

Pöytä 1. Vaarallisimmat kyberturvallisuusuhat kokonaisvahingoilla dollareina

Uhat	Vahinko (dollareissa)


Kannettavan tietokoneen varkaus
Tietovuoto
Palvelunestohyökkäys
Taloudellinen petos
Verkon väärinkäyttö tai postia sisäpiiriläisille
Televiestintäpetos
Zombie-verkostot organisaatiossa
Järjestelmän hakkerointi ulkopuolelta
Tietojenkalastelu (organisaation puolesta)
Langattoman verkon väärinkäyttö
Sisäpiiriläisten harjoittama Internet-viestintäpalvelujen väärinkäyttö
Julkisten verkkosovellusten väärinkäyttö
Tietojen ja verkkojen sabotointi