Ochrona poufnych informacji o zagrożeniach wewnętrznych. Wtajemniczeni. Sposoby przechowywania poufnych informacji
Obecnie większość organizacji podejmuje kroki w celu ochrony przed zagrożeniami „z zewnątrz”. Odpowiednie środki kontroli dostępu i ochrony przed włamaniami do firmy środowisko informacyjne są szeroko reprezentowane na rynku i są aktywnie wykorzystywane do zapobiegania działaniom intruzów. Jednocześnie ochrona przed zagrożeniami wewnętrznymi pozostaje dotkliwym i wciąż nierozwiązanym problemem w wielu organizacjach – zarówno od działań insiderów, którzy celowo kradną informacje lub powodują złośliwe szkody w firmowym systemie informacyjnym, jak i od niezamierzonych działań pracowników prowadzących do incydentów w system. bezpieczeństwo informacji. Na przykład łączenie się z siecią i praca na komputerach zainfekowanych wirusami. W takim przypadku użytkownik wewnętrzny ma zwykle szerokie prawa sieciowe i uprawnienia dostępu do dużej liczby poufnych zasobów i aplikacji firmowych, w wyniku czego cierpi cały system informacyjny firmy.
Wiele firm specjalizujących się w rozwiązaniach bezpieczeństwa systemy informacyjne, oferują dziś środki kontroli i zarządzania dostępem do sieci firmowej ze stacji roboczych pracowników firmy w oparciu o rozwiązanie Cisco Network Admission Control (СNAC). Eksperci TopS BI opowiadają o możliwościach wykorzystania takich rozwiązań do ochrony przed wewnętrznymi zagrożeniami bezpieczeństwa informacji.
Jak działają narzędzia NAC, jakie zadania pomagają rozwiązać?
Proces kontroli i zarządzania dostępem pracowników do sieci firmowej składa się z kilku kolejnych etapów, które realizowane są automatycznie za pomocą Cisco Network Admission Control.
Pierwszym z nich jest uwierzytelnianie użytkownika – sprawdza, czy użytkownik ma prawa dostępu do sieci. Na ochrona hasła, najczęściej dziś pracownik wprowadza swoje dane, a system kontroluje istnienie takiego użytkownika, poprawność jego hasła itp. - znana procedura, od której większość pracowników rozpoczyna pracę w systemie informatycznym.
Druga faza to sprawdzenie, czy komputer użytkownika ma prawo dostępu do sieci, czy stacja robocza pracownika (AWP) jest zgodna z firmową polityką bezpieczeństwa. System automatycznie sprawdza, które łaty aplikacji, jakie antywirusy są zainstalowane na komputerze użytkownika, czy antywirusowe bazy danych są aktualne, czy niezbędne dodatkowe oprogramowanie do ochrony stacji roboczych, zgodnie z przyjętą przez firmę polityką bezpieczeństwa.Jeśli maszyna nie przestrzega polityki bezpieczeństwa, system odmawia użytkownikowi dostępu do zasobów informacyjnych i aplikacji firmowych, stacja robocza użytkownika jest izolowana od sieci i przekazywana do tzw. kwarantanny. Następnie niezbędne aktualizacje są instalowane na komputerze użytkownika ręcznie przez administratora lub automatycznie. system operacyjny, antywirusowe bazy danych itp. I dopiero po „wyleczeniu” komputera pracownik uzyskuje dostęp do sieci. W ten sposób zainfekowany komputer nie może uszkodzić zasobów sieciowych, a przedsiębiorstwo rozwiązuje problem ochrony zainfekowanych stacji roboczych przed połączeniem się z siecią. Jest to bardzo ważne dla dużych organizacji, w których praktykowana jest „mobilność” pracowników, a menedżerowie często pracują poza biurem, korzystając z laptopów i łącząc się z sieciami o niskim poziomie zaufania, gdzie istnieje ryzyko zainfekowania ich komputera bez użytkownika zauważanie jest wysokie.
Wreszcie ostatnia faza to inspekcja. W rzeczywistości maszyna może zostać zainfekowana jakimś nieznanym wirusem po zakończeniu tego cyklu uwierzytelniania, kwarantanny, instalacji antywirusowej itp., a pracownik rozpoczął pracę w sieci. Istnieje produkt Cisco Security Agent, który pomaga wykrywać podejrzaną aktywność na komputerze użytkownika. W tej fazie rozwiązania Cisco NAC dodatkowy składnik korporacyjnego systemu zapobiegania włamaniom, który integruje zainstalowane antywirusy, narzędzia do monitorowania sieci, wykrywanie włamań, rejestracja incydentów, narzędzia do analizy aktywności w sieci (np. produkt CS-MARS) i inne.
Tym samym zwiększa się ochrona sieci firmowej i niezawodność jej działania, zmniejszają się koszty administrowania systemem informatycznym i eliminowania skutków jego infekcji złośliwym oprogramowaniem.
Ponadto rozwiązania te pomagają walczyć z „chaosem” w infrastrukturze komputerowej firmy, w odpowiednim czasie instalować niezbędne oprogramowanie systemowe i aktualizacje systemu bezpieczeństwa na komputerach pracowników. W tym sensie zastosowanie rozwiązań kontroli dostępu Cisco wraz z rozwiązaniami do zarządzania stacjami roboczymi może być bardzo efektywne. Na przykład z powodzeniem wykorzystujemy rozwiązania Altiris w naszych projektach, które zapewniają zdalną, scentralizowaną administrację stacjami roboczymi, automatyczną „dystrybucję” oprogramowania (w tym aktualizacje oprogramowania) na komputery pracowników, inwentaryzację sprzętu i oprogramowania komputerowego, kontrolę wykorzystania oprogramowania przez pracowników i inne funkcje Zarządzanie AWP.
W jaki sposób realizowane jest automatyczne sprawdzenie komputera pracownika pod kątem zgodności z polityką bezpieczeństwa? Czy muszę zainstalować specjalne agenty oprogramowania na każdym komputerze? Jak sprawdzany jest komputer „gościa” – partnera biznesowego, klienta, któremu nadano prawo podłączenia do sieci firmowej?
Głównym składnikiem rozwiązania Cisco jest serwer polityk Cisco Access Control Server (ACS) (lub inny serwer obsługujący NAC), który jest „odpowiedzialny” za sprawdzanie stanu oprogramowania zainstalowanego na komputerze użytkownika, jego zgodności z bezpieczeństwem polityki, a ponadto zezwalanie/odmawianie dostępu do sieci. ACS obsługuje lokalne i bazy zewnętrzne zasady bezpieczeństwa przy użyciu atrybutów zdefiniowanych zarówno przez dostawcę, jak i typ aplikacji. Każda baza danych posiada co najmniej jedną politykę zawierającą reguły zdefiniowane przez administratora — ustawienia stanu komputera użytkownika określające poziom zgodności z politykami bezpieczeństwa. Serwer ACS zapewnia transmisję żądań do tych baz polis i odpowiedzi zgodnie ze stanem komputera użytkownika, tworząc tzw. symbol statusu systemu (system posture token SPT), na podstawie którego cykl autoryzacji trwa lub jest przerywany . W takim przypadku możliwe są różne opcje realizacji kontroli komputera.
Pierwsza opcja to sytuacja, w której komputer należy do pracownika firmy, a agenty oprogramowania do automatycznej kontroli i pilot RAMIĘ. Może to być agent oprogramowania Cisco Trust Agent, który po włączeniu komputera będzie zbierać i przesyłać do ACS informacje o dostępności i wersjach oprogramowania antywirusowego oraz innego oprogramowania kontrolowanego. Cisco Trust Agent dostarcza również informacje o wersji systemu operacyjnego i zainstalowane aktualizacje. Gdy rozwiązanie NAC jest używane w połączeniu z oprogramowaniem Altiris, „agenci” systemu Altiris mogą wykonywać funkcje skanowania komputera. Po sprawdzeniu komputera serwer Cisco ACS określa stan tego komputera, zgodnie z którym albo wysyła komputer do kwarantanny w celu późniejszego „wyczyszczenia”, albo kontynuuje proces autoryzacji.
Agenci oprogramowania Cisco i Altiris współdziałają bezpośrednio z aplikacjami zainstalowanymi na komputerze bez interwencji użytkownika.
Drugą opcją jest przeskanowanie komputera, na którym nie zainstalowano agentów oprogramowania systemowego. Rzeczywiście, w przeciwieństwie do pracowników, od których wymaga się przestrzegania reguł korporacyjnych, partnerzy biznesowi firmy, klienci i dostawcy nie podlegają tym regułom, ale często mają dostęp do aplikacji korporacyjnych, a ich komputery mogą stanowić poważne zagrożenie. W tym przypadku używana jest nieco inna implementacja NAC. Użytkownik łączy się z określonym obszarem sieci korporacyjnej, w którym jego komputer jest kontrolowany (albo przez Altiris Security Expression Server, albo przez Cisco Audit Server). Ponadto, w zależności od wyniku, użytkownik uzyskuje dostęp do sieci lub ma możliwość zainstalowania na komputerze niezbędnego brakującego oprogramowania zabezpieczającego. Możliwe jest zaimplementowanie opcji, gdy w przypadku, gdy komputer nie przestrzega polityki bezpieczeństwa firmy, gość będzie miał możliwość zainstalowania Agenta Altiris, który jest już „niezależny”, w tryb automatyczny zainstaluj niezbędne oprogramowanie i doprowadź komputer do wymaganego stanu, zgodnie z zasadami dostępu do sieci.
Rozwiązania Cisco wystarczą do wdrożenia procedur kontroli dostępu i zarządzania. Jaką rolę odgrywa tutaj oprogramowanie Altiris? Po co marnować wysiłek na integrację tych systemów?
Oczywiście, aby wdrożyć rozwiązania Cisco NAC, nie trzeba wdrażać systemu Altiris. Oferujemy połączenie tych rozwiązań organizacjom, które już używają produktów Altiris do zarządzania swoją infrastrukturą komputerową, oraz przedsiębiorstwom, których celem jest stworzenie centralnie zarządzanej i bezpiecznej śieć komputerowa. W tym przypadku integracja Cisco NAC i Altiris zapewnia szereg dodatkowych korzyści.
W przeszłości produkty Altiris były tworzone w celu rozwiązania problemów monitorowania i centralnego zarządzania komputerami użytkowników. Oprogramowanie Altiris Client Management Suite pozwala zautomatyzować typowe czynności konserwacyjne stacji roboczych: administrowanie komputerami pracowników, rozwiązywanie problemów, zdalne instalowanie aktualizacji oprogramowania; tworzyć i utrzymywać aktualną bazę danych księgowych dla dostępności i użytkowania oprogramowania i sprzętu AWS. Pozwala to na zwiększenie wydajności i efektywności obsługi informatycznej, obniżenie kosztów utrzymania infrastruktury komputerowej, standaryzację sprzętu i oprogramowanie i zoptymalizować zarządzanie koło życia sprzęt i oprogramowanie. Nasi klienci z różnych branż z powodzeniem wykorzystują te rozwiązania do zarządzania infrastrukturą IT, oto kilka przykładów projektów: Euroset, GM-AVTOVAZ, Nizhpharm, IMPEXBANK i inne.
Oczywiście produkty Altiris oferują więcej niż rozwiązania Cisco NAC. szerokie możliwości do zarządzania oprogramowaniem zainstalowanym na komputerze użytkownika oraz do automatycznego „naprawiania” komputera, ponieważ zdalna dystrybucja aktualizacji oprogramowania jest jedną z „tradycyjnych” funkcji Altiris. Cisco NAC nie zapewnia takich możliwości: użytkownik musi skontaktować się z serwisem IT lub samodzielnie dostosować swój komputer do zasad, po otrzymaniu linku do zasobu zawierającego niezbędne oprogramowanie i instrukcje dotyczące niezbędnych działań. Ponadto produkty Altiris znacznie zwiększają możliwości zarządzania infrastrukturą i sprawiają, że jest ona „przejrzysta” dla administratorów.
Czy agenci Cisco i Altiris „pracują” ze wszystkimi typami komputerów, systemów operacyjnych, audytują obecność oprogramowania antywirusowego dowolnego producenta?
Instalacja programu Cisco Trust Agent jest dostępna na komputerach z systemami operacyjnymi. Systemy Windows i Red Hat Linux i służy do sprawdzenia komputery osobiste, laptopy i PDA. Agenty Altiris mogą być instalowane na komputerach z systemem Windows (w tym Windows Mobile), RedHat Linux, MacOS.
Sprawdzenie stanu aplikacji zabezpieczającej jest możliwe, jeśli producent aplikacji obsługuje technologie Cisco NAC (obecnie około 250 programistów wdraża w swoich produktach mechanizmy NAC, w tym wiodący producenci oprogramowania antywirusowego).
Czy NAC chroni przed wszystkimi włamaniami wewnętrznymi?
Rozwiązanie Cisco NAC ma na celu przede wszystkim kierowanie działaniami użytkowników zagrażających korporacyjnemu systemowi informatycznemu. Ponadto Cisco oferuje rozwiązanie Cisco Security Agent (CSA), które w pełni zarządza polityką bezpieczeństwa w miejscu pracy i zapobiega nieautoryzowanym działaniom. Na przykład zapewnia ochronę przed dostępem osób poufnych do zasobów, z którymi nie są upoważnieni do pracy. System CSA zawiera reguły, na podstawie których monitorowana jest aktywność działań pracownika na jego komputerze, a w przypadku wykrycia np. nielegalnej próby uzyskania dostępu do niektórych zasobów, system reaguje na te działania w określony sposób, albo blokowanie dostępu do sieci lub wysyłanie wiadomości administratora bezpieczeństwa. Należy pamiętać, że niektóre funkcje CSA mogą zostać przejęte przez serwer Altiris.
Użycie Altiris i CSA zwiększa opcje bezpieczeństwa. Na przykład, korzystając z tych rozwiązań, możesz zablokować kopiowanie informacji na karty flash i inne nośniki wymienne.
Oczywiście system nie zapobiega wszystkim działaniom intruzów, jak wszelkie techniczne środki ochrony. W tym miejscu należy również pamiętać, że oprócz narzędzi technicznych konieczne jest zbudowanie skutecznego zestawu zabezpieczeń organizacyjnych, przeszkolenie pracowników z zasad postępowania z hasłami i informacjami poufnymi, opracowanie środków zapobiegających działaniom poufnym itp.
Jakie narzędzia sprzętowe i programowe są potrzebne do wdrożenia produktów Cisco NAC, jaki jest przybliżony koszt rozwiązania?
Cisco oferuje dwa podejścia do implementacji NAC. Pierwszym z nich jest stworzenie kompleksowej architektury NAC (NAC Framework), która polega na zbudowaniu całej infrastruktury sieciowej w oparciu o rozwiązania Cisco, w tym z wykorzystaniem przełączników, routerów i innych sprzęt sieciowy Cisco. Jeśli przedsiębiorstwo początkowo używa sprzętu Cisco do budowy korporacyjnej infrastruktury sieciowej, wdrożenie Cisco NAC nie będzie wymagało dużych inwestycji: klient architektury Cisco Trust Agent NAC jest bezpłatny, trzeba zapłacić za Access Control Server, który kosztuje około 8000 USD, i pracuj nad wdrożeniem rozwiązania.
Jeśli przedsiębiorstwo musi zmienić sprzęt sieciowy na produkty Cisco, koszty w naturalny sposób wzrosną wielokrotnie. Proponowane jest alternatywne podejście – dedykowane urządzenie NAC (NAC-Appliance), w którym nie ma specjalne wymagania do sprzętu sieciowego. To rozwiązanie charakteryzuje się tym, że NAC-Appliance kontroluje wszystkie etapy NAC. Ten sam kompleks oprogramowania i sprzętu zapewnia również organizację strefy kwarantanny. Złożoność wdrożenia takiego rozwiązania jest mniejsza w porównaniu z wykorzystaniem NAC-Framework.
Jakie są konkurencyjne rozwiązania, jakie zalety ma rozwiązanie firmy Cisco?
Dziś architektura Cisco NAC zajmuje wiodącą pozycję na rynku takich systemów. Jednak rozwiązanie firmy Cisco nie jest jedynym, ponieważ systemy zarządzania kontrolą dostępu do sieci oferują ponad trzy tuziny różnych dostawców. Są to głównie duzi producenci elementów infrastruktury IT, tacy jak HP, Nortel, Juniper itp., a także szereg firm programistycznych, w tym Microsoft z architekturą Network Access Protection (NAP).
Głównym konkurentem Cisco NAC jest architektura opracowywana przez grupę Trusted Network Connect (TNC) jako otwarty standard branżowy bezpiecznego dostępu do sieci. Grupa TNC skupiła wielu producentów NAC, którzy nie byli gotowi pogodzić się z dominacją Cisco na tym rynku.
Osobno należy zwrócić uwagę na inicjatywy firmy Microsoft i jej architekturę Network Access Protection. Pierwsze elementy tej architektury Microsoft ogłosił w 2004 roku wraz z pojawieniem się Windows 2003 Server, od tego czasu standard ewoluował i przeszedł szereg zmian. Dziś Komponenty Microsoft NAP są wbudowane w system operacyjny Windows Vista. Wśród głównych wad NAP można zauważyć ścisłe powiązanie z systemem operacyjnym Windows, a także niewykorzystywanie natywnych możliwości sprzętu sieciowego w procesie kontroli dostępu. Osiągnięto porozumienie pomiędzy Cisco i Microsoft, aby ściśle współpracować w celu stworzenia zintegrowanego rozwiązania Cisco NAC/NAP. Jednocześnie nie tak dawno zapowiedziano integrację NAP z otwartą architekturą TNC.
Cisco NAC posiada szereg unikalnych funkcji, które wyróżniają go na tle konkurencji. Dzięki opracowanemu Program partnerski cisco, ta decyzja wspierane i zintegrowane z produktami ponad 60 producentów. Ponadto technologia Cisco NAC umożliwia organizowanie różne rodzaje bezpieczny dostęp do sieci: dostęp do sieci LAN przez switch, router, a także przez sieć bezprzewodową.
Firmy w jakich branżach i obszarach działalności są najbardziej zainteresowane wdrożeniem Cisco NAC?
Tu naszym zdaniem większe znaczenie ma nawet nie branża czy dziedzina działalności firmy, ale przyjęte w niej zasady organizacji pracy personelu i polityki bezpieczeństwa. Oczywiste jest, że w przypadku „ścisłej” polityki bezpieczeństwa informacji, która uniemożliwia dostęp do systemu korporacyjnego z urządzeń, które nie są w pełni kontrolowane przez administratora bezpieczeństwa informacji, rozwiązania Cisco NAC nie będą miały zastosowania. Ogólnie rzecz biorąc, rozwiązanie jest interesujące przede wszystkim dla dużych organizacji ze złożoną infrastrukturą, która jednoczy setki komputerów pracowników oraz z polityką bezpieczeństwa, która zapewnia pracę „mobilnym” użytkownikom w sieci korporacyjnej. Na przykład są organizacje, w których wielu pracowników w ogóle nie ma stałego miejsca pracy w biurze: pracownik większość czasu pracuje „w drodze”, a gdy przyjeżdża do biura, siada w dowolnym miejscu. wolne miejsce i łączy się z siecią.
Partnerzy informacyjni klasy mistrzowskiej
„Ochrona przed zagrożeniami wewnętrznymi w przedsiębiorstwach telekomunikacyjnych”
Wstęp
1. Najbardziej głośne incydenty z wykorzystaniem informacji poufnych w dziedzinie telekomunikacji
2. Wtajemniczeni
3. Przepisy z zakresu ochrony przed zagrożeniami wewnętrznymi
3.1.Regulacje prawne i regulacyjne
3.2 Certyfikacja zgodnie z międzynarodowymi standardami
4.Opracowania statystyczne
5. Metody zapobiegania wyciekom wewnętrznym
Wniosek
Lista wykorzystanej literatury
WPROWADZANIE
Trafność tematu wynika z faktu, że ze względu na masowość świadczenia usług komunikacyjnych w bazach danych firm telekomunikacyjnych mogą być gromadzone rekordy milionów i dziesiątek milionów obywateli. To oni potrzebują największej ochrony. Jak pokazuje praktyka, w wyniku zaniedbania ryzyka wycieku firma ryzykuje wydanie setek milionów dolarów na kampanie PR, koszty prawne i nowe sposoby ochrony danych osobowych klientów.
Specyfika ochrony informacji w firmach telekomunikacyjnych przejawia się w charakterze danych, które wymagają ochrony. Wszystkie informacje przechowywane są w bazach danych znajdujących się w infrastrukturze informatycznej operatora. Kradzież jest obarczona kilkoma negatywnymi konsekwencjami jednocześnie. Po pierwsze, może zaszkodzić reputacji firmy, co objawia się odpływem dotychczasowych klientów i trudnością w pozyskiwaniu nowych. Po drugie, firma łamie wymagania prawa, co może prowadzić do cofnięcia licencji, kosztów prawnych i dodatkowego uszkodzenia wizerunku.
Celem pracy jest zbadanie ochrony przed zagrożeniami wewnętrznymi w przedsiębiorstwach komunikacyjnych.
Zadania pracy to:
Rozpatrzenie najbardziej głośnych incydentów wewnętrznych w dziedzinie telekomunikacji;
Analiza insiderów;
Studium praw w zakresie ochrony przed zagrożeniami wewnętrznymi: regulacje prawne i regulacyjne oraz certyfikacja według międzynarodowych standardów;
Studium badań statystycznych;
Rozważ metody zapobiegania wyciekom wewnętrznym.
Praca składa się z pięciu rozdziałów.
Pierwszy rozdział dotyczy najbardziej głośnych incydentów insider w dziedzinie telekomunikacji, drugi rozdział dotyczy insiderów, trzeci rozdział analizuje ramy prawne w zakresie ochrony przed zagrożeniami wewnętrznymi rozdział czwarty dotyczy badań statystycznych, rozdział piąty przedstawia metody zapobiegania wyciekom wewnętrznym.
Wniosek zawiera wnioski z badania.
1. Najbardziej głośne incydenty z wykorzystaniem informacji poufnych w
telekomunikacja
Prawdziwe incydenty najlepiej ilustrują powagę zagrożenia wewnętrznego. Zaniedbanie tego zagrożenia w 2006 roku doprowadziło do wielkiego skandalu w Stanach Zjednoczonych. Dziennikarze kupili listę połączeń przychodzących i wychodzących byłego kandydata na prezydenta USA, generała Wesleya Clarka, za 90 dolarów, a amerykańska opinia publiczna była zaskoczona, że rejestry rozmów telefonicznych po pierwsze nie są w ogóle chronione przez prawo, a po drugie są bardzo słabo chronione przez operatorów komunikacja mobilna.
W styczniu 2007 agencje prasowe zgłosiły jeden „nieoczywisty” wyciek. W Internecie pojawiła się baza użytkowników telefonii komórkowej Corbina Telecom: nazwiska, numery telefonów, opłaty gwarancyjne prawie 40 tys. abonentów, w tym kilku top managerów firmy. Komentarze Corbiny w pewnym stopniu uspokoiły klientów. Najprawdopodobniej pod przykrywką nowej bazy informacje zostały przekazane 4 lata temu. Następnie programista poufny naprawdę upublicznił informacje o subskrybentach firmy iw tym czasie informacje prawie całkowicie straciły na znaczeniu.
W pierwszej dziesiątce najbardziej głośnych incydentów z wykorzystaniem informacji poufnych znalazła się kradzież bazy klientów Japończyków operator mobilny KDDI. Pod groźbą ujawnienia informacji o dużym wycieku danych, wtajemniczeni zażądali 90 000 dolarów od japońskiej korporacji KDDI, drugiego co do wielkości operatora komunikacja komórkowa w kraju. Aby zademonstrować słuszność swoich gróźb, w maju 2006 r. szantażyści wręczali przedstawicielom KDDI płyty CD i pendrive'y z prywatnymi danymi, rzucając nimi przy wejściu. Jednak zarząd firmy zignorował żądania przestępców i zwrócił się do organów ścigania. Przez dwa tygodnie policja monitorowała negocjacje między szantażystami a KDDI, a następnie aresztowała podejrzanych. Śledztwo wykazało, że baza prywatnych informacji o 4 milionach klientów KDDI naprawdę wpadła w ręce szantażystów. Każdy wpis w bazie zawierał imię, płeć, datę urodzenia, numery telefonów, adresy pocztowe każdego klienta. Wszystkie te dane są idealne do kradzieży tożsamości. Najwyższe kierownictwo jest przekonane, że jeden z pracowników specjalnie skopiował informacje i zabrał je z firmy.
W sumie ponad 200 pracowników miało dostęp do skradzionych danych.
Równie głośny incydent miał miejsce bliżej Rosji: wyciekła baza danych białoruskiego operatora komórkowego Velcom. Dziennikarze nabyli plik tekstowy z informacjami o numerach telefonów i nazwiskach 2 mln swoich abonentów. Jednocześnie prasa zauważa, że bazy danych Velcomu regularnie upubliczniają się: od 2002 roku ukazało się co najmniej sześć wersji i za każdym razem informacje były uzupełniane. Tymczasem w białoruskim Internecie wciąż nie ma baz danych MTS. W obliczu fali krytyki Velcom stwierdził, że białoruskie przepisy nie chronią danych osobowych obywateli, co oznacza, że wobec Velcomu nie można wysuwać żadnych roszczeń prawnych. Operator obwiniał o przeciek bank, do którego przeniesiono bazę klientów „za możliwość sprawdzenia przez pracowników [banku] poprawności podanych danych przy płatnościach za usługi komunikacyjne”. Następnie Velcom „rozważa możliwość złożenia wniosku o ochronę reputacji biznesowej”. Czas pokaże, do czego doprowadzi proces, ale jak dotąd wtajemniczeni zbyt często unikają odpowiedzialności.
Październik 2006 AcmeTelePower, indyjski informator telekomunikacyjny, ukradł innowacje i przekazał je konkurentowi LamdaPrivateLimited. Według Ernst & Young bezpośrednie straty finansowe Acme wyniosły 116 milionów dolarów.Ciekawe, że własność intelektualna „wyciekła” w najczęstszy sposób – przez e-mail. Następnie AcmeTelePower zamierza całkowicie przenieść swoją działalność z Indii do Australii.
2. wtajemniczeni
Wiele organizacji przeprowadziło badania dotyczące wewnętrznych wycieków. Największe i najbardziej znane to Niepewność wykrywania naruszenia danych Instytutu Ponemon; badania zachodnich analityków: CSI/FBIComputerCrimeandSecuritySurvey. Tabela 1 ilustruje jedno z takich badań.
Patka. 1. Najgroźniejsze zagrożenia cyberbezpieczeństwa poprzez skumulowane szkody w dolarach
Zagrożenia | Szkody (w dolarach) |
Wirusy | $ 15 691 460 |
Nieautoryzowany dostęp | $ 10 617 000 |
Kradzież laptopa | $ 6 642 560 |
Wyciek informacji | $ 6 034 000 |
Odmowa usługi | $ 2 992 010 |
Oszustwo finansowe | $ 2 556 900 |
Nadużycie sieci lub wewnętrznych wiadomości e-mail | $ 1 849 810 |
Oszustwa telekomunikacyjne | $ 1 262 410 |
Sieci zombie w organizacji | $ 923 700 |
Hakowanie systemu z zewnątrz | $ 758 000 |
Phishing (w imieniu organizacji) | $ 647 510 |
Nadużycie sieci bezprzewodowej | $ 469 010 |
Nadużywanie komunikatorów internetowych przez wtajemniczonych | $ 291 510 |
Nadużywanie publicznych aplikacji internetowych | $ 269 500 |
Sabotaż danych i sieci | $ 260 00 |
Można tylko dodać, że w komentarzach na temat wysokości szkód dla FBI i Instytutu bezpieczeństwo komputera sceptycznie podchodzą do tego, aby respondenci byli w stanie mniej lub bardziej dokładnie określić wysokość strat spowodowanych wyciekiem danych osobowych lub tajemnic handlowych. Takie incydenty mają wiele długotrwałych negatywnych konsekwencji. Na przykład pogorszenie opinii publicznej, spadek reputacji i zmniejszenie bazy klientów. Wszystko to dzieje się stopniowo i zajmuje tygodnie i miesiące. A co najmniej rok zajmuje zidentyfikowanie strat w postaci utraconych zysków z powodu wycieku. Nie można więc dokładnie określić wewnętrznej struktury strat finansowych spowodowanych zagrożeniami bezpieczeństwa informacji.
Ogólnie rzecz biorąc, bezpieczeństwo informacji w organizacjach obejmuje:
zestaw komputerów połączonych ze sobą w sieci;
kanały komunikacyjne realizowane przez dowolne kanały transmisji informacji, poprzez które fizycznie realizowana jest sieć logicznych połączeń;
wymiana poufnych informacji w sieci w ścisłej zgodności z dopuszczalnymi połączeniami logicznymi
zintegrowana wielopoziomowa ochrona przed nieautoryzowanym dostępem i wpływami zewnętrznymi
Sztywne scentralizowane ustawienie struktury połączeń logicznych i kontroli dostępu w sieci
niezależność struktura logiczna sieci o rodzajach kanałów transmisji informacji.
Większość firm od dawna buduje ochronę przed zagrożeniami zewnętrznymi, a teraz muszą chronić tyły. Wśród zagrożeń wewnętrznych jest kilka najczęstszych sposobów powodowania szkód:
konserwacja lub przetwarzanie poufna informacja w systemie nieprzeznaczonym do tego;
Próby obejścia lub zhakowania systemu bezpieczeństwa lub audytu bez autoryzacji (z wyjątkiem testów bezpieczeństwa lub podobnych badań);
Inne naruszenia zasad i procedur bezpieczeństwo wewnętrzne sieci.
Istnieje kilka sposobów na ujawnienie poufnych informacji:
o serwer pocztowy (e-mail);
o serwer WWW (otwarte systemy pocztowe);
o drukarka (drukowanie dokumentów);
o FDD, CD, napęd USB (kopiowanie na nośniki).
Zanim przejdziemy do obliczeń analitycznych, należy odpowiedzieć na pytanie, co nadal nazywa się zagrożeniem wewnętrznym. Wagę tej definicji podkreśla fakt, że sabotaż to tylko część zagrożeń wewnętrznych, należy odróżnić sabotażystów od np. insiderów, którzy „wyciekają” poufne informacje konkurencji.
Sabotaż korporacyjny jest szkodliwym działaniem przeciwko firmie, popełnianym przez wtajemniczonych z powodu zranionej dumy, chęci zemsty, wściekłości i wszelkich innych powodów emocjonalnych. Zwróć uwagę, że pojemny termin „wtajemniczony” odnosi się do byłych i obecnych pracowników przedsiębiorstwa, a także pracowników kontraktowych.
Sabotaż korporacyjny jest zawsze dokonywany z pobudek emocjonalnych, czasem irracjonalnych. Sabotażysta nigdy nie kieruje się chęcią zarobku, nie dąży do zysku finansowego. To w rzeczywistości odróżnia sabotaż od innych zagrożeń wewnętrznych.
Badanie US Secret Service wykazało, że w 98% przypadków sabotażystą jest mężczyzna, jednak motywy te są konsekwencją wcześniejszych wydarzeń, które zachwiały pracownika (tab. 2). Według analityków w większości przypadków sabotaż poprzedzony jest nieprzyjemnym incydentem w pracy lub serią takich incydentów.
Patka. 2 Wydarzenia prowadzące do sabotażu
Źródło CE RT
Wielu sabotażystów w momencie sabotażu było już byłymi pracownikami poszkodowanej firmy, którzy z jakiegoś powodu zachowali dostęp do jej zasobów informacyjnych (prawdopodobnie przeoczenie administratora). Zauważ, że to prawie połowa wszystkich przypadków.
Jak pokazało badanie CERT, prawie wszyscy korporacyjni sabotażyści to specjaliści w taki czy inny sposób związani z informatyką.
Patka. 3 Portret typowego sabotażysty
Źródło CE RT
W ten sposób można wyróżnić tylko dwie najbardziej wiarygodne cechy sabotażysty: jest to mężczyzna, pracownik działu technicznego. Dziewięć na dziesięć aktów sabotażu jest popełnianych przez osoby związane w taki czy inny sposób z technologią informatyczną. Według ekspertów InfoWatch, twórcy systemów ochrony poufnych informacji przed osobami z wewnątrz, przyczyną takiej przynależności zawodowej są psychologiczne cechy tych pracowników. Aby lepiej zrozumieć problem, dwa przykłady z życia najdobitniej ilustrują typowe cechy charakteru specjalistów IT.
„Pracowałem dla średniej wielkości firmy zajmującej się tworzeniem oprogramowania. Przy dostępie do głównych serwerów miałem uprawnienia administratora. Aby oczyścić umysł, zastanowiłem się, w jaki sposób ten dostęp mógłby zostać złośliwie wykorzystany i opracowałem następujący plan. Najpierw zhakuj system Zarezerwuj kopię... Po drugie, poczekaj rok lub dłużej. Po trzecie, usuń wszystkie informacje z serwerów, w tym zhakowane oprogramowanie do szyfrowania / odszyfrowywania danych kopii zapasowej. W ten sposób przedsiębiorstwo będzie miało tylko zaszyfrowane kopie zapasowe(bez klucza). Po czwarte, zaoferuj firmie zakup kluczy, które uzyskano na pierwszym etapie. Jeśli firma odmówi, straci lata swojej pracy. To oczywiście tylko hipotetyczny plan. Nie próbowałem go wdrożyć, więc nie wiem, czy to zadziała, czy nie…” - Filias Cupio „Większość ekspertów w technologia informacyjna, co wiem, nawet ci, którzy dopiero zaczynają, zaraz po objęciu urzędu, pierwszą rzeczą, jaką robią, jest instalacja ukrytego programu do zarządzania (rootkit) w systemie korporacyjnym. To odruch. Faceci nie chcą nikogo skrzywdzić ani robić złośliwych planów, potrzebują tylko niezawodnego dostępu do systemu, aby mogli bezpiecznie pracować w domu lub na uczelni.” – Ben.
Głębokie psychologiczne podłoże aktu sabotażu często prowadzi do tego, że wściekły pracownik grozi przełożonym lub współpracownikom, a czasem nawet dzieli się swoimi przemyśleniami z jednym z kolegów. Innymi słowy, nie tylko sabotażysta posiada informacje o zbliżającym się sabotażu. Analitycy obliczyli, że w 31% przypadków inne osoby mają informacje o planach sabotażysty. Spośród nich 64% to koledzy, 21% to przyjaciele, 14% to członkowie rodziny, a kolejne 14% to współpracownicy.
W 47% przypadków dywersanci wykonują czynności przygotowawcze (np. kradną kopie zapasowe poufnych danych). W 27% projektują i testują mechanizm ataku (przygotowanie bomby logicznej w sieci korporacyjnej, dodatkowe ukryte loginy itp.). Jednocześnie w 37% przypadków można zauważyć aktywność pracowników: z tej liczby 67% działań przygotowawczych jest widocznych online, 11% - offline, 22% - oba jednocześnie.
Należy również wziąć pod uwagę, że zdecydowana większość ataków dokonywana jest przez dywersantów poza godzinami pracy i przy pomocy zdalny dostęp do sieci korporacyjnej.
3. Przepisy z zakresu ochrony przed zagrożeniami wewnętrznymi
Regulacje prawne i regulacyjne
Specyfika sektora telekomunikacyjnego (na tle innych branż) przejawia się również w kwestiach regulacyjnych. Po pierwsze, firmy z tej branży często nastawione są na świadczenie usług dla osób fizycznych, dlatego gromadzą ogromne ilości danych osobowych abonentów w swojej sieci korporacyjnej. Stąd baczna uwaga kierownictwa departamentów IT i bezpieczeństwa informacji na ustawę federalną „O danych osobowych”, która nakłada szereg wymagań dotyczących bezpieczeństwa prywatnych informacji obywateli . Po drugie, telekom niedawno nabył własny standard o nazwie „Podstawowy poziom bezpieczeństwa informacji operatorów telekomunikacyjnych”. On jest minimalny zestaw rekomendacje, których realizacja powinna gwarantować określony poziom bezpieczeństwa informacyjnego usług komunikacyjnych, pozwalający na zapewnienie równowagi interesów operatorów, użytkowników i państwa. Rozwój tego standardu wynika z rozwoju branży telekomunikacyjnej: operatorzy telekomunikacyjni są zmuszeni łączyć swoje sieci w celu świadczenia niezbędnego zestawu usług, ale sami operatorzy nie wiedzą z kim mają do czynienia i komu mogą zaufać w celu uniknięcia zagrożeń cyberbezpieczeństwa. Niektóre z postanowień tego dokumentu odnoszą się bezpośrednio do wewnętrznych zagrożeń bezpieczeństwa informacji oraz problemów przechowywania danych osobowych. Na przykład, operatorowi zaleca się „zapewnienie poufności przesyłanych i/lub przechowywanych informacji systemów kontroli i automatycznych systemów płatności za usługi komunikacyjne (rozliczenia), informacji o abonentach (dane osobowe osoby fizyczne) oraz świadczone przez nią usługi łączności, które stały się znane operatorom telekomunikacyjnym w związku z zawarciem umów o świadczenie usług łączności. Firmy są zobowiązane do prowadzenia dzienników zdarzeń związanych z bezpieczeństwem informacji i przechowywania ich zgodnie z przedawnieniami (w Rosji - 3 lata). Ponadto „w celu filtrowania przepływu zdarzeń pierwotnych zaleca się stosowanie technicznych środków korelacji zdarzeń, które optymalizują wpisy w dziennikach incydentów związanych z bezpieczeństwem informacji”. Nie sposób pominąć punktu, który brzmi: „Operatorowi, który dopuścił do utraty baz abonentów (klientów) innych (interakcji) operatorów, zaleca się jak najszybsze poinformowanie tego ostatniego”. Tym samym rosyjski sektor telekomunikacyjny stopniowo zbliża się do najlepszych praktyk – w USA i UE firmy od dawna są odpowiedzialne za wyciek prywatnych danych i są prawnie zobowiązane do informowania ofiar wycieku. Z czasem taka norma powinna pojawić się w Rosji.
To prawda, że nie można jeszcze argumentować, że regulacje regulacyjne odgrywają decydującą rolę w sektorze telekomunikacyjnym. Niemniej jednak już dziś kierownictwo powinno myśleć o zgodności IT i bezpieczeństwa informacji z istniejącymi standardami i przepisami prawa na wypadek, gdyby organy nadzorcze wreszcie zaczęły działać. Ponadto duże firmy telekomunikacyjne, których akcje notowane są na giełdach, są zobowiązane do spełnienia wymogów rynków giełdowych. Na przykład w Rosji jest to opcjonalny Kodeks Postępowania Korporacyjnego FFMS (Federalna Usługa Rynków Finansowych), w Wielkiej Brytanii - Skonsolidowany Kodeks Ładu Korporacyjnego (półobowiązkowy), a w USA - prawo SOX (Sarbanes). - Ustawa Oxleya z 2002 r.). Prawo federalne „O danych osobowych” i „Poziom podstawowy…” jest przedmiotem bezpośredniego zainteresowania rosyjskich firm telekomunikacyjnych.
Ustawa federalna „O komunikacji” (art. 46 ust. 1) nakłada na operatora takie funkcje IS, jak ochrona urządzeń komunikacyjnych, urządzeń komunikacyjnych i przesyłanych za ich pośrednictwem informacji przed nieautoryzowanym dostępem; zapewnienie bezpieczeństwa funkcjonowania infrastruktury wewnętrznej operatora telekomunikacyjnego.
Wymagania te muszą być wdrożone w system funkcjonowania sieci komunikacyjnej, monitorować ich działanie, towarzyszyć działaniu, przygotowywać i przekazywać raporty statystyczne władzom wyższym. Jednak ze względu na brak regulacji koordynujących nie ma jednego podejścia do bezpieczeństwa informacji. Nie ma wspólnego podejścia do składu działów IT i bezpieczeństwa informacji. Zależy to z reguły od ilości zadań wykonywanych przez operatora, a odpowiedzialność funkcjonalna pomiędzy IT a bezpieczeństwem informacji jest rozdzielona w oparciu o dotychczasowe doświadczenia szefów tych działów.
Certyfikacja zgodnie z międzynarodowymi standardami
Najbardziej znana na świecie certyfikacja jest zgodna z wymaganiami normy ISO 27001:2005. W Rosji sześć firm oficjalnie certyfikowało swoje systemy zarządzania bezpieczeństwem informacji (ISMS); czterech z nich pracuje w sektorze IT. Norma ISO/IEC27001:2005, wydana przez British Standards Institute w 2005 roku, opiera się na najlepszych światowych praktykach. Jasno określa kluczowe procesy, którymi powinien zarządzać menedżer odpowiedzialny za zapewnienie bezpieczeństwa informacji w organizacji. Zgodnie z tym standardem, ostatnim krokiem w potwierdzeniu skuteczności systemu IS jest niezależny audyt przez akredytowaną jednostkę certyfikującą. Pozytywna opinia takiego organu wskazuje na skuteczne i prawidłowe prowadzenie procesów zarządzania bezpieczeństwem informacji, pozytywny wizerunek firmy, a dla jej zarządzania stanowi przekonujący argument, że system informatyczny przedsiębiorstwa wykorzystuje nowoczesne wyposażenie zapewnienie bezpieczeństwa informacji przy maksymalnym poziomie wydajności. Sam proces weryfikacji ciało zewnętrzne o certyfikację zwiększa stopień zaufania kierownictwa do działów bezpieczeństwa informacji, będąc wyznacznikiem jakości i profesjonalizmu pracowników tej usługi.
Decyzja o wdrożeniu SZBI w organizacji powinna zostać podjęta w wysoki poziom kierownictwo, najlepiej CEO. Bez wsparcia kierownictwa takie projekty są często skazane na niepowodzenie, w najlepszym razie na nieefektywne funkcjonowanie w obliczu odrzucenia procesów przez pracowników firmy.
1) Wymagania dotyczące polityk określają potrzebę ustanowienia polityki bezpieczeństwa ustalonej (zatwierdzonej) przez wewnętrzne procedury przedsiębiorstwa komunikacyjnego, opartej na najlepszych praktykach oceny i zarządzania ryzykiem, która spełnia potrzeby działalność biznesowa i zgodnie z ustawodawstwem krajowym. Polityki bezpieczeństwa powinny być publikowane i podawane do wiadomości personelu operatora oraz uczestników zewnętrznych (klientów, współpracujących operatorów, innych zainteresowanych stron).
2) Wymagania dotyczące funkcjonalności opisują wymagania tylko dla dostępnych certyfikowanych środków technicznych, opisują procedury rejestrowania zdarzeń.
3) Wymagania dotyczące interoperacyjności opisują identyfikację własnych klientów i innych operatorów. Podsekcja wskazuje na potrzebę całodobowa obsługa reagowanie na incydenty bezpieczeństwa (lub korzystanie z takiej usługi na zasadzie outsourcingu).
Istnieje również wymóg zapewnienia poufności przesyłanych i / lub przechowywanych informacji dla systemów kontroli i automatycznych systemów płatności za usługi komunikacyjne (billing), informacji o abonentach (dane osobowe osób fizycznych) oraz świadczonych im usług komunikacyjnych. Jednocześnie należy tego przestrzegać, nawet jeśli informacje te stały się znane operatorowi telekomunikacyjnemu z tytułu realizacji umów o świadczenie usług komunikacyjnych.
4. Statystyka badania naukowe
Jedną z najbardziej ambitnych i najciekawszych prac z zakresu ochrony przed zagrożeniami wewnętrznymi było badanie 275 firm telekomunikacyjnych, przeprowadzone przez ośrodek analityczny InfoWatch. Zgodnie z jej wynikami, zagrożenia wewnętrzne przeważają nad zagrożeniami zewnętrznymi w stosunku 6:4. Przeanalizujmy strukturę tych zagrożeń i wpływ na nie różnych czynników: stosowanych środków ochrony informacji, regulacji regulacyjnych itp.
Na liście najgroźniejszych zagrożeń bezpieczeństwa wewnętrznego informacji (tabela 4) pierwsze miejsce znalazło naruszenie poufności informacji (85%) oraz nieprawdziwe przedstawienie informacji (64%). Oba te zagrożenia można podsumować pojęciem „wycieku informacji”.
Na trzecim czwartym miejscu - oszustwa (49%) i sabotaż (41%). Co ciekawe, w badaniu obejmującym całą branżę zagrożenie sabotażem przewyższyło ryzyko oszustwa o prawie 15%. Najwyraźniej ze względu na specyfikę świadczenia usług komunikacyjnych oszustwa uznawane są za jedno z najgroźniejszych zagrożeń.
Patka. 4 Najgroźniejsze zagrożenia cyberbezpieczeństwa
Praca administracyjna z personelem
Według ekspertów InfoWatch, najlepszym sposobem zapobiegania sabotażowi korporacyjnemu są działania prewencyjne. Przede wszystkim firmy muszą sprawdzić referencje i poprzednie miejsca pracy zatrudnionych pracowników skuteczna metoda- regularne szkolenia lub seminaria, na których zwraca się uwagę personelu na informacje o zagrożeniach bezpieczeństwa IT i sabotażu jako takim. Przy takim podejściu kierownictwo polega na tych pracownikach, którzy wchodzą w interakcję z sabotażystą w biurze, widzą jego nerwowe zachowanie, otrzymują groźby pod ich adresem itp. Osoby upoważnione powinny być niezwłocznie powiadamiane o takich zdarzeniach.
Poniższa metoda zakłada zastosowanie zasady najmniejszych uprawnień oraz wyraźne rozdzielenie funkcji. Zwykli pracownicy biurowi nie powinni mieć uprawnień administracyjnych. Rozumie się również, że osoba odpowiedzialna za kopie zapasowe nie powinna mieć możliwości usunięcia danych z oryginalnego źródła. Ponadto pracownik ten powinien być zobowiązany do poinformowania władz w przypadku, gdyby inny pracownik wtargnął do kopii zapasowych. Ogólnie problem ochrony kopii zapasowych można rozwiązać, tworząc ich duplikaty. Z uwagi na fakt, że w firmie z reguły nie ma wielu naprawdę krytycznych danych, wykonanie kilku kopii zapasowych wydaje się właściwe.
Niezwykle ważny jest moment efektywnego zarządzania hasłami i kontami.
Najlepszym środkiem zapobiegawczym można nazwać monitoring, i to nie tylko pasywny (dzienniki zdarzeń), ale także aktywny (ochrona cennych informacji). W takim przypadku tylko kierownik najwyższego szczebla będzie mógł wyrządzić firmie realne szkody, ponieważ reszta pracowników, którzy mają dostęp do cyfrowych zasobów firmy, po prostu nie będzie miała prawa do usunięcia cennych informacji. Na rynku istnieją już specjalistyczne rozwiązania chroniące dane przed zagrożeniami wewnętrznymi, w tym sabotażem korporacyjnym.
Rozwiązanie InfoWatch dla przedsiębiorstw
Rozwiązanie InfoWatch Enterprise Solution (IES) jest dostarczane przez rosyjską firmę InfoWatch, twórcę systemów ochrony informacji wewnętrznych. Pozwala na kompleksową kontrolę nad wszystkimi sposobami wycieku poufnych informacji: kanałem pocztowym i ruchem sieciowym, zasobami komunikacyjnymi stacji roboczych itp. Dziś IES jest już wykorzystywany przez rząd (Ministerstwo Rozwoju, Służba Celna), telekomunikację (VimpelCom ), finansowej (Wniesztorgbank) oraz paliwowo-energetycznej (HydroOGK, Transnieft).
Architekturę IES można podzielić na dwie części: monitory, które sterują ruch sieciowy i monitory, które kontrolują operacje użytkownika na poziomie stacji roboczej. Te pierwsze są instalowane w sieci firmowej jako bramy i filtry wiadomości elektroniczne i ruchu internetowego, podczas gdy te ostatnie są wdrażane do komputery osobiste i laptopów oraz monitorować operacje na poziomie systemu operacyjnego. Monitory sieciowe IWM i IMM mogą być również zaimplementowane jako urządzenie sprzętowe - InfoWatch Security Appliance. W ten sposób klient ma do wyboru implementację programową lub sprzętową filtrów ruchu pocztowego i internetowego. Korzyści płynące z tego podejścia najlepiej widać przy ochronie kompleksu śieć komputerowa obejmujące oddziały rozproszone geograficznie.
Monitory na poziomie stacji roboczej obejmują Info-Watch Net Monitor (INM) i InfoWatch Device Monitor (IDM). Moduł INM monitoruje operacje na plikach (odczyt, modyfikacja, kopiowanie, drukowanie itp.), kontroluje pracę użytkownika w Biuro Microsoft i Adobe Acrobat i dokładnie rejestruje wszystkie działania z poufnymi dokumentami.
Całą tę funkcjonalność logicznie uzupełniają możliwości modułu IDM, który kontroluje dostęp do dysków wymiennych, napędów, portów (COM, LPT, USB, FireWire), sieci bezprzewodowe(Wi-Fi, Bluetooth, IrDA) itp.
Ponadto komponenty INM i IDM mogą działać na laptopach, podczas gdy administrator bezpieczeństwa ma możliwość ustawienia specjalnych polityk, które obowiązują w danym okresie żywotność baterii pracownik. Podczas następnego połączenia z siecią firmową monitory natychmiast powiadomią szefa ochrony, jeśli użytkownik próbował złamać ustalone reguły podczas pracy zdalnej.
Wszystkie monitory wchodzące w skład IES są w stanie zablokować wyciek w czasie rzeczywistym i natychmiast powiadomić pracownika ochrony o incydencie. Zarządzanie rozwiązaniem odbywa się poprzez centralną konsolę, która umożliwia konfigurowanie polityk korporacyjnych. Przewiduje również zautomatyzowane stanowisko pracy dla pracownika ochrony, za pomocą którego specjalny pracownik może szybko i adekwatnie reagować na incydenty. W ten sposób kompleksowe rozwiązanie IES obejmuje wszystkie aspekty ochrony poufnych informacji przed osobami z wewnątrz.
Lumigent Entegra i LogExplorer
Produkty Entegra i Log Explorer firmy Lumigent służą do pasywnej ochrony informacji przechowywanych w bazach danych. Pozwalają na audyt baz danych i przywracanie w nich informacji.
Produkt Entegra monitoruje działania użytkowników podczas pracy z bazami danych oraz przeprowadza audyt samych baz danych. Pozwala określić kto, kiedy i w jaki sposób przeglądał lub modyfikował rekordy w bazie, a także zmieniał strukturę lub prawa dostępu do niej. Warto zauważyć, że produkt nie jest w stanie zapobiec wszelkim złośliwym wpływom, może jedynie przesłać informacje o tej operacji do logowania. Log Explorer prowadzi redundantny dziennik wszystkich transakcji dokonanych z bazą danych, co pozwala w przypadku jakichkolwiek problemów na analizę i audyt wykonanych operacji oraz przywracanie utraconych lub zmienionych rekordów bez korzystania z kopii zapasowej. Jednak tak naprawdę nie mówimy o odzyskiwaniu, Eksplorator dziennika umożliwia cofanie transakcji. W związku z tym moduł ten nie jest w stanie zapobiec wyciekom, ale może zmniejszyć ryzyko uszkodzenia zapisów.
PC Acme
Produkt PC Activity Monitor (Acme) umożliwia pasywne monitorowanie aktywności użytkownika na poziomie stacji roboczej. Rozwiązanie składa się z dwóch części: scentralizowanych narzędzi do zarządzania oraz wielu agentów wdrożonych na stacjach roboczych w całej organizacji. Używając pierwszego komponentu produktu, można centralnie dystrybuować agentów w sieci firmowej, a następnie zarządzać nimi. Agenci są moduły oprogramowania, które są bardzo głęboko zakorzenione w Windows 2000 lub Windows XP. Deweloperzy informują, że agenci znajdują się w rdzeniu systemu operacyjnego i praktycznie niemożliwe jest, aby użytkownik nielegalnie je stamtąd usunął lub wyłączył. Sami agenci dokładnie rejestrują wszystkie działania użytkownika: uruchomienia aplikacji, naciśnięcia klawiszy itp. Można powiedzieć, że wyjściowy dziennik zdarzeń pod względem poziomu szczegółowości przypomina wyniki czujnego nadzoru wideo ekranu komputera. Jednak wynikowy log jest naturalnie reprezentowany w formularz tekstowy. Centralna konsola zarządzania pozwala na zbieranie zalogowanych danych na jednym komputerze i tam je analizuje. Na tym etapie mogą jednak pojawić się trudności. Po pierwsze, szef bezpieczeństwa musi ręcznie przeanalizować setki tysięcy zapisów różnych zdarzeń systemowych w celu zidentyfikowania tych, które naruszają politykę bezpieczeństwa IT, doprowadziły do wycieku itp. Ale nawet jeśli szefowi bezpieczeństwa uda się wykryć ten fakt wycieku, to nadal nie może temu zapobiec. Dzięki temu PC Acme nadaje się do pasywnego monitorowania wszystkich działań użytkownika na poziomie stacji roboczej.
Bezpieczeństwo wiadomości Proofpoint
Rozwiązanie sprzętowe Proofpoint zapewnia pełną kontrolę nad pocztą e-mail. Za pomocą tego urządzenia możesz sprawdzać wiadomości pod kątem wirusów i spamu, zapobiegać niewłaściwemu wykorzystaniu zasobów poczty i wyciekowi poufnych informacji w wiadomościach e-mail. Ochrona przed wyciekiem poufnych danych zbudowana jest w oparciu o mechanizm filtrowania treści. Jeśli przesłana wiadomość zawiera poufne informacje, produkt jest w stanie zablokować wyciek. Rozwiązanie Proofpoint to klasyczny przykład produktu przeznaczonego do ochrony jednego konkretnego kanału transmisji danych – poczty elektronicznej. Taki produkt może być stosowany w przypadkach, gdy główną funkcjonalnością jest filtrowanie spamu i wykrywanie wirusów, a zapobieganie wyciekom jest tylko miłym dodatkiem.
Jak łapie się wtajemniczonych
Zademonstrowała przykład zwycięstwa nad insiderami w połowie lutego 2006 roku. Rosyjska firma Firma IT LETA. Dzięki kompetentnemu podejściu do wewnętrznego bezpieczeństwa IT, firmie udało się zneutralizować insidera skazanego za nadużycia. Zgodnie z wynikami wewnętrznego śledztwa, jeden z opiekunów klienta próbował negocjować umowy na dostawę oprogramowania nie za pośrednictwem swojego legalnego pracodawcy, ale stworzonej przez siebie firmy-przykrywki. Nadużycie zostało wykryte szybko iz wyprzedzeniem za pomocą InfoWatch Mail Monitor.
WNIOSEK
Tak więc w USA i UE firmy od dawna ponoszą odpowiedzialność za wyciek danych prywatnych i są prawnie zobowiązane do informowania ofiar wycieku. Mamy nadzieję, że z czasem taka norma pojawi się w Rosji. To już można zauważyć pozytywne trendy. Liczba organizacji, które chronią się przed wyciekami, stale rośnie i będzie rosła.
Organizacje stają się coraz bardziej świadome rosnących zagrożeń dla ich własnej siły roboczej, chociaż niewiele robi się, aby się chronić. Nie wszyscy na listach swoich priorytetowych zadań umieścili szkolenia i zaawansowane szkolenia pracowników w zakresie bezpieczeństwa informacji, regularną ocenę pracy dostawców usług IT w celu monitorowania ich zgodności z polityką bezpieczeństwa informacji, opierając się wyłącznie na zaufaniu . Tylko nieliczni uważają dziś bezpieczeństwo informacji za jeden z priorytetów przywództwa.
W miarę jak modele biznesowe organizacji ewoluują w kierunku decentralizacji, niektóre funkcje są delegowane na zewnętrznych wykonawców, dlatego coraz trudniej jest kontrolować bezpieczeństwo ich informacji i oceniać poziom ryzyka. Firmy mogą delegować pracę, ale nie powinny delegować odpowiedzialności za bezpieczeństwo.
Niedostateczna uwaga ze strony wyższej kadry kierowniczej, nieregularne przeprowadzanie oceny ryzyka, a także brak lub całkowity brak inwestycji w pracę w celu zmniejszenia ryzyka związanego z czynnikiem ludzkim (nieprawidłowe zachowanie pracowników, niedopatrzenie, naruszenie ustalonych zasad lub standardów). Nacisk kładziony jest nadal tylko na zagrożenia zewnętrzne, takie jak wirusy, a nie docenia się wagi zagrożeń wewnętrznych: istnieje chęć zakupu narzędzi technologicznych (zapory ogniowe, ochrona antywirusowa itp.), ale nie ma ochoty na rozwiązywanie problemów związanych z bezpieczeństwem personelu.
Wiele incydentów z udziałem pracowników pozostaje niewykrytych. Zdaniem autorów badań firmy telekomunikacyjne mogą i powinny zmienić swoje spojrzenie na bezpieczeństwo informacji jedynie jako pozycję wydatków biznesowych: traktować je jako jeden ze sposobów na zwiększenie konkurencyjności i utrzymanie potencjału wartości firmy.
Wiele dużych firm podlega wymogom różnych przepisów, które wymagają ochrony prywatnych informacji. Ogólnie oczekuje się, że popyt na rozwiązania chroniące przed osobami poufnymi i wyciekami będzie stale rósł w ciągu co najmniej następnych pięciu lat.
Lista WYKORZYSTYWANEJ literatury
1. InfoWatch. Aktualności. Jak trudno jest zidentyfikować przeciek - telekomunikacja Corbina. 2007
2. Sbiba V.Yu., Kurbatov V.A. Wytyczne dotyczące ochrony przed wewnętrznymi zagrożeniami bezpieczeństwa informacji. Petersburg: Piotr, 2008.
3. „KNS INFOTEKS” http://home.tula.net/insider/001b.htm.
4. Zenkin, D. Insiderzy są 75 razy bardziej niebezpieczni niż hakerzy. C-Wiadomości. Analityka. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.
5. Udostępnij, A. CityCity. Nadchodzą wtajemniczeni. http://citcity.ru/14874/
6. InfoWatch: Zagrożenia wewnętrzne: w obliczu powszechnego zagrożenia. http://www.infowatch.ru/threats?chapter=147151398&id=153017335
7. Udział, A. Sabotaż w środowisku korporacyjnym. http://www.directum-journal.ru/card.aspx?ContentID=1717301.
8. Podstawowy poziom bezpieczeństwa informacji operatorów telekomunikacyjnych. [W Internecie] http://www.ccin.ru/treb_baz_u.doc.
9. Dolya A. Bezpieczeństwo telekomunikacji. http://citcity.ru/15562
10. Udostępnij AV Zagrożenia wewnętrzne bezpieczeństwa informacji w telekomunikacji. 2007 http://www.iks-navigator.ru/vision/456848.html.
11. Kostrow, D.V. Bezpieczeństwo informacji w zaleceniach, wymaganiach, normach. 2008
http://www.iks-navigator.ru/vision/2390062.html.
12. Vestnik svyazi: Ochrona przed osobami z wewnątrz firm telekomunikacyjnych.
http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.
13. Nieznajomy wśród przyjaciół: protokół ze spotkania przy okrągłym stole. Biuletyn Komunikacyjny. - nr 7. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.
Nie jest tajemnicą, że średnio 82% zagrożeń dla zasobów informacyjnych firm wynika z działań ich własnych pracowników, spowodowanych zaniedbaniem lub umyślnie. Według prognoz ekspertów niebezpieczeństwo zagrożeń wewnętrznych ma tendencję do wzrostu i nadal jest jednym z najbardziej aktualnych problemów. W wysoce konkurencyjnym środowisku zadanie zachowania poufności danych jest szczególnie istotne. Błędnie wysłany e-mail, wiadomość ICQ lub wydrukowane dokumenty mogą zawierać informacje poufne, nieprzeznaczone dla osób nieuprawnionych. Tajemnice handlowe lub urzędowe, dane osobowe klientów, partnerów lub pracowników, a także inne rodzaje informacji chronionych mogą wpaść w ręce osób trzecich i spowodować nieodwracalne szkody dla firmy. Niezbędne jest podjęcie na czas środków, aby zapobiec ryzyku związanemu z wyciekiem informacji poufnych.
Twoja firma może być zagrożona różnymi rodzajami ryzyka, w tym:
- Ryzyka finansowe
Skutkiem wycieku poufnych danych może być sytuacja, w której tajemnica handlowa stanie się znana osobom trzecim. Jeśli takie informacje wpadną w ręce konkurencji, istnieje duże prawdopodobieństwo strat finansowych, często prowadzących do bankructwa firmy. - Ryzyko prawne
Niekontrolowane ujawnienie poufnego dokumentu poza siecią korporacyjną może być przedmiotem szczególnej uwagi organów regulacyjnych. Pozwy i kary za naruszenie przepisów dotyczących ochrony danych osobowych i innych rodzajów informacji poufnych nie są rzadkością. - Ryzyko reputacji
Wyciek poufnych danych może być szeroko nagłaśniany w mediach i prowadzić do zniszczenia wizerunku firmy w oczach jej klientów i partnerów, powodując poważne straty finansowe.
Aby zapewnić ochronę przed wyciekiem poufnych informacji w każdej firmie, należy zapewnić system DLP.
Systemy DLP (z angielskiego Data Loss Prevention) to oprogramowanie lub oprogramowanie układowe zaprojektowane w celu ochrony przed wyciekami za pośrednictwem kanałów sieciowych i lokalnych. Przesyłane dane są analizowane pod kątem ich poufności i rozdzielane na określone kategorie (informacje publiczne, dane osobowe, tajemnice handlowe, własność intelektualna itp.). W przypadku wykrycia w przepływie informacji danych poufnych, system DLP wykonuje jedną z następujących czynności: zezwala na ich transmisję, blokuje je lub w przypadkach niejednoznacznych wysyła je do dodatkowej weryfikacji do specjalisty ds. bezpieczeństwa. Systemy DLP obejmują szeroki zakres kanałów komunikacji, umożliwiając śledzenie e-mail, komunikatory internetowe i inny ruch internetowy, drukarki, urządzenia Bluetooth, urządzenia USB i inne nośniki zewnętrzne.
Istniejące systemy DLP różnią się w zestawie funkcjonalność. Po pierwsze, systemy DLP mogą być aktywne (wykrywanie i blokowanie wycieków danych) oraz pasywne (wykrywanie wycieków danych i wysyłanie alertów o incydentach). Obecnie uwaga skupia się na aktywnych systemach DLP, których głównym zadaniem jest zapobieganie wyciekom danych w czasie rzeczywistym, a nie wykrywanie ich po fakcie. Dla takich systemów DLP można opcjonalnie ustawić tryb monitorowania, który pozwoli nie ingerować w procesy biznesowe i wysłać zgłoszenie incydentu do specjalisty ds. bezpieczeństwa. Po drugie, systemy DLP mogą rozwiązać szereg dodatkowych zadań związanych z monitorowaniem działań pracowników, ich godzin pracy oraz wykorzystania zasobów firmy.
Istotną zaletą systemów DLP jest to, że pozwalają zachować ciągłość procesów biznesowych, praktycznie bez wpływu na pracę użytkowników końcowych. Dzięki wszystkim powyższym cechom system DLP jest obecnie jednym z najpopularniejszych rozwiązań zapewniających bezpieczeństwo informacji biznesowych.
Odrębnym złożonym zagadnieniem jest prawidłowe wdrożenie i konfiguracja systemu DLP. Tutaj nie da się obejść bez kompetentnego doradztwa. Wysoko wykwalifikowani specjaliści Infozashchita pomogą Ci wybrać rozwiązanie odpowiadające specyfice Twojej firmy.
Współczesny rynek DLP jest jednym z najszybciej rozwijających się, co wyraźnie świadczy o dużym zapotrzebowaniu na tego typu systemy ochrony. Twórcy rozwiązań DLP stale się rozwijają i ulepszają nowe wydajne technologie do walki z wyciekami danych.
Infozashchita jest gotowa Ci zaoferować Szeroki wybór zaawansowane rozwiązania wiodących programistów w celu ochrony przed zagrożeniami wewnętrznymi.
Dane osobowe klientów i pracowników, tajemnice handlowe, korespondencja i wiele innych – to najważniejsze informacje biznesowe, których dostęp i wykorzystanie musi być ściśle regulowane wewnątrz firmy. Niestety nikt nie jest bezpieczny przed oszustwami, zmową, wykorzystaniem zakładów produkcyjnych do celów osobistych i szpiegostwem przemysłowym. Zagadnienia ochrony informacji poufnych powinny obejmować zarówno opracowanie dokumentacji, procedur regulacyjnych, jak i wdrożenie technicznych środków ochrony. Ten program, opracowany przez InfoWatch, przybliży studentom główne obszary działalności związane z zapewnieniem ochrony informacji korporacyjnej przed zagrożeniami wewnętrznymi, ramy prawne regulujące tę działalność, zadania bezpieczeństwa informacji, narzędzia, technologie i metody ich stosowania do osiągnięcia tych celów. Program realizowany jest z wykorzystaniem technologii firmy w specjalnie do tego wyposażonym laboratorium.
- Tryb zajęć Zajęcia w poniedziałki (19:00-22:00) i środy (19:00-22:00)
- Wydany dokument Certyfikat Rozwoju Zawodowego
- Jednostka wdrażająca
- Kierunek szkolenia
- Miejsce wydarzenia Moskwa, ul. Tallinnskaya d. 34 i biuro InfoWatch
Wstęp
Grupa docelowa
Dokumenty do przyjęcia
Oryginał i kopia paszportu lub równoważnego dokumentu
Oryginał i kopia dokumentu o wykształceniu i kwalifikacjach lub świadectwa ukończenia studiów dla osób otrzymujących wykształcenie wyższe
Oryginał i kopia dokumentu o zmianie nazwiska, imienia, patronimiku (jeśli to konieczne)
1. Teoretyczne podstawy ochrony firmy przed zagrożeniami wewnętrznymi. Informacje i przepływy informacji. Zagrożenia wewnętrzne i zewnętrzne bezpieczeństwa informacji. Modele zagrożeń IS. Klasyfikacja osób naruszających bezpieczeństwo informacji korporacyjnych. Cechy oceny uszkodzeń.
2. Regulacyjne aspekty ochrony przedsiębiorstwa przed zagrożeniami wewnętrznymi. Systemy DLP i wymagania bezpieczeństwa informacji. Kategoryzacja informacji w Federacji Rosyjskiej. Zagadnienia prawne korzystania z systemów DLP: tajemnice osobiste i rodzinne; tajemnica komunikacji; specjalne środki techniczne. Środki zapewniające prawne znaczenie DLP (Pre-DLP). Przegląd praktyki prawa do stosowania w badaniu incydentów związanych z naruszeniem reżimu wewnętrznego bezpieczeństwa informacji (Post-DLP).
3. Administracyjno-organizacyjne aspekty ochrony firmy przed zagrożeniami wewnętrznymi. Tworzenie procesów i procedur audytu SI. Badanie korporacyjnych systemów informatycznych. Status informacji korporacyjnych. Narzędzia i technologie do ochrony firm przed zagrożeniami wewnętrznymi. Kryteria skuteczności projektu zapewniającego ochronę firmy przed zagrożeniami wewnętrznymi. Przeszkody w realizacji projektów zapewniających ochronę firmy przed zagrożeniami wewnętrznymi.
4. Ochrona informacji firmowych za pomocą zautomatyzowany system kontrola przepływu informacji. Przeznaczenie systemu IW Traffic Monitor (IW TM). Kontrolowane kanały transmisji danych. Architektura produktu IW TM. Technologie analizy wykrytych obiektów. Zadania i zasady działania dodatkowych modułów systemu IW Device monitor (IW DM) oraz IW Crawler.
nauczyciele
Andriej Zarubin
Kierownik Działu Szkoleń i Kontroli Jakości Usług w InfoWatch JSC, MBA, SixSigma Black Belt.
Wiele organizacji przeprowadziło badania dotyczące wewnętrznych wycieków. Największe i najbardziej znane to Niepewność wykrywania naruszenia danych Instytutu Ponemon; badania zachodnich analityków: CSI/FBI Computer Crime and Security Survey. Tabela 1 ilustruje jedno z takich badań.
Patka. 1. Najgroźniejsze zagrożenia cyberbezpieczeństwa poprzez skumulowane szkody w dolarach
Zagrożenia |
Szkody (w dolarach) |
Kradzież laptopa |
|
Wyciek informacji |
|
Odmowa usługi |
|
Oszustwo finansowe |
|
Nadużycie sieci lub wewnętrznych wiadomości e-mail |
|
Oszustwa telekomunikacyjne |
|
Sieci zombie w organizacji |
|
Hakowanie systemu z zewnątrz |
|
Phishing (w imieniu organizacji) |
|
Nadużycie sieci bezprzewodowej |
|
Nadużywanie komunikatorów internetowych przez wtajemniczonych |
|
Nadużywanie publicznych aplikacji internetowych |
|
Sabotaż danych i sieci |
Można tylko dodać, że w komentarzach na temat wysokości szkód analitycy z FBI i Instytutu Bezpieczeństwa Komputerowego sceptycznie podchodzą do tego, aby respondenci byli w stanie mniej lub bardziej dokładnie określić wysokość strat z powodu wycieku danych osobowych lub tajemnic handlowych . Takie incydenty mają wiele długotrwałych negatywnych konsekwencji. Na przykład pogorszenie opinii publicznej, spadek reputacji i zmniejszenie bazy klientów. Wszystko to dzieje się stopniowo i zajmuje tygodnie i miesiące. A co najmniej rok zajmuje zidentyfikowanie strat w postaci utraconych zysków z powodu wycieku. Nie można więc dokładnie określić wewnętrznej struktury strat finansowych spowodowanych zagrożeniami bezpieczeństwa informacji.
Ogólnie rzecz biorąc, bezpieczeństwo informacji w organizacjach obejmuje:
zestaw komputerów połączonych ze sobą w sieci;
kanały komunikacyjne realizowane przez dowolne kanały transmisji informacji, poprzez które fizycznie realizowana jest sieć logicznych połączeń;
wymiana poufnych informacji w sieci w ścisłej zgodności z dopuszczalnymi połączeniami logicznymi
zintegrowana wielopoziomowa ochrona przed nieautoryzowanym dostępem i wpływami zewnętrznymi
Sztywne scentralizowane ustawienie struktury połączeń logicznych i kontroli dostępu w sieci
· niezależność struktury logicznej sieci od typów kanałów transmisji informacji.
Większość firm od dawna buduje ochronę przed zagrożeniami zewnętrznymi, a teraz muszą chronić tyły. Wśród zagrożeń wewnętrznych jest kilka najczęstszych sposobów powodowania szkód:
zapisywanie lub przetwarzanie informacji poufnych w systemie do tego nieprzeznaczonym;
Próby obejścia lub zhakowania systemu bezpieczeństwa lub audytu bez autoryzacji (z wyjątkiem testów bezpieczeństwa lub podobnych badań);
Inne naruszenia zasad i procedur bezpieczeństwa sieci wewnętrznej.
Istnieje kilka sposobów na ujawnienie poufnych informacji:
o serwer pocztowy (e-mail);
o serwer WWW (otwarte systemy pocztowe);
o drukarka (drukowanie dokumentów);
o FDD, CD, napęd USB (kopiowanie na nośniki).
Zanim przejdziemy do obliczeń analitycznych, należy odpowiedzieć na pytanie, co nadal nazywa się zagrożeniem wewnętrznym. Wagę tej definicji podkreśla fakt, że sabotaż to tylko część zagrożeń wewnętrznych, należy odróżnić sabotażystów od np. insiderów, którzy „wyciekają” poufne informacje konkurencji.
Korporacyjny sabotaż to niszczycielska akcja przeciwko firmie, popełniona przez wtajemniczonych z powodu zranionej dumy, pragnienia zemsty, wściekłości i innych emocjonalnych powodów. Zwróć uwagę, że pojemny termin „wtajemniczony” odnosi się do byłych i obecnych pracowników przedsiębiorstwa, a także pracowników kontraktowych.
Sabotaż korporacyjny jest zawsze dokonywany z pobudek emocjonalnych, czasem irracjonalnych. Sabotażysta nigdy nie kieruje się chęcią zarobku, nie dąży do zysku finansowego. To w rzeczywistości odróżnia sabotaż od innych zagrożeń wewnętrznych.
Badanie przeprowadzone przez US Secret Service wykazało, że w 98% przypadków sabotażystą jest mężczyzna. Motywy te są jednak konsekwencją wcześniejszych wydarzeń, które zachwiały pracownika (tab. 2). Według analityków w większości przypadków sabotaż poprzedzony jest nieprzyjemnym incydentem w pracy lub serią takich incydentów.
Patka. 2 Wydarzenia prowadzące do sabotażu
Źródło CERT
Wielu sabotażystów w momencie sabotażu było już byłymi pracownikami poszkodowanej firmy, którzy z jakiegoś powodu zachowali dostęp do jej zasobów informacyjnych (prawdopodobnie przeoczenie administratora). Zauważ, że to prawie połowa wszystkich przypadków.
Jak pokazało badanie CERT, prawie wszyscy korporacyjni sabotażyści to specjaliści w taki czy inny sposób związani z informatyką.
Patka. 3 Portret typowego sabotażysty
Źródło CERT
W ten sposób można wyróżnić tylko dwie najbardziej wiarygodne cechy sabotażysty: jest to mężczyzna, pracownik działu technicznego. Dziewięć na dziesięć aktów sabotażu jest popełnianych przez osoby związane w taki czy inny sposób z technologią informatyczną. Według ekspertów InfoWatch, twórcy systemów ochrony poufnych informacji przed osobami z wewnątrz, przyczyną takiej przynależności zawodowej są psychologiczne cechy tych pracowników. Aby lepiej zrozumieć problem, dwa przykłady z życia najdobitniej ilustrują typowe cechy charakteru specjalistów IT.
„Pracowałem dla średniej wielkości firmy zajmującej się tworzeniem oprogramowania. Przy dostępie do głównych serwerów miałem uprawnienia administratora. Aby oczyścić umysł, zastanowiłem się, w jaki sposób ten dostęp mógłby zostać złośliwie wykorzystany i opracowałem następujący plan. Po pierwsze, zhakuj system kopii zapasowych... Po drugie, poczekaj rok lub dłużej. Po trzecie, usuń wszystkie informacje z serwerów, w tym zhakowane oprogramowanie do szyfrowania / odszyfrowywania danych kopii zapasowej. W ten sposób przedsiębiorstwo będzie miało tylko zaszyfrowane kopie zapasowe (bez klucza). Po czwarte, zaoferuj firmie zakup kluczy, które uzyskano na pierwszym etapie. Jeśli firma odmówi, straci lata swojej pracy. To oczywiście tylko hipotetyczny plan. Nie próbowałem go wdrożyć, więc nie wiem, czy to zadziała, czy nie…” -- Filias Cupio „Większość specjalistów IT, których znam, nawet nowicjuszy, pierwszą rzeczą, jaką robią po objęciu urzędu, jest instalowanie rootkita w systemie korporacyjnym. To odruch. Faceci nie chcą nikogo skrzywdzić ani robić złośliwych planów, potrzebują tylko niezawodnego dostępu do systemu, aby mogli bezpiecznie pracować w domu lub na uczelni ”- Ben.
Głębokie psychologiczne podłoże aktu sabotażu często skutkuje tym, że niezadowolony pracownik grozi przełożonym lub współpracownikom. Czasami dzieli się nawet swoimi przemyśleniami z jednym ze swoich kolegów. Innymi słowy, nie tylko sabotażysta posiada informacje o zbliżającym się sabotażu. Analitycy obliczyli, że w 31% przypadków inne osoby mają informacje o planach sabotażysty. Spośród nich 64% to koledzy, 21% to przyjaciele, 14% to członkowie rodziny, a kolejne 14% to współpracownicy.
W 47% przypadków dywersanci wykonują czynności przygotowawcze (np. kradną kopie zapasowe poufnych danych). W 27% projektują i testują mechanizm ataku (przygotowanie bomby logicznej w sieci korporacyjnej, dodatkowe ukryte loginy itp.). Jednocześnie w 37% przypadków można zauważyć aktywność pracowników: z tej liczby 67% działań przygotowawczych jest widocznych online, 11% offline, 22% oba jednocześnie.
Należy również wziąć pod uwagę, że zdecydowana większość ataków dokonywana jest przez sabotażystów poza godzinami pracy oraz poprzez zdalny dostęp do sieci korporacyjnej.