Риск утечки через сотрудников среди всех угроз информационной безопасности является наиболее трудозатратным в плане предотвращения и может привести к убыткам, значительно превышающим обычный взлом.
В принципе любой работник компании может являться потенциальным инсайдером. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента. Проблема в том, что выявить потенциальное слабое звено (и укрепить его) является одной из самых сложных задач, стоящих перед службой безопасности в организациях.
Утечки через инсайдеров можно разделить на два типа: умышленные утечки, когда сотрудник компании осознанно «слил» информацию третьим лицам, или непреднамеренные инциденты, когда работник сделал это по ошибке или вследствие обмана его злоумышленниками. От нежелательных действий сотрудников может пострадать любая организация, даже такая защищенная, как, например, Министерство обороны США: говоря об инсайдерских утечках, нельзя не вспомнить об одном из самых громких событий последних лет в этой области — активности сайта WikiLeaks и бывшего сотрудника АНБ Эдварда Сноудена. В результате его действий огромный массив конфиденциальной информации о действиях государственных органов и политиков США, а также их личная переписка оказались в свободном доступе. Можно по-разному оценивать этичность поступка Сноудена, однако нельзя не признать, что его действия нанесли непоправимый ущерб имиджу американского правительства.
Конечно, подавляющая часть сотрудников не являются злоумышленниками и никогда не причинят вреда компании. Согласно Verizon Data Breach Investigation Report, только 10% сотрудников ответственны за большую часть утечек. Проблема заключается как раз в том, каким образом можно выявить таких сотрудников. При этом средний убыток от инсайдерской активности в разы превышает расходы, понесенные в результате других типов инцидентов информационной безопасности. Каким образом можно предупредить инсайдерскую активность и определить злонамеренные действия еще до их совершения? Решений на самом деле не так много, различаются лишь инструменты достижения искомого результата.
Один из таких методов — поиск аномалий в действиях сотрудников. Если работник достаточно долго ведет свою трудовую деятельность в стенах компании, то любому внешнему наблюдателю (неважно, человеку или алгоритму) постепенно становится очевиден его систематически повторяющийся распорядок рабочего дня. В 9 утра он приходит на работу, в день отправляет в среднем 14 писем, проводит такое-то количество времени в определенных приложениях и на определенных сайтах. Опасность возникает в тот момент, когда этот паттерн резко изменяется. По схожему принципу работают используемые банками и платежными системами алгоритмы выявления мошеннических операций. Если вы живете в Восточной Европе и используете карту для небольших покупок в местных магазинах, то внезапная трата большой суммы денег с вашей карточки в Нигерии скорее всего вызовет блокировку транзакций и активизацию работы службы безопасности вашего банка.
Другой метод — поиск в работе организации уязвимых процессов. Критические узлы инфраструктуры организации, в которых чувствительная информация наиболее легко может быть украдена, уже не выявишь алгоритмически, это задача для вдумчивого и долгого анализа. Потенциальные инсайдеры выявляются путем идентификации критических ролей в структуре организации, а вероятность утечки уменьшается путем усиленного контроля за такими сотрудниками, либо корректировкой бизнес-процессов.
Гибридная аналитика представляет собой третий способ упреждения инсайдерской активности. В этом случае минимизация внутренних рисков достигается с помощью комбинации выявления поведенческих аномалий с поиском мест потенциальных утечек.
Для любого из этих методов применяется схожий инструментарий. Сотруднику службы безопасности требуется быть не только технически подкованным специалистом, но и грамотно оценивать отношения внутри коллектива. Для поиска потенциальных критических уязвимостей в периметре организации используется также и специализированное программное обеспечение. DLP-системы, такие как SecureTower, позволяют не только детектировать и блокировать передачу по цифровым каналам конфиденциальной информации, но и предоставляют инструмент для наблюдения за каждодневной работой штата, что позволяет выявлять слабые места еще задолго до наступления инцидента.