Zaštita informacija od insajdera pomoću softverskih alata. Insajderske prijetnje: novi izazov za korporativne usluge sigurnosti informacija

Prema različitim analitičkim kompanijama, do curenja informacija vrlo često dolazi ne zbog njihove krađe izvana, već zbog prenošenja povjerljivih informacija od strane vlastitih zaposlenika predstavnicima konkurentskih organizacija. Danas postoji mnogo različitih uređaja na koje se mogu kopirati svi dokumenti pohranjeni na lokalnoj mreži organizacije. I to nisu samo eksterni USB uređaji ili CD/DVD uređaji. Takođe možete kopirati informacije na mp3 plejere, mobilne telefone, koji se mogu, ali i ne moraju povezati direktno na računar, na eksternu opremu koja se može povezati na lokalnu mrežu putem Wi-Fi mreže i na druge načine. Osim toga, ovo je slanje e-poštom, putem programa za razmjenu trenutnih poruka, putem foruma, blogova i chatova. Postoji mnogo opcija, da li je moguće zaštititi se od njih?

Za zaštita podataka od insajdera koristiti različite metode, uključujući korištenje posebnih programa dizajniranih za kontrolu korištenja perifernih uređaja. U ovom članku ćemo razmotriti nekoliko programa, kako stranih proizvođača, tako i domaćih, i pokušati odrediti gdje i kada ih treba primijeniti.

Program je dizajniran za ograničenja pristupa na različite periferne uređaje, sa mogućnošću kreiranja "bijelih" lista, praćenja aktivnosti korisnika, kopiranja datoteka u sjeni kopiranih na ili sa kontroliranih uređaja. Moguće je instalirati drajvere za praćenje i centralno i lokalno.

Aplikacija se može instalirati i centralno i lokalno ako je pristup zaštićenom računaru preko mreže ograničen ili nemoguć. Jedan distributivni komplet uključuje nekoliko modula: server, instaliran na serveru kancelarijske lokalne mreže dozvoljava / zabranjuje određene radnje, sprema informacije u bazu podataka; klijent, implementiran kao drajver za praćenje; administratora i baze podataka, koja se koristi kao SQLite.

Vozači za praćenje pružaju kontrolu razne luke, uključujući USB, CIM, LPT, WiFi, IR i drugi. Ovisno o vrsti porta, možete potpuno zabraniti pristup, dozvoliti čitanje ili dozvoliti puni pristup uređaju. Ne postoji distribucija pristupa tokom vremena. Također je primjećeno da kada se dozvoli pristup samo za čitanje uređajima kao što su USB fleš diskovi, ostaje mogućnost uređivanja običnih tekstualnih fajlova na ovim uređajima uz mogućnost pohranjivanja na isti medij.

Prikazuje USB uređaje povezane sa računarima i vodi evidenciju radnji korisnika sa eksternim diskovima za skladištenje. Informacije o vremenu povezivanja/isključivanja uređaja io tome koje datoteke i kada su pročitane ili upisane pohranjuju se u bazi podataka. Implementirano kopiranje u sjeni datoteka koje su čitane sa ili upisane na USB uređaje. Nema kopiranja u senci fajlova poslatih na štampanje ili drugih uređaja, oni se samo evidentiraju.

Postoji koncept "bijele liste", koja uključuje USB uređaje, čiji pristup mora uvijek biti otvoren na svim računarima (na primjer, USB ključevi). Ova lista je ista za sve računare; ne postoje pojedinačne liste za pojedinačne korisnike.

pruža konfiguraciju pristupa raznim eksternim uređajima, ali ne bira štampače povezane na ove portove sa opšte liste USB uređaja. Istovremeno, on pravi razliku između prenosivih medija i može postaviti različite vrste pristupa za njih. Izmjenjivi medij se automatski dodaje u bazu podataka uređaja (program će dodati u bazu podataka sve USB diskove koji su ikada bili povezani na određeni računar), što vam omogućava da primijenite prava pristupa koja su im dodijeljena za bilo koje računare zaštićene programom.

Ima mogućnost da koristi centralizovanu instalaciju klijentskih delova koristeći Active Directory Group Policy. U isto vrijeme, možete ih instalirati lokalno i putem administratorske ploče programa. Diferencijacija prava pristupa se vrši na osnovu politika kontrole pristupa, međutim, moguće je kreirati nekoliko politika koje se mogu primeniti pojedinačno za različite računare. Osim funkcije kontrole pristupa, omogućava evidentiranje korištenja uređaja na lokalnom računalu.

Program podržava funkciju shadow copy - mogućnost spremanja točne kopije datoteka koje je korisnik kopirao na vanjske uređaje za pohranu. Tačne kopije svih datoteka pohranjuju se u posebnom skladištu i kasnije se mogu analizirati korištenjem ugrađenog sistema analize. Kopiranje senke se može podesiti za pojedinačne korisnike i korisničke grupe. Kada je omogućena funkcija "čuvaj samo zapisnik", prilikom kopiranja datoteka, sačuvat će se samo podaci o njima (bez pohranjivanja točne kopije datoteke).

Program nema koncept "bijele liste" uređaja. Umjesto toga, možete odrediti prenosivi medij u opštoj politici i dozvoliti pristup njemu sa bilo kog računara. Imajte na umu da ne postoji način da se iste postavke primjenjuju na pojedinačne CD/DVD-ove.

Program kompanije GFI značajno nadmašuje i po svojim mogućnostima i - u njemu, na primjer, ima mnogo više kontrolisanih uređaja od prethodnih programa (iPod media playeri, Creative Zen, mobilni telefoni, digitalne kamere, alati za arhiviranje na magnetnim trakama i Zip-diskovima, web kamere, skeneri).

Program pruža tri tipična podešavanja za prava pristupa - za servere, radne stanice i laptopove. Pored toga blokiranje uređaja, program ima mogućnost blokiranje pristupa datoteke u zavisnosti od njihovog tipa. Na primjer, možete dozvoliti pristup za čitanje datotekama dokumenata, ali zabraniti pristup izvršnim datotekama. Također je moguće blokirati pristup uređajima ne samo po njihovom tipu, već i prema fizičkom portu na koji su povezani vanjski uređaji. Drugi postavljanje prava pristupa provode jedinstveni identifikatori uređaja.

Administrator aplikacije može održavati dvije vrste lista uređaja – one koje su prema zadanim postavkama dozvoljene („bijela lista“) i one kojima je zabranjen pristup („crna lista“). IT stručnjak može dati privremene dozvole za pristup uređajima ili grupama uređaja na jednom računalu (implementirano generiranjem posebnog koda koji se može prenijeti korisniku čak i ako je njegov računar isključen s mreže i agent aplikacije nije u mogućnosti da se poveže sa server).

Program uključuje podršku za novu funkciju šifriranja koja se nalazi u Windows 7 pod nazivom BitLocker To Go. Ova funkcija se koristi za zaštitu i šifriranje podataka na prenosivim uređajima. GFI EndPointSecurity može prepoznati ove uređaje i omogućiti pristup datotekama pohranjenim na njima ovisno o njihovim tipovima.

Pruža administratoru moćan sistem izvještavanja. Statistički podsistem (GFI EndPointSecurity ReportPack) prikazuje (u tekstualnom i grafičkom obliku) dnevni sažetak upotrebe uređaja kako za odabrane računare tako i za sve računare općenito. Također možete dobiti statističke podatke o aktivnostima korisnika po danu, sedmici, mjesecu, raščlanjeno prema korištenim aplikacijama, uređajima, putanjama pristupa datotekama.

Jedan od najčešćih programa za zaštitu informacija od insajdera danas u Rusiji. je objavljen u Rusiji pod brendom "1C: Distribution"

Program obezbeđuje kontrolu ne samo uređaje koji koriste Windows Mobile, već i uređaje koji koriste iPhone OS i Palm OS. Istovremeno, omogućeno je i sjeno kopiranje svih prepisanih datoteka i podataka, bez obzira na koji port su ovi uređaji povezani na nadgledanu mrežu. Kopiranje senke može se konfigurisati ne samo po uređaju, već i po tipu datoteke, a tip će se odrediti ne na osnovu ekstenzija, već na osnovu njihovog sadržaja.

Možete postaviti pristup samo za čitanje za prenosive medije, uključujući pogone trake. Kao dodatna opcija - zaštita medija od slučajnog ili namjernog formatiranja. Također možete voditi evidenciju o svim radnjama korisnika i sa uređajima i sa datotekama (ne samo kopiranje ili čitanje, već i brisanje, preimenovanje itd.).

Streaming kompresija se može koristiti za smanjenje mrežnog opterećenja prilikom prijenosa podataka primljenih od agenata i datoteka s kopijama u sjeni. Podaci o sjeni kopija u velikim mrežama mogu se pohraniti na više servera. Program automatski bira optimalni server, uzimajući u obzir propusni opseg mreže i opterećenje servera.

Mnoge organizacije za zaštitu podataka koriste diskove zaštićene posebnim programima za šifrovanje - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt i TrueCrypt. Za takve diskove program može postaviti posebne "politike šifriranja", koje vam omogućavaju da se samo šifrirani podaci upisuju na prenosive uređaje. Rad je takođe podržan sa Lexar JumpDrive SAFE S3000 i Lexar SAFE PSD fleš diskovima koji podržavaju hardversko šifrovanje podataka. U sljedećoj verziji, rad sa alatom za šifriranje podataka ugrađenim u Windows 7 na prenosivim medijima BitLocker To Go će također biti podržan.

Sjeno kopiranje je dizajnirano ne samo za spremanje kopija datoteka, već i za analizu premještenih informacija. može izvršiti pretraživanje po cijelom tekstu na sadržaju datoteka, automatski prepoznajući i indeksirajući dokumente u različitim formatima.

Već je najavljeno izdavanje nove verzije programa, koja će, osim potpune pretrage, implementirati i filtriranje sadržaja datoteka kopiranih na prijenosne uređaje za pohranu bilo kojeg tipa, kao i kontrolu sadržaja podataka objekte koji se prenose sa računara putem mrežnih komunikacionih kanala, uključujući e-mail aplikacije, interaktivne web servise, društvene mreže, forume i konferencije, najpopularnije servise za razmenu trenutnih poruka (Instant Messengeri), razmenu fajlova preko FTP-a, kao i Telnet sesije

Jedinstvena u novoj verziji je tehnologija filtriranja tekstualnih podataka u kanalu mreže i lokalnog štampanja dokumenata za poslove u PCL i PostScript formatima, koja omogućava blokiranje ili omogućavanje štampanja dokumenata u zavisnosti od njihovog informacionog sadržaja.

zaključci


Daljinsko upravljanje klijentima
Kontrola preko MMC utikača
Centralizirano postavljanje politike, kontrola i oporavak
Kontrola vanjskih uređaja	Samo USB
Kontrola WiFi adaptera
Kontrola uređaja Palm OS. iPhone/iPod			Ograničeno	Ograničeno
Podrška za tehnologiju stavljanja na bijelu listu
Podrška za tehnologiju stavljanja na bijelu listu medija
Podrška za vanjske šifrirane diskove
Blokiranje keyloggera
Ograničavanje količine kopiranih podataka
Kontrolisanje podataka po tipu
Centralizirana sječa
Shadow Copy	Samo USB	Samo USB	Djelimično
Kopiranje podataka o štampanju u senci
Grafičko evidentiranje i sjenčanje izvještaja
Pretraživanje cijelog teksta u podacima o sjeni kopije

Prva dva od programa o kojima se raspravlja mogu se koristiti zaštita informacija od krađe, ali su njihove mogućnosti ograničene. Oni „zatvaraju“ standardne eksterne uređaje u različitom stepenu, ali su im mogućnosti ograničene – i u pogledu podešavanja i u smislu analize rada korisnika. Ovi programi se mogu preporučiti "za testiranje", kako bi se razumio sam proces zaštite. Za velike organizacije koje koriste raznovrsnu perifernu opremu i zahtijevaju analizu aktivnosti korisnika, gore navedeni programi će biti očigledno nedovoljni.

Za njih je bolje obratiti pažnju na programe - i. Riječ je o profesionalnim rješenjima koja se mogu koristiti u kompanijama sa malim i velikim brojem računara. Oba programa omogućavaju kontrolu raznih perifernih uređaja i portova, imaju moćne sisteme za analizu i izvještavanje. Ali postoje značajne razlike među njima, pa tako i program kompanije GFI u ovom slučaju se može uzeti kao osnova. može kontrolirati ne samo uređaje i rad s podacima, već i korištenje softvera. Ova funkcija ga "povlači" iz niše "Kontrola uređaja" u segment "DLP krajnje tačke sa svjesnim sadržaja". Nove, najavljene mogućnosti omogućavaju mu da se oštro odvoji od konkurencije zbog pojave mogućnosti analize sadržaja u trenutku kada korisnik obavlja različite radnje s podacima, uključujući i streaming, kao i kontrolom niza parametara konteksta mrežne komunikacije, uključujući adrese e-pošte, IP adrese, korisničke ID-ove i resurse mrežnih aplikacija, itd. moguće je kod partnera "1Soft".

Mikhail Abramzon

Sva prava zadržana. Za informacije o korištenju ovog članka, kontaktirajte administratori sajta

Mislim da je svima očigledno da se u kontekstu sadašnje krize dešava grandiozna preraspodjela imovine, posebno u finansijskom sektoru. Konkurenti ne zaziru od bilo kakvih sredstava. U ratu, kao iu ratu, sve se koristi. Upotreba insajderskih informacija često je ključ pobjede, a za neke i izvor poraza.

Više se ne radi o narušavanju ugleda kompanije ili nekim finansijskim poteškoćama. Često govorimo o banalnom opstanku preduzeća.

Klasična definicija insajdera je pripadnik ograničenog kruga ljudi koji imaju pristup važnim insajderskim informacijama. Sa stanovišta finansijskih struktura, insajder je napadač koji svoje znanje o emitentima hartija od vrijednosti koristi za igranje na berzi ili prodaju ovih informacija trećim licima. Organi za provođenje zakona smatrat će insajdera operativcem koji prodaje informacije o djelovanju Ministarstva unutrašnjih poslova organiziranoj kriminalnoj zajednici.

Stručnjaci za sigurnost informacija smatraju da su zaposlenici kompanije koji imaju pristup nekim povjerljivim podacima koji se nalaze na lokalnoj mreži kompanije insajderi.

Zaposleni mogu otkriti ove informacije dobrovoljno ili nevoljno. Pored direktne krađe podataka u svrhu njihove dalje preprodaje ili otkrivanja na štetu preduzeća, ogroman je sloj slučajeva kada su informacije greškom ili nesporazumom došle u pogrešne ruke. Ovo može biti pismo sa važnim specifikacijama koje je "glupa" sekretarica poslala na pogrešno mjesto, ili možda nije jasna indikacija nadležnih, zbog čega se "izvorni kodovi" novog softverskog proizvoda objavljuju na web stranicu korporacije.

Koji podaci najčešće interesuju napadače?

Začudo, prema statistikama, insajdere najviše zanimaju lični podaci. 68% ispitanika u studiji Insider Threats in Russia 2009. navelo je da ova vrsta informacija postaje predmet nezdrave pažnje zaposlenih. I to uprkos činjenici da takve informacije ne donose takve komercijalne koristi kao što su tehničke specifikacije novih proizvoda, finansijski izvještaji ili poslovni planovi... Ova informacija također privlači pažnju insajdera, ali je kod nas tradicionalno bolje zaštićena.

Želim napomenuti da je nerealno zaštititi apsolutno sve informacije od curenja. Prema mišljenju stručnjaka naše kompanije, ima smisla fokusirati se na zaštitu dvije glavne kategorije podataka:

Podaci o bazi klijenata - nazivi kompanija, imena i kontakt podaci klijenata (telefoni, adrese, e-mail).
Informacije koje mogu izazvati paniku među kupcima ili ometanje velikih transakcija. To mogu biti informacije o masovnim otpuštanjima, zamrzavanju depozita, kašnjenju u plaćanju itd.

Treba napomenuti da će sistemi zaštite od neovlašćenog pristupa (NSA) ili distribucije prava (DRM) u ovom slučaju pomoći vrlo ograničeno. To je zbog činjenice da ljudi koji imaju pristup i odgovarajuća prava po pravilu postaju izvor curenja informacija. Ali takozvani DLP-sistemi (Data Leakage Prevention) - sistemi za prevenciju curenja će biti vrlo efikasni.

Informacije o klijentima mogu biti zaštićene korištenjem formalnih sigurnosnih metoda baze podataka. Ovo je analiza formalnih atributa datoteke ili otisaka prstiju datoteke za praćenje (otisci prstiju). Trenutno ove metode zaštite podržava većina programera DLP sistema.

Što se tiče curenja "paničnih" informacija, možemo reći da ih je zaista moguće ući u trag samo uz pomoć takozvanog filtriranja sadržaja. Ovo je popularna tehnologija koju koriste antivirusni i spam filteri. Njegova suština je da sortira i klasifikuje celokupni tok informacija u informacionoj infrastrukturi preduzeća na osnovu njihovog sadržaja (sadržaja). To su vrlo složeni i specifični proizvodi koje moraju konfigurirati profesionalci.

Ključna funkcija za sprečavanje curenja insajderskih informacija je blokiranje kretanja informacija iz internog informacionog sistema ka spolja. To je, prije svega, prosljeđivanje putem e-pošte i putem Internet kanala (što nije dostupno u svim sistemima). Mnoga preduzeća zaustavljaju se na uobičajenom praćenju informacija sa njihovom naknadnom analizom. Čini se da je ovo jednostavnija metoda od rješavanja mogućih lažnih pozitivnih rezultata DLP sistema u hodu. No, vrijedno je napomenuti da je mnogo bolje spriječiti curenje informacija koje su zaista važne za postojanje poduzeća nego počinitelje kazniti nakon toga. Stoga je implementacija i održavanje DLP sistema najbolja investicija za zaštitu vašeg poslovanja od insajdera.

Automatizovani sistemi za sprečavanje curenja informacija zasnovani na filtriranju sadržaja nikako nisu jedina karika u lancu zaštite. Djelotvorna zaštita osjetljivih podataka može se stvoriti samo kombinacijom tehničkih, administrativnih i organizacijskih mjera! Kao sastavni deo borbe protiv insajderskih informacija, u preduzeću treba preduzeti sledeće mere:

Standardizacija softvera uz striktno poštovanje zahtjeva stručnjaka za sigurnost. Kroz razne, nestandardne softvere koje korisnici instaliraju na svoje računare, nestaje vrlo pristojan procenat informacija.
Strogo pridržavanje sigurnosnih pravila preduzeća, uključujući ona organizaciona (ograničenja pristupa prostorijama, ograničenja upotrebe prenosivih diskova itd.)
Zakonski utvrđena odgovornost osoblja za otkrivanje povjerljivih informacija sa jasnom definicijom šta se tačno nalazi na listi takvih informacija.
Centralizovan i potpuno kontrolisan od strane IT službe i službe bezbednosti, pristup Internetu zaposlenih bilo kog ranga.
Korištenje metoda provjere autentičnosti korisnika pri radu u informatičkom okruženju poduzeća.
Osposobljavanje zaposlenih za siguran rad sa informacijama, računarima i internetom.

U posljednje vrijeme problem zaštite od internih prijetnji postao je pravi izazov za jasan i dobro uspostavljen svijet korporativne informacione sigurnosti. Novine govore o insajderima, istraživačima i analitičarima upozoravaju na moguće gubitke i probleme, a vijesti su pune izvještaja o još jednom incidentu koji je doveo do curenja stotina hiljada podataka o kupcima zbog greške ili nepažnje zaposlenika. Pokušajmo otkriti da li je ovaj problem toliko ozbiljan, treba li se njime baviti i koji alati i tehnologije su dostupni za njegovo rješavanje.

Prije svega, vrijedno je utvrditi da je prijetnja povjerljivosti podataka interna ako je njen izvor zaposlenik preduzeća ili bilo koje drugo lice koje ima legalan pristup ovim podacima. Dakle, kada govorimo o internim prijetnjama, govorimo o svim mogućim radnjama legalnih korisnika, namjernim ili slučajnim, koje mogu dovesti do curenja povjerljivih informacija van korporativne mreže preduzeća. Da bismo upotpunili sliku, vrijedi dodati da se takvi korisnici često nazivaju insajderima, iako ovaj izraz ima druga značenja.

Relevantnost problema unutrašnjih prijetnji potvrđuju i rezultati novijih studija. Konkretno, u oktobru 2008. objavljeni su rezultati zajedničke studije Compuware i Ponemon Institute, prema kojima su insajderi najčešći uzrok curenja podataka (75% incidenata u SAD), dok su hakeri tek na petom mjestu . U godišnjem istraživanju Instituta za kompjutersku bezbednost (CSI) za 2008., brojke o incidentima insajderskih pretnji su sledeće:

Procenat incidenata znači da se od ukupnog broja ispitanika ova vrsta incidenata dogodila u navedenom procentu organizacija. Kao što se može vidjeti iz ovih brojki, gotovo svaka organizacija je u opasnosti da pati od unutrašnjih prijetnji. Poređenja radi, prema istom izvještaju, virusi su pogodili 50% anketiranih organizacija, a samo 13% se suočilo s prodorom hakera u lokalnu mrežu.

Dakle, unutrašnje prijetnje su današnja stvarnost, a ne mit koji su izmislili analitičari i dobavljači. Dakle, oni koji, na starinski način, vjeruju da je korporativna informacijska sigurnost zaštitni zid i antivirus, morate što prije sagledati problem šire.

Zakon „O ličnim podacima“ takođe povećava stepen tenzije, prema kojem će organizacije i službenici morati da odgovaraju ne samo svom rukovodstvu, već i svojim klijentima i pred zakonom za nepropisno rukovanje ličnim podacima.

Intruder Model

Tradicionalno, kada se razmatraju prijetnje i sredstva zaštite od njih, treba početi sa analizom modela uljeza. Kao što je već spomenuto, govorit ćemo o insajderima - zaposlenicima organizacije i drugim korisnicima koji imaju legalan pristup povjerljivim informacijama. U pravilu, uz ove riječi, svi padaju na pamet kancelarijskog zaposlenika koji radi na računaru u korporativnoj mreži, koji u procesu rada ne napušta ured organizacije. Međutim, ovaj prikaz je nepotpun. Treba ga proširiti tako da uključi druge vrste ljudi sa legalnim pristupom informacijama koji mogu napustiti ured organizacije. To mogu biti poslovni putnici sa laptopima ili koji rade i u kancelariji i kod kuće, kuriri koji nose medije sa informacijama, prvenstveno magnetne trake sa sigurnosnom kopijom itd.

Ovako prošireno razmatranje modela uljeza, kao prvo, uklapa se u koncept, budući da su prijetnje koje predstavljaju ovi uljezi također interne, a drugo, omogućava nam da analiziramo problem šire, sagledavajući sve moguće opcije za suzbijanje ovih prijetnji.

Mogu se razlikovati sljedeće glavne vrste unutrašnjih prekršitelja:

Nelojalan/uvrijeđeni zaposlenik.Prekršitelji u ovoj kategoriji mogu djelovati namjerno, na primjer, mijenjanjem posla i željom da ukradu povjerljive informacije kako bi zainteresovali novog poslodavca, ili emocionalno, ako se osjećaju uvrijeđenim, želeći na taj način osvetu. Opasni su jer su najmotiviraniji da nanose štetu organizaciji u kojoj trenutno rade. Po pravilu, broj incidenata sa nelojalnim zaposlenima je mali, ali se može povećati u situaciji nepovoljnih ekonomskih uslova i masovnog smanjenja osoblja.
Ugrađeni, potkupljeni ili izmanipulisani zaposlenik.U ovom slučaju govorimo o bilo kakvim svrsishodnim akcijama, po pravilu, u svrhu industrijske špijunaže u visoko konkurentnom okruženju. Za prikupljanje povjerljivih informacija u konkurentskoj kompaniji, ili uvedu svoju osobu za određene svrhe, ili pronađu zaposlenika koji nije najlojalniji i potkupe ga, ili je lojalan, ali ne i oprezan zaposlenik prisiljen da prenosi povjerljive informacije putem socijalnog inženjeringa. Broj incidenata ove vrste je obično čak i manji od prethodnih, zbog činjenice da u većini segmenata privrede u Ruskoj Federaciji konkurencija nije previše razvijena ili se sprovodi na druge načine.
Rogue zaposlenik.Ova vrsta nasilnika je lojalan, ali nepažljiv ili nemaran zaposlenik koji zbog neznanja ili zaborava može narušiti politiku unutrašnje sigurnosti preduzeća. Takav zaposlenik može greškom poslati e-mail sa tajnom datotekom priloženom pogrešnoj osobi ili odnijeti kući fleš disk s povjerljivim informacijama za rad tokom vikenda i izgubiti ga. Isti tip uključuje zaposlenike koji izgube laptope i magnetne trake. Prema mišljenju mnogih stručnjaka, ova vrsta insajdera je odgovorna za većinu curenja povjerljivih informacija.

Dakle, motivi, a samim tim i tok postupanja potencijalnih prekršitelja mogu se značajno razlikovati. U zavisnosti od toga, treba pristupiti rešavanju problema obezbeđenja unutrašnje bezbednosti organizacije.

Insider Threat Protection Technologies

Uprkos relativnoj mladosti ovog tržišnog segmenta, kupci već imaju mnogo izbora u zavisnosti od svojih zadataka i finansijskih mogućnosti. Treba napomenuti da sada na tržištu praktično nema prodavača koji bi se specijalizirali isključivo za interne prijetnje. Ovakva situacija nije samo zbog nezrelosti ovog segmenta, već i zbog agresivnih, a ponekad i haotičnih spajanja i akvizicija koje vode proizvođači tradicionalnih sredstava zaštite i drugi prodavači zainteresirani za prisustvo u ovom segmentu. Vrijedi podsjetiti na RSA Data Security, koja je postala dio EMC-a 2006. godine, NetApp-ovu kupovinu Decru-a, startupa koji je razvio sisteme za skladištenje podataka i sigurnosne kopije sistema, 2005. godine, Symantec-ovu kupovinu DLP dobavljača Vontu-a 2007., itd.

Uprkos činjenici da veliki broj ovakvih transakcija ukazuje na dobre izglede za razvoj ovog segmenta, one ne doprinose uvijek kvalitetu proizvoda koji dolaze pod okrilje velikih korporacija. Proizvodi počinju da se razvijaju sporije, a programeri ne reaguju toliko na zahteve tržišta u poređenju sa visoko specijalizovanom kompanijom. Ovo je dobro poznata bolest velikih kompanija, koje, kao što znate, gube u mobilnosti i efikasnosti od svoje manje braće. S druge strane, kvalitet usluge i dostupnost proizvoda kupcima u različitim dijelovima svijeta poboljšavaju se razvojem njihove servisne i prodajne mreže.

Razmotrite glavne tehnologije koje se trenutno koriste za neutralizaciju unutrašnjih prijetnji, njihove prednosti i nedostatke.

Kontrola dokumenata

Tehnologija kontrole dokumenata oličena je u modernim proizvodima za upravljanje pravima kao što su Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES i Oracle Information Rights Management.

Princip rada ovih sistema je dodeljivanje pravila korišćenja za svaki dokument i kontrola ovih prava u aplikacijama koje rade sa dokumentima ove vrste. Na primjer, možete kreirati Microsoft Word dokument i postaviti pravila za njega, ko ga može vidjeti, ko može uređivati i čuvati promjene i ko može ispisivati. Ova pravila se u Windows RMS uslovima nazivaju licencom i pohranjuju se uz datoteku. Sadržaj datoteke je šifriran kako bi se spriječio neovlašteni korisnik da ga pregleda.

Sada, ako bilo koji korisnik pokuša da otvori takvu zaštićenu datoteku, aplikacija kontaktira poseban RMS server, potvrđuje korisnikovo ovlaštenje i ako je pristup ovom korisniku dozvoljen, server aplikaciji prosljeđuje ključ za dešifriranje ove datoteke i informacije o prava ovog korisnika. Na osnovu ovih informacija, aplikacija korisniku stavlja na raspolaganje samo one funkcije za koje ima prava. Na primjer, ako korisniku nije dozvoljeno da odštampa datoteku, funkcija štampanja aplikacije neće biti dostupna.

Ispostavilo se da su informacije u takvoj datoteci sigurne čak i ako datoteka izađe izvan korporativne mreže - šifrirana je. RMS funkcije su već ugrađene u aplikacije Microsoft Office 2003 Professional Edition. Za ugradnju RMS funkcionalnosti u aplikacije trećih strana, Microsoft obezbjeđuje poseban SDK.

Adobeov sistem kontrole dokumenata izgrađen je na sličan način, ali je fokusiran na PDF dokumente. Oracle IRM je instaliran na klijentskim računarima kao agent i integriše se sa aplikacijama tokom izvršavanja.

Kontrola dokumenata je važan dio cjelokupnog koncepta zaštite od insajderskih prijetnji, ali se moraju uzeti u obzir prirodna ograničenja ove tehnologije. Prvo, dizajniran je isključivo za kontrolu datoteka dokumenata. Kada su u pitanju nestrukturirane datoteke ili baze podataka, ova tehnologija ne radi. Drugo, ako napadač, koristeći SDK ovog sistema, kreira jednostavnu aplikaciju koja će komunicirati sa RMS serverom, odatle dobiti ključ za šifrovanje i sačuvati dokument u čistom tekstu i pokrenuti ovu aplikaciju u ime korisnika sa minimalnim nivo pristupa dokumentu, tada će ovaj sistem biti zaobiđen. Osim toga, treba uzeti u obzir poteškoće u implementaciji sistema kontrole dokumenata ako je organizacija već kreirala mnogo dokumenata - zadatak prvobitne klasifikacije dokumenata i dodjele prava na njihovo korištenje može zahtijevati značajan napor.

To ne znači da sistemi za kontrolu dokumenata ne ispunjavaju zadatak, samo treba imati na umu da je zaštita informacija složen problem i da ga po pravilu nije moguće riješiti samo jednim alatom.

Zaštita od curenja

Termin prevencija gubitka podataka (DLP) pojavio se u leksikonu stručnjaka za informacijsku sigurnost relativno nedavno, a već je uspio postati, bez preterivanja, najtoplija tema posljednjih godina. Po pravilu, skraćenica DLP označava sisteme koji prate moguće kanale curenja i blokiraju ih u slučaju pokušaja slanja bilo kakve povjerljive informacije kroz te kanale. Osim toga, funkcije takvih sistema često uključuju mogućnost arhiviranja informacija koje prolaze kroz njih za naknadnu reviziju, istragu incidenta i retrospektivnu analizu potencijalnih rizika.

Postoje dvije vrste DLP sistema: mrežni DLP i host DLP.

Mrežni DLP rade na principu mrežnog gatewaya koji filtrira sve podatke koji prolaze kroz njega. Očigledno, na osnovu zadatka borbe protiv internih pretnji, glavni interes ovakvog filtriranja leži u mogućnosti kontrole podataka koji se prenose van korporativne mreže na Internet. Mrežni DLP vam omogućava da kontrolišete odlaznu poštu, http i ftp saobraćaj, usluge razmene trenutnih poruka itd. Ako se otkriju osetljive informacije, mrežni DLP može blokirati datoteku koja se prenosi. Postoje i opcije za ručnu obradu sumnjivih datoteka. Sumnjivi fajlovi se stavljaju u karantin, koji povremeno pregledava službenik za bezbednost i ili dozvoljava prenos fajla ili ga zabranjuje. Istina, takva obrada je, zbog specifičnosti protokola, moguća samo za e-poštu. Dodatne mogućnosti revizije i istrage incidenata obezbjeđuju se arhiviranjem svih informacija koje prolaze kroz gateway, pod uslovom da se ova arhiva periodično pregleda i analizira njen sadržaj kako bi se identifikovala curenja koja su se desila.

Jedan od glavnih problema u implementaciji i implementaciji DLP sistema je način otkrivanja povjerljivih informacija, odnosno trenutak odlučivanja da li je prenesena informacija povjerljiva i razlozi koji se uzimaju u obzir prilikom donošenja takve odluke. To se po pravilu radi analizom sadržaja prenetih dokumenata, što se naziva i analiza sadržaja. Razmotrimo glavne pristupe otkrivanju povjerljivih informacija.

Oznake. Ova metoda je slična sistemima kontrole dokumenata o kojima je bilo riječi. Oznake su ugrađene u dokumente koji opisuju stepen povjerljivosti informacija, šta se može učiniti sa ovim dokumentom i kome ga treba poslati. Na osnovu rezultata analize etikete, DLP sistem odlučuje da li se dati dokument može poslati van ili ne. Neki DLP sistemi su inicijalno napravljeni kompatibilnim sa sistemima za upravljanje pravima da bi koristili oznake koje su ti sistemi postavili, drugi sistemi koriste sopstveni format etikete.
Potpisi. Ova metoda se sastoji u specificiranju jedne ili više sekvenci znakova, čije prisustvo u tekstu prenesene datoteke treba da kaže DLP sistemu da ova datoteka sadrži povjerljive informacije. Veliki broj potpisa može se organizirati u rječnike.
Bayesova metoda. Ova metoda, koja se koristi u borbi protiv neželjene pošte, može se uspješno primijeniti u DLP sistemima. Da bi se primenila ova metoda, kreira se lista kategorija, a lista reči je specificirana sa verovatnoćama da ako se reč pojavi u datoteci, onda datoteka pripada ili ne pripada navedenoj kategoriji sa datom verovatnoćom.
Morfološka analiza.Metoda morfološke analize je slična metodi signature, razlika je u tome što se ne podudara 100% sa potpisom koji se analizira, već se uzimaju u obzir i jednokorenske riječi.
Digitalni otisci.Suština ove metode je da se za sve povjerljive dokumente neka hash funkcija izračunava na način da ako se dokument malo promijeni, hash funkcija će ostati ista, ili se također neznatno promijeniti. Time je proces otkrivanja povjerljivih dokumenata uvelike pojednostavljen. Unatoč oduševljenim pohvalama ove tehnologije od strane mnogih proizvođača i nekih analitičara, njena pouzdanost ostavlja mnogo da se poželi, a s obzirom na činjenicu da dobavljači pod raznim izgovorima radije drže u senci detalje implementacije algoritma digitalnog otiska prsta, njegov kredibilitet ne povećava.
Regularni izrazi.Poznati svima koji su se bavili programiranjem, regularni izrazi olakšavaju pronalaženje podataka šablona u tekstu, kao što su brojevi telefona, podaci o pasošu, brojevi bankovnih računa, brojevi socijalnog osiguranja i tako dalje.

Iz gornje liste je lako vidjeti da metode detekcije ili ne garantuju 100% otkrivanje povjerljivih informacija, jer je nivo grešaka i prve i druge vrste u njima prilično visok, ili zahtijevaju stalnu budnost službe sigurnosti. ažurirati i održavati ažurnom listu potpisa ili zadataka.oznake za povjerljive dokumente.

Osim toga, enkripcija prometa može stvoriti određeni problem u radu mrežnog DLP-a. Ako je iz sigurnosnih razloga potrebno šifrirati e-mail poruke ili koristiti SSL protokol prilikom povezivanja na bilo koji web resurs, problem utvrđivanja prisustva povjerljivih informacija u prenesenim datotekama može biti vrlo teško riješiti. Ne zaboravite da neke usluge za razmjenu trenutnih poruka, kao što je Skype, imaju ugrađenu enkripciju prema zadanim postavkama. Morat ćete odbiti korištenje takvih usluga ili koristiti DLP hosta da ih kontrolirate.

Međutim, uprkos svim poteškoćama, ako se pravilno konfiguriše i shvati ozbiljno, mrežni DLP može značajno smanjiti rizik od curenja povjerljivih informacija i pružiti organizaciji pogodna sredstva za internu kontrolu.

Host DLP instalirani su na svakom hostu u mreži (na klijentskim radnim stanicama i, ako je potrebno, na serverima) i mogu se koristiti i za kontrolu Internet prometa. Međutim, host DLP-ovi su postali manje rasprostranjeni u ovom svojstvu i trenutno se koriste uglavnom za kontrolu vanjskih uređaja i pisača. Kao što znate, zaposlenik koji na posao dovodi sa fleš diska ili sa MP3 plejera predstavlja mnogo veću pretnju informacionoj bezbednosti preduzeća od svih hakera zajedno. Ovi sistemi se nazivaju i alati za sigurnost krajnjih tačaka, iako se ovaj izraz često koristi šire, na primjer, ponekad se naziva antivirusnim alatima.

Kao što znate, problem korišćenja eksternih uređaja može se rešiti bez ikakvih sredstava, onemogućavanjem portova bilo fizički, bilo pomoću operativnog sistema ili administrativno, zabranom zaposlenima da unose bilo kakve medije u kancelariju. Međutim, u većini slučajeva neprihvatljiv je pristup „jeftino i veselo“, jer nije obezbeđena odgovarajuća fleksibilnost informacionih usluga, koju zahtevaju poslovni procesi.

Zbog toga je postojala određena potražnja za posebnim alatima pomoću kojih možete fleksibilnije riješiti problem korištenja eksternih uređaja i printera od strane zaposlenih u kompaniji. Takvi alati vam omogućavaju da konfigurišete prava pristupa za korisnike različitim vrstama uređaja, na primjer, jednoj grupi korisnika da zabrani rad s medijima i dozvoli štampače, a drugoj grupi da dozvoli rad s medijima u načinu samo za čitanje. Ukoliko je potrebno snimiti informacije na eksternim uređajima za pojedinačne korisnike, može se koristiti tehnologija shadow copy, koja osigurava da se sve informacije koje su pohranjene na eksternom uređaju kopiraju na server. Kopirane informacije mogu se naknadno analizirati kako bi se analizirale radnje korisnika. Ova tehnologija kopira sve, a trenutno ne postoje sistemi koji dozvoljavaju analizu sadržaja sačuvanih datoteka kako bi se blokirao rad i spriječilo curenje, kao što to radi mrežni DLP. Međutim, arhiva sjenčanih kopija omogućit će istragu incidenta i retrospektivnu analizu događaja na mreži, a posjedovanje takve arhive znači da potencijalni insajder može biti uhvaćen i kažnjen za svoje postupke. To se može pokazati kao značajna prepreka za njega i značajan razlog da odustane od neprijateljskih akcija.

Vrijedi spomenuti i kontrolu korištenja štampača - štampane kopije dokumenata također mogu postati izvor curenja. Host DLP vam omogućava da kontrolišete pristup korisnika štampačima na isti način kao i drugim spoljnim uređajima i da sačuvate kopije štampanih dokumenata u grafičkom formatu za kasniju analizu. Osim toga, donekle je zadobila i tehnologija vodenih žigova (vodenih žigova), koja implementira štampanje na svakoj stranici dokumenta jedinstvenog koda, pomoću kojeg je moguće tačno utvrditi ko je, kada i gdje štampao ovaj dokument.

Uprkos nesumnjivim prednostima host DLP-a, oni imaju niz nedostataka povezanih sa potrebom instaliranja softvera agenta na svakom računaru koji bi trebalo da se nadgleda. Prvo, to može uzrokovati određene poteškoće u smislu implementacije i upravljanja takvim sistemima. Drugo, korisnik sa administratorskim pravima može pokušati da onemogući ovaj softver da izvrši sve radnje koje nisu dozvoljene sigurnosnom politikom.

Ipak, za pouzdanu kontrolu eksternih uređaja, host DLP je neophodan, a pomenuti problemi nisu nerešivi. Dakle, možemo zaključiti da je DLP koncept sada punopravni alat u arsenalu korporativnih sigurnosnih službi suočenih sa sve većim pritiskom na njih da osiguraju internu kontrolu i zaštitu od curenja.

IPC koncept

U procesu izmišljanja novih sredstava za borbu protiv unutrašnjih prijetnji, naučna i inženjerska misao modernog društva ne staje, a s obzirom na određene nedostatke gore navedenih sredstava, tržište sistema zaštite od curenja informacija došlo je do koncepta IPC ( Zaštita i kontrola informacija). Ovaj termin se pojavio relativno nedavno, vjeruje se da je prvi put korišten u recenziji analitičke kompanije IDC 2007. godine.

Suština ovog koncepta je da kombinuje DLP i metode šifrovanja. U ovom konceptu, DLP kontroliše informacije koje napuštaju korporativnu mrežu preko tehničkih kanala, a enkripcija se koristi za zaštitu nosača podataka koji fizički dospeju ili mogu pasti u ruke neovlašćenih osoba.

Razmotrite najčešće tehnologije šifriranja koje se mogu koristiti u IPC konceptu.

Šifrovanje magnetnih traka.Unatoč arhaizmu ove vrste medija, on se i dalje aktivno koristi za sigurnosno kopiranje i prijenos velikih količina informacija, budući da mu još uvijek nema premca u pogledu jedinične cijene pohranjenog megabajta. Shodno tome, curenje podataka vezano za izgubljene trake i dalje oduševljava urednike vijesti na naslovnim stranicama i frustrira CIO i službenike za sigurnost preduzeća koji su predmet takvih izvještaja. Situaciju pogoršava činjenica da takve trake sadrže vrlo velike količine podataka, a samim tim i veliki broj ljudi može postati žrtvama prevaranata.
Šifrovanje serverskih skladišta.Uprkos činjenici da se serversko skladište veoma retko transportuje, a rizik od njegovog gubitka je nemerljivo manji nego kod magnetne trake, odvojeni hard disk od skladišta može pasti u pogrešne ruke. Popravka, odlaganje, nadogradnja – ovi događaji se dešavaju dovoljno redovno da se ovaj rizik otpiše. A situacija prodora neovlaštenih lica u ured nije potpuno nemoguć događaj.

Ovdje je vrijedno napraviti malu digresiju i spomenuti uobičajenu zabludu da ako je disk dio RAID niza, onda navodno ne morate brinuti da će doći u neovlaštene ruke. Čini se da crtanje podataka upisanih na više tvrdih diskova koje RAID kontroleri izvode pruža nečitljiv izgled podacima koji se nalaze na bilo kojem tvrdom disku. Nažalost, ovo nije sasvim tačno. Preplitanje se dešava, ali se u većini modernih uređaja vrši na nivou bloka od 512 bajta. To znači da, uprkos kršenju strukture i formata datoteka, povjerljive informacije i dalje mogu biti izvučene sa takvog tvrdog diska. Stoga, ako postoji zahtjev da se osigura povjerljivost informacija kada su pohranjene u RAID nizu, šifriranje ostaje jedina pouzdana opcija.

Šifrovanje laptopa.Ovo je već rečeno bezbroj puta, ali ipak je gubitak laptopa sa povjerljivim informacijama već dugi niz godina u top pet hit paradi incidenata.
Enkripcija prenosivih medija.U ovom slučaju govorimo o prenosivim USB uređajima i, ponekad, CD-ovima i DVD-ovima za snimanje ako se koriste u poslovnim procesima preduzeća. Takvi sistemi, kao i gore pomenuti sistemi za šifrovanje hard diska laptopa, često mogu delovati kao komponenta host DLP sistema. U ovom slučaju se govori o svojevrsnom kripto-perimetru, koji omogućava automatsko transparentno šifriranje medija unutar, i nemogućnost dešifriranja podataka izvan njega.

Dakle, enkripcija može značajno poboljšati mogućnosti DLP sistema i smanjiti rizik od curenja povjerljivih podataka. Unatoč činjenici da je koncept IPC-a nastao relativno nedavno, a izbor integriranih IPC rješenja na tržištu nije previše širok, industrija aktivno razvija ovu oblast i sasvim je moguće da će nakon nekog vremena ovaj koncept postati popularan. facto standard za rješavanje problema unutrašnje sigurnosti i unutrašnje sigurnosti.kontrola.

zaključci

Kao što se može vidjeti iz ovog pregleda, interne prijetnje su prilično nova oblast u informacionoj sigurnosti, koja se, ipak, aktivno razvija i zahtijeva povećanu pažnju. Razmatrane tehnologije kontrole dokumenata, DLP i IPC, omogućavaju izgradnju prilično pouzdanog sistema interne kontrole i smanjuju rizik od curenja na prihvatljiv nivo. Bez sumnje, ova oblast informacione sigurnosti će se i dalje razvijati, nudit će se novije i naprednije tehnologije, ali danas mnoge organizacije biraju jedno ili drugo rješenje, jer nepažnja u pitanjima sigurnosti informacija može biti preskupa.

Alexey Raevsky
Izvršni direktor SecurIT-a

Najnovija istraživanja u oblasti informacione bezbednosti, kao što je godišnje istraživanje CSI/FBI o kompjuterskom kriminalu i bezbednosti, pokazala su da se finansijski gubici kompanija od većine pretnji smanjuju iz godine u godinu. Međutim, postoji nekoliko rizika od kojih se gubici povećavaju. Jedna od njih je namjerna krađa povjerljivih informacija ili kršenje pravila postupanja sa njima od strane onih zaposlenika čiji je pristup komercijalnim podacima neophodan za obavljanje njihovih dužnosti. Zovu se insajderi.

U velikoj većini slučajeva, krađa povjerljivih informacija se vrši pomoću mobilnih medija: CD-a i DVD-a, ZIP uređaja i, što je najvažnije, svih vrsta USB diskova. Njihova masovna distribucija dovela je do procvata insajdera širom svijeta. Čelnici većine banaka dobro znaju šta prijeti, na primjer, ako baza podataka sa ličnim podacima njihovih klijenata ili, štaviše, transakcijama na njihovim računima, padne u ruke kriminalnih struktura. A protiv moguće krađe informacija pokušavaju se boriti organizacionim metodama koje su im dostupne.

Međutim, organizacione metode u ovom slučaju su neefikasne. Danas je moguće organizirati prijenos informacija između računara pomoću minijaturnog fleš diska, mobilnog telefona, TRZ-plssra, digitalnog fotoaparata... Naravno, možete pokušati zabraniti unošenje svih ovih uređaja u kancelariju , ali to će, kao prvo, negativno uticati na odnose sa zaposlenima, a drugo, još uvijek je vrlo teško uspostaviti stvarno efikasnu kontrolu nad ljudima - banka nije "poštansko sanduče". Čak ni onemogućavanje svih uređaja na računarima koji se mogu koristiti za upisivanje informacija na eksterne medije (FDD i ZIP drajvove, CD i DVD drajvove, itd.) i USB portove neće pomoći. Uostalom, prvi su potrebni za rad, a na potonje su povezane razne periferije: štampači, skeneri itd. I niko ne može sprečiti osobu da na minut isključi štampač, ubaci fleš disk u ispražnjeni port i na njega kopira važne informacije. Možete, naravno, pronaći originalne načine zaštite. Na primjer, u jednoj banci su isprobali ovaj način rješavanja problema: spoj USB porta i kabla su napunili epoksidnom smolom, čvrsto "vezujući" potonje za računar. Ali, srećom, danas postoje modernije, pouzdanije i fleksibilnije metode kontrole.

Najefikasnije sredstvo za minimiziranje rizika povezanih sa insajderima je poseban softver koji dinamički upravlja svim uređajima i računarskim portovima koji se mogu koristiti za kopiranje informacija. Princip njihovog rada je sljedeći. Dozvole za korištenje različitih portova i uređaja su postavljene za svaku grupu korisnika ili za svakog korisnika pojedinačno. Najveća prednost ovakvog softvera je fleksibilnost. Možete unijeti ograničenja za određene tipove uređaja, njihove modele i pojedinačne instance. Ovo vam omogućava da implementirate veoma složene politike za distribuciju prava pristupa.

Na primjer, nekim zaposlenicima se može dozvoliti korištenje bilo kojeg štampača i skenera spojenog na USB portove. Svi ostali uređaji umetnuti u ovaj port će ostati nedostupni. Ako banka koristi sistem autentikacije korisnika na osnovu tokena, tada u postavkama možete odrediti model ključa koji se koristi. Tada će korisnicima biti dozvoljeno korištenje samo uređaja koje je kupila kompanija, a svi ostali će biti beskorisni.

Na osnovu gore opisanog principa rada zaštitnih sistema, možete razumjeti koje su točke važne pri odabiru programa koji implementiraju dinamičko blokiranje uređaja za snimanje i računalnih portova. Prvo, to je svestranost. Sistem zaštite treba da pokriva čitav niz mogućih portova i uređaja za unos-izlaz informacija. U suprotnom, rizik od krađe komercijalnih informacija ostaje neprihvatljivo visok. Drugo, dotični softver trebao bi biti fleksibilan i omogućiti vam da kreirate pravila koristeći veliku količinu različitih informacija o uređajima: njihovim tipovima, proizvođačima modela, jedinstvenim brojevima koje svaka instanca ima itd. I, treće, sistem zaštite insajdera treba da bude u stanju da se integriše sa informacionim sistemom banke, posebno sa aktivnim direktorijumom. U suprotnom, administrator ili službenik sigurnosti će morati da održava dvije baze podataka korisnika i računara, što ne samo da je nezgodno, već i povećava rizik od grešaka.

Nedavne studije u oblasti informacione bezbednosti, poput godišnje CSI/FBI ComputerCrimeAndSecuritySurvey, pokazale su da se finansijski gubici kompanija od većine pretnji smanjuju iz godine u godinu. Međutim, postoji nekoliko rizika od kojih se gubici povećavaju. Jedna od njih je namjerna krađa povjerljivih informacija ili kršenje pravila postupanja sa njima od strane onih službenika čiji je pristup komercijalnim podacima neophodan za obavljanje službene dužnosti. Zovu se insajderi.

U velikoj većini slučajeva, krađa povjerljivih informacija se vrši pomoću mobilnih medija: CD-a i DVD-a, ZIP uređaja i, što je najvažnije, svih vrsta USB diskova. Upravo je njihova masovna distribucija dovela do procvata trgovine insajderima širom svijeta. Čelnici većine banaka dobro znaju šta prijeti, na primjer, ako baza podataka sa ličnim podacima njihovih klijenata ili, štaviše, transakcijama na njihovim računima, padne u ruke kriminalnih struktura. A protiv moguće krađe informacija pokušavaju se boriti organizacionim metodama koje su im dostupne.

Međutim, organizacione metode u ovom slučaju su neefikasne. Danas možete organizovati prenos informacija između računara koristeći minijaturni fleš disk, mobilni telefon, mp3 plejer, digitalni fotoaparat... Naravno, možete pokušati da zabranite unošenje svih ovih uređaja u kancelariju, ali ovo, pre svega , negativno će uticati na odnose sa zaposlenima, a drugo, i dalje je veoma teško uspostaviti stvarno efektivnu kontrolu nad ljudima - banka nije "poštansko sanduče". Čak ni onemogućavanje svih uređaja na računarima koji se mogu koristiti za upisivanje informacija na eksterne medije (FDD i ZIP drajvove, CD i DVD drajvove, itd.) i USB portove neće pomoći. Uostalom, prvi su potrebni za rad, a na potonje su povezane razne periferije: štampači, skeneri itd. I niko ne može sprečiti osobu da na minut isključi štampač, ubaci fleš disk u ispražnjeni port i na njega kopira važne informacije. Možete, naravno, pronaći originalne načine zaštite. Na primjer, u jednoj banci su isprobali ovaj način rješavanja problema: spoj USB porta i kabla su napunili epoksidnom smolom, čvrsto "vezujući" potonje za računar. Ali, srećom, danas postoje modernije, pouzdanije i fleksibilnije metode kontrole.

Na osnovu gore opisanog principa rada zaštitnih sistema, možete razumjeti koje su točke važne pri odabiru programa koji implementiraju dinamičko blokiranje uređaja za snimanje i računalnih portova. Prvo, to je svestranost. Sistem zaštite treba da pokriva čitav niz mogućih portova i uređaja za unos-izlaz informacija. U suprotnom, rizik od krađe komercijalnih informacija ostaje neprihvatljivo visok. Drugo, dotični softver trebao bi biti fleksibilan i omogućiti vam da kreirate pravila koristeći veliku količinu različitih informacija o uređajima: njihovim tipovima, proizvođačima modela, jedinstvenim brojevima koje svaka instanca ima itd. I, treće, sistem zaštite insajdera treba da bude u stanju da se integriše sa informacionim sistemom banke, posebno sa ActiveDirectory. U suprotnom, administrator ili službenik sigurnosti će morati da održava dvije baze podataka korisnika i računara, što ne samo da je nezgodno, već i povećava rizik od grešaka.