Informacijos apsauga nuo viešai neatskleistų asmenų naudojant programinę įrangą. Vidinės grėsmės: naujas iššūkis įmonių informacijos saugos tarnyboms

Įvairių analitinių įmonių teigimu, informacijos nutekėjimas labai dažnai įvyksta ne dėl jos vagystės iš išorės, o dėl konfidencialios informacijos perdavimo savų darbuotojų konkuruojančių organizacijų atstovams. Šiandien yra daug įvairių įrenginių, į kuriuos galima nukopijuoti visus organizacijos vietiniame tinkle saugomus dokumentus. Ir tai ne tik išoriniai USB įrenginiai ar CD/DVD diskai. Taip pat galite nukopijuoti informaciją į mp3 grotuvus, mobiliuosius telefonus, kurie gali būti tiesiogiai neprijungti prie kompiuterio, į išorinę įrangą, kuri gali prisijungti prie vietinio tinklo per Wi-Fi ir kitais būdais. Be to, tai apima siuntimą el. paštu, momentinių pranešimų programas, per forumus, tinklaraščius ir pokalbius. Variantų daug, ar įmanoma nuo jų apsisaugoti?

Dėl duomenų apsauga nuo viešai neatskleistų asmenų Jie naudoja įvairius metodus, įskaitant specialias programas, skirtas kontroliuoti išorinių įrenginių naudojimą. Šiame straipsnyje apžvelgsime keletą užsienio ir vietinių programų ir pabandysime nustatyti, kur ir kada jas naudoti.

Programa skirta prieigos apribojimaiį įvairius periferinius įrenginius, su galimybe kurti baltuosius sąrašus, stebėti vartotojų darbą, šešėlinės kopijos failus, nukopijuotus į valdomus įrenginius arba iš jų. Stebėjimo tvarkykles galima įdiegti centralizuotai arba lokaliai.

Programos diegimas gali būti atliekamas centralizuotai arba lokaliai, jei prieiga prie apsaugoto kompiuterio per tinklą yra ribota arba neįmanoma. Vieną paskirstymo rinkinį sudaro keli moduliai: serverio modulis, įdiegtas biuro vietinio tinklo serveryje, leidžia/draudžia tam tikrus veiksmus, išsaugo informaciją duomenų bazėje; klientas, įdiegtas kaip sekimo tvarkyklė; administratorius ir duomenų bazė, kuri naudoja SQLite.

Sekimo tvarkyklės suteikia kontrolėįvairūs uostai, įskaitant USB, CIM, LPT, WiFi, IR ir kt. Atsižvelgiant į prievado tipą, galite visiškai uždrausti prieigą, leisti skaityti arba leisti visišką prieigą prie įrenginio. Nėra laiko paskirstymo prieigos. Taip pat buvo pažymėta, kad leidžiant tik skaitymo prieigą prie įrenginių, tokių kaip USB atmintinės, galimybė redaguoti įprastus tekstinius failusšiuose įrenginiuose su galimybe juos išsaugoti toje pačioje laikmenoje.

Rodo USB įrenginius, prijungtus prie kompiuterių, ir saugo vartotojo veiksmų su išoriniais atminties įrenginiais žurnalą. Duomenų bazėje išsaugoma informacija apie įrenginių prijungimo/atjungimo laiką ir kokie failai buvo nuskaityti ar įrašyti bei kada. Įdiegtas šešėlinis failų, nuskaitytų arba įrašytų į USB įrenginius, kopijavimas. Nėra šešėlinio failų, siunčiamų į spausdintuvus ar kitus įrenginius, kopijavimo, jie tik registruojami.

Egzistuoja „baltojo sąrašo“ sąvoka, apimanti USB įrenginius, prie kurių prieiga visada turi būti atidaryta visuose kompiuteriuose (pavyzdžiui, USB raktai). Šis sąrašas yra vienodas visiems kompiuteriams; atskirų naudotojų sąrašų nėra.

suteikia prieigos prie įvairių išorinių įrenginių konfigūraciją, bet neskiria prie šių prievadų prijungtų spausdintuvų iš bendro USB įrenginių sąrašo. Tuo pačiu metu ji išskiria keičiamąsias laikmenas ir gali joms nustatyti skirtingus prieigos tipus. Išimamos laikmenos automatiškai įvedamos į įrenginių duomenų bazę (programa į duomenų bazę įves visus USB diskus, kurie kada nors buvo prijungti prie konkretaus kompiuterio), o tai leidžia pritaikyti joms priskirtas prieigos teises bet kokiems programos apsaugotiems kompiuteriams.

Jis turi galimybę naudoti centralizuotą kliento dalių diegimą naudojant „Active Directory“ grupės politiką. Tuo pačiu metu juos galima įdiegti vietoje ir per programos administratoriaus skydelį. Prieigos teisės diferencijuojamos pagal prieigos kontrolės politiką, tačiau galima sukurti keletą strategijų, kurios gali būti taikomos individualiai skirtingiems kompiuteriams. Be prieigos kontrolės funkcijos, ji leidžia registruoti įrenginių naudojimą vietiniame kompiuteryje.

Programa palaiko šešėlinio kopijavimo funkciją – galimybę įrašyti tikslią vartotojo nukopijuotų failų kopiją į išorinius saugojimo įrenginius. Tikslios visų failų kopijos yra saugomos specialioje saugykloje ir vėliau gali būti analizuojamos naudojant integruotą analizės sistemą. Šešėlinį kopijavimą galima nustatyti atskiriems vartotojams ir vartotojų grupėms. Įjungus funkciją „laikyti tik žurnalą“, kopijuojant failus bus išsaugoma tik informacija apie juos (neišsaugojus tikslios failo kopijos).

Programa neturi „baltojo įrenginių sąrašo“ sąvokos. Vietoj to, bendrojoje politikoje galite nurodyti keičiamąją laikmeną ir leisti prieiti prie jos iš bet kurio kompiuterio. Atminkite, kad tai neleidžia taikyti tų pačių nustatymų atskiriems CD / DVD diskams.

Įmonės programa GFIžymiai viršija savo galimybes ir , ir - pavyzdžiui, turi daug daugiau valdomų įrenginių nei ankstesnės programos (iPod medijos grotuvai, Creative Zen, mobilieji telefonai, skaitmeniniai fotoaparatai, archyvavimo įrankiai magnetinėse juostose ir Zip diskuose, interneto kameros, skaitytuvai) .

Programa suteikia tris standartinius prieigos teisių nustatymus – serveriams, darbo stotims ir nešiojamiesiems kompiuteriams. Be to blokavimo įtaisai, programa turi galimybę blokuoja prieigąį failus, priklausomai nuo jų tipo. Pavyzdžiui, galite leisti skaityti prieigą prie dokumentų failų, bet neleisti pasiekti vykdomuosius failus. Taip pat galima blokuoti prieigą prie įrenginių ne tik pagal jų tipą, bet ir pagal fizinį prievadą, prie kurio prijungti išoriniai įrenginiai. Kitas prieigos teisių nustatymas palaikoma naudojant unikalius įrenginio identifikatorius.

Programos administratorius gali tvarkyti dviejų tipų įrenginių sąrašus – tuos, prie kurių prieiga leidžiama pagal nutylėjimą („baltasis sąrašas“), ir tuos, prie kurių prieiga draudžiama („juodasis sąrašas“). IT specialistas gali suteikti laikinus leidimus pasiekti įrenginius ar įrenginių grupes viename kompiuteryje (įgyvendinamas sugeneruojant specialų kodą, kuris gali būti perduotas vartotojui net tada, kai jo kompiuteris yra atjungtas nuo tinklo ir programos agentas negali prisijungti į serverį).

Programa palaiko naują šifravimo funkciją, naudojamą Windows sistema 7, kuris vadinamas BitLocker To Go. Ši funkcija naudojama duomenims apsaugoti ir užšifruoti keičiamuose įrenginiuose. GFI EndPointSecurity gali atpažinti tokius įrenginius ir suteikti prieigą prie juose saugomų failų pagal jų tipus.

Suteikia administratoriui galingą ataskaitų teikimo sistemą. Statistikos posistemis (GFI EndPointSecurity ReportPack) rodo (tekstu ir grafine forma) kasdienę įrenginių naudojimo santrauką tiek pasirinktuose kompiuteriuose, tiek apskritai visiems kompiuteriams. Taip pat galite gauti statistinius duomenis apie naudotojų veiklą pagal dieną, savaitę, mėnesį, suskirstytus pagal naudojamas programas, įrenginius ir failų prieigos kelius.

Šiandien Rusijoje viena iš labiausiai paplitusių informacijos nuo viešai neatskleistų asmenų apsaugos programų. išleistas Rusijoje su prekės pavadinimu „1C: Distribution“

Programa numato kontrolė ne tik veikiantys įrenginiai „Windows“ valdymas Mobilieji, bet ir įrenginiai, kuriuose veikia iPhone OS ir Palm OS operacinės sistemos. Tuo pačiu užtikrinamas šešėlinis visų perrašytų failų ir duomenų kopijavimas, nepriklausomai nuo to, prie kurio prievado šie įrenginiai yra prijungti prie valdomo tinklo. Šešėlinį kopijavimą galima konfigūruoti ne tik pagal įrenginį, bet ir pagal failo tipą, o tipas bus nustatomas ne pagal plėtinius, o pagal jų turinį.

Galima nustatyti tik skaitymo prieigą prie keičiamųjų laikmenų, įskaitant juostinius įrenginius. Kaip papildoma galimybė - laikmenų apsauga nuo atsitiktinio ar tyčinio formatavimo. Taip pat galite vesti žurnalą apie visus vartotojo veiksmus tiek su įrenginiais, tiek su failais (ne tik kopijavimas ar skaitymas, bet ir trynimas, pervardijimas ir pan.).

Srauto glaudinimas gali būti naudojamas siekiant sumažinti tinklo apkrovą perduodant duomenis, gautus iš agentų ir šešėlinių kopijų failus. Šešėlinės kopijos duomenys dideliuose tinkluose gali būti saugomi keliuose serveriuose. Programa automatiškai parenka optimalų serverį, atsižvelgdama į tinklo pralaidumą ir serverio apkrovą.

Daugelis organizacijų naudoja diskus, apsaugotus specialios programosšifravimas - ViPNet SafeDisk, PGP viso disko šifravimas, DriveCrypt ir TrueCrypt. Tokiems diskams programa gali nustatyti specialias „šifravimo strategijas“, leidžiančias į išimamus įrenginius įrašyti tik užšifruotus duomenis. Jis taip pat palaiko darbą su Lexar JumpDrive SAFE S3000 ir Lexar SAFE PSD atmintinėmis, kurios palaiko aparatinės įrangos duomenų šifravimą. Kita versija taip pat palaikys darbą su BitLocker To Go – įrankiu, integruotu į „Windows 7“, skirtu šifruoti duomenis keičiamojoje laikmenoje.

Šešėlinis kopijavimas skirtas ne tik failų kopijų išsaugojimui, bet ir perkeltos informacijos analizei. gali atlikti failų turinio viso teksto paiešką, automatiškai atpažinti ir indeksuoti įvairių formatų dokumentus.

Jau pranešta apie naujos programos versijos išleidimą, kurioje, be pilnos paieškos, bus įdiegtas failų, nukopijuotų į bet kokio tipo išimamus saugojimo įrenginius, turinio filtravimas bei duomenų turinio kontrolė. objektai, perduodami iš kompiuterio tinklo ryšio kanalais, įskaitant el. pašto programas, interaktyvias žiniatinklio paslaugas, socialinė žiniasklaida, forumai ir konferencijos, populiariausios momentinių pranešimų paslaugos (Instant Messengers), failų mainai per FTP, taip pat Telnet sesijos

Unikali naujoje versijoje yra tekstinių duomenų filtravimo tinkle ir vietinio dokumentų spausdinimo kanalo technologija, skirta darbams PCL ir PostScript formatais, leidžianti blokuoti arba leisti spausdinti dokumentus priklausomai nuo jų informacinio turinio.

išvadas


Nuotolinis klientų valdymas
Valdymas per MMC priedą
Centralizuotas politikos diegimas, stebėjimas ir atkūrimas
Išorinių įrenginių valdymas	Tik USB
WiFi adapterio valdymas
„Palm OS“ įrenginių valdymas. iPhone/iPod			Ribotas	Ribotas
Technologijų palaikymas į baltąjį sąrašą
Žiniasklaidos baltojo sąrašo technologijos palaikymas
Išorinių šifruotų diskų palaikymas
Klavišų registratorių blokavimas
Kopijuojamų duomenų apimties ribojimas
Duomenų valdymas pagal tipą
Centralizuotas kirtimas
Šešėlinė kopija	Tik USB	Tik USB	Iš dalies
Spausdinimo duomenų šešėlinis kopijavimas
Grafinės žurnalo ir šešėlinės kopijos ataskaitos
Viso teksto paieška šešėliniuose duomenyse

Pirmosios dvi iš aptartų programų gali būti naudojamos informacijos apsauga nuo vagysčių, tačiau jų galimybės ribotos. Jie skirtingu laipsniu „uždaro“ standartinius išorinius įrenginius, tačiau jų galimybės yra ribotos – tiek nustatymų, tiek vartotojo veiklos analizės požiūriu. Šias programas galima rekomenduoti „bandymui“, kad suprastų patį apsaugos procesą. Didelėms organizacijoms, kurios naudoja įvairią išorinę įrangą ir reikalauja naudotojų veiklos analizės, minėtų programų aiškiai nepakaks.

Jiems geriau atkreipti dėmesį į programas – ir. Tai profesionalūs sprendimai, kuriuos galima naudoti įmonėse, turinčiose tiek mažą, tiek didelį kompiuterių skaičių. Abi programos leidžia stebėti įvairius periferinius įrenginius ir prievadus, turi galingas analizės ir ataskaitų teikimo sistemas. Tačiau tarp jų yra didelių skirtumų, todėl įmonės programa GFIšiuo atveju jis gali būti laikomas pagrindiniu. gali valdyti ne tik įrenginius ir duomenų tvarkymą, bet ir programinės įrangos naudojimą. Ši galimybė „ištraukia“ jį iš „Įrenginio valdymo“ nišos į „Content-Aware Endpoint DLP“ segmentą. Naujos, paskelbtos galimybės leidžia staigiai atitrūkti nuo konkurentų, nes atsiranda galimybė analizuoti turinį tuo metu, kai vartotojas atlieka įvairius veiksmus su duomenimis, įskaitant srautinį perdavimą, taip pat stebint daugybę konteksto parametrų. tinklo ryšius, įskaitant el. pašto adresus, IP adresus, vartotojo ID ir tinklo programų išteklius ir kt. Galima įsigyti iš 1Soft partnerių.

Michailas Abramzonas

Visos teisės saugomos. Kilus klausimams dėl šio straipsnio naudojimo, susisiekite svetainės administratoriai

Manau, kad visiems akivaizdu, kad dabartinės krizės fone vyksta didžiulis turto perskirstymas, ypač finansų sektoriuje. Konkurentai nedvejodami naudojasi bet kokiomis priemonėmis. Kare, kaip ir kare, viskas išeina į žaidimą. Viešai neatskleistos informacijos naudojimas dažnai tampa raktu į pergalę, o kai kuriems – pralaimėjimo šaltiniu.

Jau nekalbame apie žalą įmonės reputacijai ar kažkokius finansinius sunkumus. Dažnai kalbame apie banalų įmonės išlikimą.

Klasikinis viešai neatskleistos informacijos apibrėžimas – tai riboto rato žmonių, turinčių prieigą prie svarbios, neviešos informacijos, narys. Finansų institucijų požiūriu viešai neatskleista informacija yra užpuolikas, kuris savo žinias apie vertybinių popierių emitentus naudoja žaisdamas biržoje arba parduoda šią informaciją tretiesiems asmenims. Teisėsaugos institucijos viešai neatskleistą asmenį laikys operatyvininku, parduodančiu informaciją apie VRM veiklą organizuotai nusikalstamai bendruomenei.

Informacijos saugumo specialistai įmonės darbuotojus, turinčius prieigą prie tam tikrų konfidencialių duomenų, esančių įmonės vietiniame tinkle, laiko viešai neatskleista informacija.

Darbuotojai gali atskleisti šią informaciją savo noru arba netyčia. Be tiesioginių duomenų vagysčių, siekiant tolimesnio perpardavimo ar atskleidimo įmonės nenaudai, yra didžiulis atvejų, kai informacija per klaidą ar nesusipratimą pateko į netinkamas rankas. Tai gali būti laiškas su svarbiomis specifikacijomis, ne į vietą išsiųstas „kvailios“ sekretorės, o gal ir nepakankamai aiškus valdžios nurodymas, dėl kurio naujo programinės įrangos produkto „šaltinio kodai“ yra patalpinti korporacijos svetainė.

Kokie duomenys dažniausiai domina užpuolikus?

Kad ir kaip būtų keista, pagal statistiką, viešai neatskleista informacija labiausiai domisi asmens duomenimis. 68% tyrimo „Insider Threats in Russia 2009“ respondentų pažymėjo, kad būtent tokio pobūdžio informacija tampa nesveiko darbuotojų dėmesio objektu. Taip yra nepaisant to, kad tokia informacija neduoda tokios komercinės naudos kaip naujų produktų techninės specifikacijos, finansinės ataskaitos ar verslo planai... Ši informacija sulaukia ir viešai neatskleistos informacijos, tačiau mūsų šalyje tradiciškai yra geriau apsaugota.

Noriu pastebėti, kad apsaugoti absoliučiai visą informaciją nuo nutekėjimo yra nerealu. Mūsų įmonės ekspertų nuomone, tikslinga sutelkti dėmesį į dviejų pagrindinių duomenų kategorijų apsaugą:

Informacija apie klientų bazę – įmonių pavadinimai, klientų vardai ir kontaktiniai duomenys (telefonai, adresai, el. paštas).
Informacija, kuri gali sukelti klientų paniką arba sutrikdyti svarbius sandorius. Tai gali būti informacija apie masinį darbuotojų mažinimą, indėlių įšaldymą, mokėjimų vėlavimą ir pan.

Reikėtų pažymėti, kad apsauga nuo neteisėtos prieigos (ATP) ar teisių platinimo (DRM) sistemų šiuo atveju padės labai ribotai. Taip nutinka todėl, kad informacijos nutekėjimo šaltiniu dažniausiai tampa žmonės, turintys prieigą ir atitinkamas teises. Tačiau vadinamosios DLP sistemos (Data Leakage Prevention) – nuotėkio prevencijos sistemos – bus labai veiksmingos.

Kliento informacija gali būti apsaugota naudojant oficialius duomenų bazės saugumo metodus. Tai formalių failų atributų arba failų pirštų atspaudų stebėjimo analizė. Šiuo metu šiuos apsaugos metodus palaiko dauguma DLP sistemų kūrėjų.

Kalbant apie „panikos“ informacijos nutekėjimą, galime pasakyti, kad juos galima stebėti tik naudojant vadinamąjį turinio filtravimą. Tai populiari technologija, kurią naudoja antivirusiniai ir šiukšlių filtrai. Jo esmė – rūšiuoti ir klasifikuoti visą įmonės informacinėje infrastruktūroje esantį informacijos srautą pagal jų turinį. Tai labai sudėtingi ir specifiniai produktai, kuriuos turi sukonfigūruoti profesionalai.

Pagrindinė funkcija, apsauganti nuo viešai neatskleistos informacijos nutekėjimo, yra blokuoti informacijos judėjimą iš vidinės informacinės sistemos į išorę. Tai, visų pirma, perdavimas el. paštu ir interneto kanalais (tai pasiekiama ne visose sistemose). Daugelis įmonių apsisprendžia dėl įprastinės informacijos stebėjimo ir tolesnės analizės. Atrodo, kad tai paprastesnis metodas nei galimų klaidingų teigiamų DLP sistemų sprendimas. Tačiau verta pastebėti, kad daug geriau užkirsti kelią įmonės gyvavimui tikrai svarbios informacijos nutekėjimui, nei bausti kaltininkus po to. Todėl DLP sistemų diegimas ir priežiūra yra geriausia investicija siekiant apsaugoti savo verslą nuo viešai neatskleistų asmenų.

Automatinės informacijos nutekėjimo prevencijos sistemos, pagrįstos turinio filtravimu, toli gražu nėra vienintelė apsaugos grandinės grandis. Veiksmingą konfidencialių duomenų apsaugą galima sukurti tik derinant technines, administracines ir organizacines priemones! Kaip neatskiriama kovos su viešai neatskleista informacija dalis, įmonė turi imtis šių priemonių:

Programinės įrangos standartizavimas griežtai laikantis saugos specialistų reikalavimų. Per įvairią nestandartinę programinę įrangą, kurią vartotojai įdiegia savo kompiuteriuose, dingsta labai padorus procentas informacijos.
Griežtas įmonės saugumo taisyklių laikymasis, įskaitant organizacines (patekimo į patalpas apribojimai, nešiojamųjų saugojimo įrenginių naudojimo apribojimai ir kt.)
Teisės aktais nustatyta personalo atsakomybė už konfidencialios informacijos atskleidimą, aiškiai apibrėžiant, kas tiksliai įtraukta į tokios informacijos sąrašą.
Centralizuota ir visiškai kontroliuojama IT ir saugos tarnybos prieiga prie interneto bet kokio rango darbuotojams.
Vartotojo autentifikavimo metodų naudojimas dirbant įmonės informacinėje aplinkoje.
Darbuotojų mokymas saugiai dirbti su informacija, kompiuteriais ir internetu.

Pastaruoju metu apsaugos nuo vidinių grėsmių problema tapo tikru iššūkiu suprantamam ir nusistovėjusiam įmonių informacijos saugumo pasauliui. Spaudoje kalbama apie viešai neatskleistus, tyrėjai ir analitikai perspėja apie galimus nuostolius ir bėdas, o naujienų kanaluose gausu pranešimų apie dar vieną incidentą, dėl kurio dėl darbuotojo klaidos ar neatsargumo nutekėjo šimtai tūkstančių klientų įrašų. Pabandykime išsiaiškinti, ar ši problema tokia rimta, ar reikia ją spręsti ir kokios turimos priemonės bei technologijos jai išspręsti.

Visų pirma, verta nustatyti, kad grėsmė duomenų konfidencialumui yra vidinė, jei jos šaltinis yra įmonės darbuotojas ar kitas asmuo, turintis teisėtą prieigą prie šių duomenų. Taigi, kai kalbame apie viešai neatskleistas grėsmes, mes kalbame apie bet kokius galimus teisėtų vartotojų veiksmus, tyčinius ar atsitiktinius, kurie gali lemti konfidencialios informacijos nutekėjimą už įmonės korporatyvinio tinklo ribų. Norėdami užbaigti vaizdą, verta pridurti, kad tokie vartotojai dažnai vadinami viešai neatskleista informacija, nors šis terminas turi ir kitų reikšmių.

Vidinių grėsmių problemos aktualumą patvirtina naujausių tyrimų rezultatai. Visų pirma, 2008 m. spalį buvo paskelbti bendro „Compuware“ ir „Ponemon Institue“ tyrimo rezultatai, pagal kuriuos viešai neatskleista informacija yra dažniausia duomenų nutekėjimo priežastis (75 proc. incidentų Jungtinėse Valstijose), o įsilaužėliai buvo tik penktoje vietoje. vieta. 2008 m. kasmetiniame Kompiuterių saugos instituto (CSI) tyrime viešai neatskleistos grėsmės incidentų skaičius yra toks:

Incidentų skaičius procentais reiškia, kad iš bendro respondentų skaičiaus tokio tipo incidentai įvyko nurodytame procente organizacijų. Kaip matyti iš šių skaičių, beveik kiekviena organizacija rizikuoja patirti vidinių grėsmių. Palyginimui, remiantis ta pačia ataskaita, virusai paveikė 50 % apklaustų organizacijų, o įsilaužėliai įsiskverbė vietinis tinklas su tuo susidūrė tik 13 proc.

Taigi vidinės grėsmės yra šių dienų realybė, o ne analitikų ir pardavėjų sugalvotas mitas. Tad tie, kurie senamadiškai tiki, kad įmonių informacijos saugumas yra ugniasienė ir antivirusinė priemonė, turi kuo greičiau į problemą pažvelgti plačiau.

Įtampos laipsnį didina ir „Asmens duomenų“ įstatymas, pagal kurį už netinkamą asmens duomenų tvarkymą organizacijos ir pareigūnai turės atsakyti ne tik savo vadovybei, bet ir savo klientams bei įstatymui.

Įsibrovėlio modelis

Tradiciškai nagrinėjant grėsmes ir gynybą nuo jų reikėtų pradėti nuo priešininko modelio analizės. Kaip jau minėta, kalbėsime apie viešai neatskleistą informaciją – organizacijos darbuotojus ir kitus vartotojus, kurie turi legalų priėjimą prie konfidencialios informacijos. Paprastai šiais žodžiais visi galvoja apie biuro darbuotoją, dirbantį kompiuteriu kaip įmonės tinklo dalį, kuris dirbdamas neišeina iš organizacijos biuro. Tačiau toks vaizdas yra neišsamus. Būtina jį išplėsti, įtraukiant kitų tipų asmenis, turinčius teisėtą prieigą prie informacijos, kurie gali išeiti iš organizacijos biuro. Tai gali būti verslo keliautojai su nešiojamaisiais kompiuteriais arba dirbantys tiek biure, tiek namuose, kurjeriai, gabenantys laikmenas su informacija, pirmiausia magnetines juostas su atsargine kopija ir pan.

Toks išplėstas įsibrovėlio modelio svarstymas, pirma, telpa į koncepciją, nes šių įsibrovėlių keliamos grėsmės taip pat yra vidinės, antra, leidžia analizuoti problemą plačiau, įvertinant visus įmanomus kovos su šiomis grėsmėmis variantus.

Galima išskirti šiuos pagrindinius vidinių pažeidėjų tipus:

Nelojalus/piktinantis darbuotojas.Šiai kategorijai priklausantys pažeidėjai gali veikti tikslingai, pavyzdžiui, keisdami darbą ir norėdami pasisavinti konfidencialią informaciją, norėdami sudominti naują darbdavį, arba emociškai, jei manė, kad yra įžeisti, taip norėdami atkeršyti. Jie pavojingi, nes yra labiausiai motyvuoti padaryti žalą organizacijai, kurioje šiuo metu dirba. Paprastai incidentų, susijusių su nelojaliais darbuotojais, skaičius yra nedidelis, tačiau jis gali padidėti esant nepalankioms ekonominėms sąlygoms ir masiškai mažinant darbuotojų skaičių.
Infiltruotas, papirktas ar manipuliuojamas darbuotojas.Šiuo atveju kalbame apie bet kokius tikslinius veiksmus, dažniausiai pramoninio šnipinėjimo tikslu intensyvios konkurencijos sąlygomis. Siekdami rinkti konfidencialią informaciją, jie arba įveda savo asmenį į konkuruojančią įmonę tam tikrais tikslais, arba susiranda mažiau nei lojalus darbuotoją ir jį papirkinėja, arba priverčia ištikimą, bet neatsargų darbuotoją perduoti konfidencialią informaciją pasitelkdami socialinę inžineriją. Paprastai tokio pobūdžio incidentų yra net mažiau nei ankstesnių, nes daugumoje Rusijos Federacijos ekonomikos segmentų konkurencija nėra labai išvystyta arba įgyvendinama kitais būdais.
Aplaidus darbuotojas.Šio tipo pažeidėjas – tai lojalus, bet neatidus ar aplaidus darbuotojas, dėl nežinojimo ar užmaršumo galintis pažeisti įmonės vidaus saugumo politiką. Toks darbuotojas gali per klaidą išsiųsti el. laišką su slaptu failu, pridėtu ne tam asmeniui, arba parsinešti į namus atmintinę su konfidencialia informacija, kad galėtų dirbti savaitgalį, ir ją pamesti. Šiam tipui taip pat priklauso darbuotojai, kurie pameta nešiojamus kompiuterius ir magnetines juostas. Daugelio ekspertų nuomone, tokio tipo viešai neatskleista informacija yra atsakinga už daugumą konfidencialios informacijos nutekinimo.

Taigi potencialių pažeidėjų motyvai, taigi ir veiksmų eiga gali labai skirtis. Atsižvelgdami į tai, turėtumėte kreiptis į organizacijos vidaus saugumo užtikrinimo užduotį.

Apsaugos nuo viešai neatskleistos grėsmės technologijos

Nepaisant santykinio šio rinkos segmento jaunimo, klientai jau turi iš ko rinktis, priklausomai nuo jų tikslų ir finansinių galimybių. Verta paminėti, kad dabar rinkoje praktiškai nėra pardavėjų, kurie specializuojasi tik vidaus grėsmių srityje. Tokia situacija susidarė ne tik dėl šio segmento nebrandumo, bet ir dėl agresyvios, o kartais ir chaotiškos susijungimų ir įsigijimų politikos, kurią vykdo tradicinių saugumo produktų gamintojai ir kiti pardavėjai, suinteresuoti buvimu šiame segmente. Verta prisiminti įmonę RSA Data Security, kuri 2006 m. tapo EMC padaliniu, „NetApp“ įsigijo startuolį „Decru“, kuris sukūrė serverio saugyklos ir atsarginių kopijų apsaugos sistemas 2005 m., „Symantec“ įsigijo DLP pardavėją „Vontu“. 2007 metais ir kt.

Nepaisant to, kad daugybė tokių sandorių rodo geras šio segmento plėtros perspektyvas, jie ne visada naudingi produktų, patenkančių į didelių korporacijų sparną, kokybei. Produktai pradeda vystytis lėčiau, o kūrėjai ne taip greitai reaguoja į rinkos poreikius, palyginti su labai specializuota įmone. Tai gerai žinoma didelių kompanijų liga, kurios, kaip žinome, praranda mobilumą ir efektyvumą savo mažesniems broliams. Kita vertus, paslaugų kokybė ir produktų prieinamumas klientams įvairiose pasaulio vietose gerėja dėl jų aptarnavimo ir pardavimo tinklo plėtros.

Panagrinėkime pagrindines šiuo metu naudojamas vidinių grėsmių neutralizavimo technologijas, jų privalumus ir trūkumus.

Dokumentų patikrinimas

Dokumentų valdymo technologija įkūnyta šiuolaikiniuose teisių valdymo produktuose, tokiuose kaip „Microsoft Windows Rights Management Services“, „Adobe LiveCycle Rights Management ES“ ir „Oracle Information Rights Management“.

Šių sistemų veikimo principas – kiekvienam dokumentui priskirti naudojimo taisykles ir valdyti šias teises programose, kurios dirba su tokio tipo dokumentais. Pavyzdžiui, galite sukurti Microsoft Word dokumentą ir nustatyti taisykles, kas gali jį peržiūrėti, kas gali redaguoti ir išsaugoti pakeitimus ir kas gali spausdinti. Šios taisyklės Windows RMS sąlygomis vadinamos licencija ir yra saugomos kartu su failu. Failo turinys yra užšifruotas, kad neleistini vartotojai jo negalėtų peržiūrėti.

Dabar, jei kuris nors vartotojas bando atidaryti tokį apsaugotą failą, programa susisiekia su specialiu RMS serveriu, patvirtina vartotojo leidimus ir, jei leidžiama prieiga prie šio vartotojo, serveris perduoda programai raktą, kad šis failas ir informacija iššifruotų. apie šio vartotojo teises. Remdamasi šia informacija, programa suteikia vartotojui tik tas funkcijas, kurioms jis turi teises. Pavyzdžiui, jei vartotojui neleidžiama spausdinti failo, programos spausdinimo funkcija nebus pasiekiama.

Pasirodo, tokiame faile esanti informacija yra saugi net tada, kai failas patenka už įmonės tinklo ribų – yra užšifruotas. RMS funkcija jau integruota į Microsoft Office 2003 Professional Edition programas. Norėdami įterpti RMS funkcijas į kitų kūrėjų programas, „Microsoft“ siūlo specialų SDK.

„Adobe“ dokumentų valdymo sistema sukurta panašiai, tačiau orientuota į PDF formato dokumentus. Oracle IRM yra įdiegtas klientų kompiuteriuose kaip agentas ir integruojamas su programomis vykdymo metu.

Dokumentų kontrolė yra svarbi bendros apsaugos nuo viešai neatskleistos grėsmės koncepcijos dalis, tačiau reikia atsižvelgti į būdingus šios technologijos apribojimus. Pirma, jis skirtas tik dokumentų byloms stebėti. Jei kalbame apie nestruktūrizuotus failus ar duomenų bazes, ši technologija neveikia. Antra, jei užpuolikas, naudodamas šios sistemos SDK, sukuria paprastą programą, kuri susisieks su RMS serveriu, iš ten gaus šifravimo raktą ir išsaugos dokumentą aiškiu tekstu bei paleidžia šią programą vartotojo, kuris turi minimalus prieigos prie dokumento lygis, tada ši sistema bus apeinama. Be to, reikėtų atsižvelgti į sunkumus diegiant dokumentų kontrolės sistemą, jei organizacija jau yra sukūrusi daug dokumentų – iš pradžių dokumentų įslaptinimas ir naudojimosi teisių suteikimas gali pareikalauti didelių pastangų.

Tai nereiškia, kad dokumentų valdymo sistemos neatlieka užduoties, tereikia atminti, kad informacijos saugumas yra sudėtinga problema, kurios, kaip taisyklė, neįmanoma išspręsti naudojant vieną įrankį.

Apsauga nuo nuotėkio

Duomenų praradimo prevencijos (DLP) terminas informacijos saugumo specialistų žodyne atsirado palyginti neseniai ir jau neperdedant tapo karščiausia pastarųjų metų tema. Paprastai santrumpa DLP reiškia sistemas, kurios stebi galimus nutekėjimo kanalus ir juos blokuoja, jei šiais kanalais bandoma siųsti bet kokią konfidencialią informaciją. Be to, funkcijoje panašios sistemos dažnai apima galimybę archyvuoti per juos perduodamą informaciją tolesniems auditams, incidentų tyrimams ir retrospektyviai galimos rizikos analizei.

Yra dviejų tipų DLP sistemos: tinklo DLP ir pagrindinio DLP.

Tinklo DLP veikia tinklo šliuzo principu, kuris filtruoja visus per jį einančius duomenis. Akivaizdu, kad remiantis užduotimi kovoti su vidinėmis grėsmėmis, pagrindinis tokio filtravimo interesas yra galimybė kontroliuoti duomenis, perduodamus už įmonės tinklo į internetą. Tinklo DLP leidžia stebėti siunčiamą paštą, http ir ftp srautą, momentinių pranešimų paslaugas ir kt. Jei aptinkama neskelbtina informacija, tinklo DLP gali užblokuoti siunčiamą failą. Taip pat yra parinkčių, kaip rankiniu būdu apdoroti įtartinus failus. Įtartini failai patalpinami į karantiną, kurį periodiškai peržiūri apsaugos pareigūnas ir leidžia arba neleidžia perduoti failus. Tačiau dėl protokolo pobūdžio toks apdorojimas galimas tik el. Papildomos audito ir incidentų tyrimo galimybės suteikiamos archyvuojant visą per vartus patenkančią informaciją, su sąlyga, kad šis archyvas yra periodiškai peržiūrimas ir jo turinys analizuojamas, siekiant nustatyti įvykusius nutekėjimus.

Viena iš pagrindinių problemų diegiant ir diegiant DLP sistemas yra konfidencialios informacijos aptikimo būdas, tai yra sprendimo, ar perduota informacija yra konfidenciali, priėmimo momentas ir pagrindai, į kuriuos atsižvelgiama priimant tokį sprendimą. . Paprastai tai apima perduotų dokumentų turinio analizę, dar vadinamą turinio analize. Panagrinėkime pagrindinius būdus, kaip aptikti konfidencialią informaciją.

Žymos. Šis metodas panašus į aukščiau aptartas dokumentų valdymo sistemas. Etiketės įterpiamos į dokumentus, kuriuose aprašomas informacijos konfidencialumo laipsnis, ką galima daryti su šiuo dokumentu ir kam jis turėtų būti siunčiamas. Remdamasi žymų analizės rezultatais, DLP sistema nusprendžia, ar duotas dokumentas gali būti išsiųstas į lauką, ar ne. Kai kurios DLP sistemos iš pradžių yra suderinamos su teisių valdymo sistemomis, kad būtų galima naudoti šių sistemų įdiegtas etiketes; kitos sistemos naudoja savo etiketės formatą.
Parašai. Šis metodas susideda iš vienos ar daugiau simbolių sekų, kurių buvimas perkelto failo tekste turėtų pranešti DLP sistemai, kad šiame faile yra konfidencialios informacijos. Daug parašų gali būti suskirstyti į žodynus.
Bayes metodas. Šis metodas, naudojamas kovojant su šiukšlėmis, taip pat gali būti sėkmingai naudojamas DLP sistemose. Norint pritaikyti šį metodą, sukuriamas kategorijų sąrašas ir nurodomas žodžių sąrašas su tikimybėmis, kad jei žodis yra faile, tai failas su nurodyta tikimybe priklauso arba nepriklauso nurodytai kategorijai.
Morfologinė analizė.Morfologinės analizės metodas yra panašus į parašo, skirtumas tas, kad analizuojama ne 100% atitikimas parašui, bet atsižvelgiama ir į panašius šaknies žodžius.
Skaitmeniniai spaudiniai.Šio metodo esmė ta, kad maišos funkcija visiems konfidencialiems dokumentams apskaičiuojama taip, kad šiek tiek pakeitus dokumentą maišos funkcija išliks tokia pati arba taip pat šiek tiek pasikeis. Taigi labai supaprastėja konfidencialių dokumentų aptikimo procesas. Nepaisant daugelio pardavėjų ir kai kurių analitikų entuziastingai giriamų šią technologiją, jos patikimumas palieka daug norimų rezultatų, o atsižvelgiant į tai, kad pardavėjai, remdamiesi įvairiais pretekstais, nori palikti informaciją apie skaitmeninio pirštų atspaudų algoritmo įgyvendinimą šešėlyje, pasitiki. joje nedidėja.
Įprastos išraiškos.Reguliarūs posakiai, žinomi visiems, kurie yra susidūrę su programavimu, leidžia lengvai rasti šabloninius duomenis tekste, pavyzdžiui, telefono numerius, paso informaciją, banko sąskaitų numerius, socialinio draudimo numerius ir kt.

Iš aukščiau pateikto sąrašo nesunku pastebėti, kad aptikimo metodai arba negarantuoja 100% konfidencialios informacijos identifikavimo, nes tiek pirmojo, tiek antrojo tipų klaidų lygis juose yra gana didelis, arba reikalauja nuolatinio saugos tarnybos budrumo. atnaujinti ir tvarkyti atnaujintą konfidencialių dokumentų parašų ar priskyrimo etikečių sąrašą.

Be to, srauto šifravimas gali sukelti tam tikrą tinklo DLP veikimo problemą. Jei saugumo reikalavimai reikalauja šifruoti el. pašto pranešimus arba naudoti SSL prisijungiant prie bet kokių žiniatinklio išteklių, gali būti labai sunku išspręsti konfidencialios informacijos buvimo perkeltuose failuose problemą. Nepamirškite, kad kai kurios momentinių pranešimų paslaugos, pvz., „Skype“, pagal numatytuosius nustatymus turi integruotą šifravimą. Turėsite atsisakyti naudotis tokiomis paslaugomis arba naudoti pagrindinio kompiuterio DLP joms valdyti.

Tačiau, nepaisant visų sudėtingumo, tinkamai sukonfigūruotas ir rimtai žiūrimas, tinklo DLP gali žymiai sumažinti konfidencialios informacijos nutekėjimo riziką ir suteikti organizacijai patogias vidinės kontrolės priemones.

Priimančioji DLP yra įdiegtos kiekviename tinklo pagrindiniame kompiuteryje (klientų darbo vietose ir, jei reikia, serveriuose), taip pat gali būti naudojami interneto srautui valdyti. Tačiau pagrindiniu kompiuteriu pagrįsti DLP šiuo metu tapo mažiau paplitę ir šiuo metu daugiausia naudojami išoriniams įrenginiams ir spausdintuvams stebėti. Kaip žinote, darbuotojas, kuris į darbą atsineša „flash drive“ ar MP3 grotuvą, kelia daug didesnę grėsmę įmonės informacijos saugumui nei visi įsilaužėliai kartu paėmus. Šios sistemos dar vadinamos galinių taškų saugos įrankiais, nors šis terminas dažnai vartojamas plačiau, pavyzdžiui, taip kartais vadinami antivirusiniai įrankiai.

Kaip žinia, išorinių įrenginių naudojimo problemą galima išspręsti nenaudojant jokių priemonių, išjungiant prievadus arba fiziškai, arba naudojant operacinę sistemą, arba administraciniu būdu uždraudžiant darbuotojams į biurą įsinešti bet kokias laikmenas. Tačiau dažniausiai „pigu ir linksma“ požiūris yra nepriimtinas, nes nesuteikiamas reikiamas verslo procesams reikalingas informacinių paslaugų lankstumas.

Dėl to atsirado tam tikras poreikis specialioms priemonėms, kurias naudojant galima lanksčiau išspręsti įmonės darbuotojų išorinių įrenginių ir spausdintuvų naudojimo problemą. Tokie įrankiai leidžia konfigūruoti vartotojų prieigos prie įvairių tipų įrenginių teises, pavyzdžiui, vienai vartotojų grupei uždrausti dirbti su laikmenomis ir leisti dirbti su spausdintuvais, o kitai – leisti dirbti su laikmenomis tik skaitymo režimu. režimu. Jei reikia įrašyti informaciją išoriniuose įrenginiuose atskiriems vartotojams, galima naudoti šešėlinio kopijavimo technologiją, kuri užtikrina, kad visa informacija, kuri yra įrašyta išoriniame įrenginyje, būtų nukopijuota į serverį. Nukopijuota informacija gali būti vėliau analizuojama, siekiant analizuoti vartotojo veiksmus. Ši technologija nukopijuoja viską, o šiuo metu nėra sistemų, kurios leistų analizuoti saugomų failų turinį, kad būtų užblokuotas veikimas ir išvengta nutekėjimo, kaip tai daro tinklo DLP. Tačiau šešėlinių kopijų archyvas leis atlikti incidentų tyrimus ir retrospektyvią įvykių analizę tinkle, o tokio archyvo buvimas reiškia, kad galimas viešai neatskleistas asmuo gali būti sučiuptas ir nubaustas už savo veiksmus. Tai jam gali tapti reikšminga kliūtimi ir svarbia priežastimi atsisakyti priešiškų veiksmų.

Verta paminėti ir spausdintuvų naudojimo kontrolę – popierinės dokumentų kopijos taip pat gali tapti nutekėjimo šaltiniu. Priglobtas DLP leidžia valdyti vartotojo prieigą prie spausdintuvų taip pat, kaip ir kitų išorinių įrenginių, ir išsaugoti spausdintų dokumentų kopijas grafiniu formatu, kad būtų galima vėliau analizuoti. Be to, kiek išplito vandens ženklų technologija, kuri kiekviename dokumento puslapyje atspausdina unikalų kodą, pagal kurį galima tiksliai nustatyti, kas, kada ir kur atspausdino šį dokumentą.

Nepaisant neabejotinų pagrindinio kompiuterio DLP pranašumų, jie turi nemažai trūkumų, susijusių su būtinybe įdiegti agento programinę įrangą kiekviename kompiuteryje, kuris turėtų būti stebimas. Pirma, tai gali sukelti tam tikrų sunkumų diegiant ir valdant tokias sistemas. Antra, vartotojas, turintis administratoriaus teises, gali bandyti išjungti šią programinę įrangą, kad galėtų atlikti bet kokius veiksmus, kurių neleidžia saugos politika.

Tačiau norint patikimai valdyti išorinius įrenginius, pagrindiniu DLP yra būtinas, o minėtos problemos nėra neišsprendžiamos. Taigi galime daryti išvadą, kad DLP koncepcija dabar yra pilnavertis įrankis įmonių saugos tarnybų arsenale, kai joms daromas vis didesnis spaudimas užtikrinti vidinę kontrolę ir apsaugą nuo nutekėjimų.

IPC koncepcija

Kuriant naujas kovos su vidinėmis grėsmėmis priemones, šiuolaikinės visuomenės mokslinė ir inžinerinė mintis nesustoja, o, atsižvelgiant į tam tikrus aukščiau aptartus priemonių trūkumus, apsaugos nuo informacijos nutekėjimo sistemų rinka atėjo į IPC (informacijos apsaugos ir kontrolės) koncepcija. Šis terminas pasirodė palyginti neseniai, manoma, kad jis pirmą kartą buvo pavartotas analitinės bendrovės IDC apžvalgoje 2007 m.

Šios koncepcijos esmė yra sujungti DLP ir šifravimo metodus. Šioje koncepcijoje DLP pagalba kontroliuojama techniniais kanalais iš įmonės tinklo išeinanti informacija, o šifravimas naudojamas siekiant apsaugoti duomenų laikmenas, kurios fiziškai patenka ar gali patekti į pašalinių asmenų rankas.

Pažvelkime į dažniausiai naudojamas šifravimo technologijas, kurios gali būti naudojamos IPC koncepcijoje.

Magnetinių juostų šifravimas.Nepaisant archajiško šio tipo laikmenos pobūdžio, ji ir toliau aktyviai naudojama atsarginėms kopijoms kurti ir dideliems informacijos kiekiams perduoti, nes ji vis dar neturi lygių saugomo megabaito vieneto kaina. Atitinkamai, juostos nutekėjimas ir toliau džiugina naujienų laidų redaktorius, kurie juos pateikia pirmajame puslapyje, ir žlugdo įmonių CIO bei saugos komandas, kurios tampa tokių ataskaitų herojais. Situaciją apsunkina tai, kad tokiose juostose yra labai dideli duomenų kiekiai, todėl sukčių aukomis gali tapti nemaža dalis žmonių.
Serverio saugyklų šifravimas.Nepaisant to, kad serverio saugykla transportuojama labai retai, o jos praradimo rizika yra nepamatuojamai mažesnė nei magnetinės juostos, atskiras HDD iš saugyklos gali patekti į nusikaltėlių rankas. Remontas, šalinimas, atnaujinimas – šie įvykiai vyksta pakankamai reguliariai, kad būtų galima nurašyti šią riziką. O situacija, kai į biurą patenka pašalinių asmenų, nėra visiškai neįmanomas įvykis.

Čia verta padaryti nedidelį nukrypimą ir paminėti paplitusią klaidingą nuomonę, kad jei diskas yra RAID masyvo dalis, tariamai nereikia jaudintis, kad jis pateks į netinkamas rankas. Atrodytų, kad įrašytų duomenų kaitaliojimas į kelis kietieji diskai, kurį atlieka RAID valdikliai, suteikia neįskaitomą išvaizdą duomenims, kurie yra bet kuriame kietajame tipe. Deja, tai nėra visiškai tiesa. Kaitaliojama, bet dažniausiai šiuolaikiniai įrenginiai jis veikia 512 baitų bloko lygiu. Tai reiškia, kad, nepaisant failų struktūros ir formatų pažeidimo, iš jų galima išgauti konfidencialią informaciją kietasis diskas Vis dar įmanoma. Todėl, jei yra reikalavimas užtikrinti informacijos konfidencialumą, kai ji saugoma RAID masyve, šifravimas išlieka vienintelė patikima galimybė.

Nešiojamų kompiuterių šifravimas.Tai jau buvo pasakyta daugybę kartų, bet vis tiek nešiojamųjų kompiuterių su konfidencialia informacija praradimas jau daugelį metų nepatenka į populiariausių incidentų parado penketuką.
Išimamų laikmenų šifravimas.Šiuo atveju kalbame apie nešiojamus USB įrenginius, o kartais ir įrašomuosius CD bei DVD diskus, jei jie naudojami įmonės verslo procesuose. Tokios sistemos, kaip ir anksčiau minėtos nešiojamojo kompiuterio kietojo disko šifravimo sistemos, dažnai gali veikti kaip pagrindinio DLP sistemų komponentai. Šiuo atveju kalbama apie savotišką kriptografinį perimetrą, užtikrinantį automatinį skaidrų vidinių laikmenų šifravimą, o už jos ribų – negalėjimą iššifruoti duomenų.

Taigi šifravimas gali žymiai išplėsti DLP sistemų galimybes ir sumažinti konfidencialių duomenų nutekėjimo riziką. Nepaisant to, kad IPC koncepcija susiformavo palyginti neseniai, o kompleksinių IPC sprendimų pasirinkimas rinkoje nėra labai platus, pramonė aktyviai tyrinėja šią sritį ir visiškai tikėtina, kad po kurio laiko ši koncepcija taps vidaus saugumo ir vidaus saugumo problemų sprendimo fakto standartas.kontrolė.

išvadas

Kaip matyti iš šios apžvalgos, vidinės grėsmės yra gana nauja informacijos saugumo sritis, kuri vis dėlto aktyviai vystosi ir reikalauja didesnio dėmesio. Apsvarstytos dokumentų valdymo technologijos, DLP ir IPC leidžia sukurti pakankamai patikimą vidaus kontrolės sistemą ir sumažinti nutekėjimo riziką iki priimtino lygio. Be jokios abejonės, ši informacijos saugumo sritis ir toliau vystysis, bus siūlomos naujesnės ir pažangesnės technologijos, tačiau šiandien daugelis organizacijų renkasi vieną ar kitą sprendimą, nes nerūpestingumas informacijos saugumo klausimais gali kainuoti per brangiai.

Aleksejus Raevskis
„SecurIT“ generalinis direktorius

Naujausi tyrimai informacijos saugumo srityje, pavyzdžiui, kasmetinis CSI/FTB kompiuterinių nusikaltimų ir saugumo tyrimas, parodė, kad įmonių finansiniai nuostoliai dėl daugelio grėsmių kiekvienais metais mažėja. Tačiau yra keletas pavojų, dėl kurių nuostoliai didėja. Vienas iš jų – tyčinis konfidencialios informacijos vagystės arba jos tvarkymo taisyklių pažeidimas, kurį atlieka tie darbuotojai, kurių prieiga prie komercinių duomenų yra būtina jų tarnybinėms pareigoms atlikti. Jie vadinami saviškiais.

Daugeliu atvejų konfidencialios informacijos vagystė vykdoma naudojant mobiliąsias laikmenas: kompaktinius ir DVD diskus, ZIP įrenginius ir, svarbiausia, visų rūšių USB įrenginius. Būtent jų masinis pasiskirstymas paskatino savyje klestėjimą visame pasaulyje. Daugumos bankų vadovai puikiai žino apie pavojų, kai, pavyzdžiui, duomenų bazė su jų klientų asmeniniais duomenimis ar, be to, jų sąskaitose vykdomos operacijos patenka į nusikalstamų struktūrų rankas. O su galimu informacijos vagystymu jie bando kovoti pasitelkdami jiems prieinamus organizacinius metodus.

Tačiau organizaciniai metodai šiuo atveju yra neveiksmingi. Šiandien informacijos perdavimą tarp kompiuterių galite organizuoti naudodami miniatiūrinę atmintinę, mobilųjį telefoną, TZ-plssr, skaitmeninį fotoaparatą... Žinoma, galite pabandyti uždrausti visus šiuos įrenginius įsinešti į biurą, bet tai, pirma, neigiamai paveiks santykius su darbuotojais, antra, nustatyti tikrai veiksmingą žmonių kontrolę vis dar labai sunku – bankas nėra „pašto dėžutė“. Ir net išjungus visus kompiuteriuose esančius įrenginius, kuriais galima įrašyti informaciją į išorines laikmenas (FDD ir ZIP diskus, CD ir DVD įrenginius ir pan.) ir USB prievadus, nepadės. Juk pirmieji reikalingi darbui, o antrieji yra prijungti prie įvairių periferinių įrenginių: spausdintuvų, skaitytuvų ir kt. Ir niekas negali sutrukdyti žmogui nė minutei išjungti spausdintuvą, į laisvą prievadą įkišti „flash drive“ ir nukopijuoti į jį svarbią informaciją. Žinoma, galite rasti originalių būdų apsisaugoti. Pavyzdžiui, vienas bankas išbandė tokį problemos sprendimo būdą: USB prievado ir laido sandūrą užpildė epoksidine derva, pastarąją tvirtai „pririšdami“ prie kompiuterio. Tačiau, laimei, šiandien yra modernesnių, patikimesnių ir lankstesnių valdymo metodų.

Veiksmingiausia priemonė sumažinti riziką, susijusią su viešai neatskleista informacija, yra speciali programinė įranga, dinamiškai valdanti visus įrenginius ir kompiuterių prievadus, kuriais galima kopijuoti informaciją. Jų darbo principas yra toks. Leidimai naudoti įvairius prievadus ir įrenginius nustatomi kiekvienai vartotojų grupei arba kiekvienam vartotojui atskirai. Didžiausias tokios programinės įrangos privalumas – lankstumas. Galite įvesti apribojimus konkrečių tipų įrenginiams, jų modeliams ir atskiriems egzemplioriams. Tai leidžia įgyvendinti labai sudėtingas prieigos teisių platinimo strategijas.

Pavyzdžiui, galbūt norėsite leisti kai kuriems darbuotojams naudoti bet kokius prie USB prievadų prijungtus spausdintuvus ar skaitytuvus. Tačiau visi kiti į šį prievadą įkišti įrenginiai liks nepasiekiami. Jei bankas naudoja vartotojo autentifikavimo sistemą, pagrįstą žetonais, tada nustatymuose galite nurodyti naudojamą rakto modelį. Tada vartotojai galės naudotis tik įmonės įsigytais įrenginiais, o visi kiti bus nenaudingi.

Remiantis aukščiau aprašytu apsaugos sistemų veikimo principu, galite suprasti, kokie punktai yra svarbūs renkantis programas, kurios įgyvendina dinaminį įrašymo įrenginių ir kompiuterių prievadų blokavimą. Pirma, tai yra universalumas. Apsaugos sistema turi apimti visą galimų prievadų ir įvesties/išvesties įrenginių spektrą. Priešingu atveju komercinės informacijos vagystės rizika išlieka nepriimtinai didelė. Antra, aptariama programinė įranga turi būti lanksti ir leisti kurti taisykles naudojant daug įvairios informacijos apie įrenginius: jų tipus, modelių gamintojus, unikalius numerius, kuriuos turi kiekvienas egzempliorius ir kt. Ir trečia, apsaugos nuo viešai neatskleistų asmenų sistema turėtų būti integruota su informacinė sistema banke, ypač naudojant „Active Directory“. Priešingu atveju administratoriui ar apsaugos darbuotojui teks prižiūrėti dvi vartotojų ir kompiuterių duomenų bazes, o tai ne tik nepatogu, bet ir padidina klaidų riziką.

Naujausi informacijos saugumo tyrimai, tokie kaip kasmetinis CSI/FBI ComputerCrimeAndSecuritySurvey, parodė, kad finansiniai įmonių nuostoliai dėl daugelio grėsmių kiekvienais metais mažėja. Tačiau yra keletas pavojų, dėl kurių nuostoliai didėja. Vienas iš jų – tyčinis konfidencialios informacijos vagystės arba jos tvarkymo taisyklių pažeidimas, kurį atlieka tie darbuotojai, kurių prieiga prie komercinių duomenų yra būtina jų tarnybinėms pareigoms atlikti. Jie vadinami saviškiais.

Tačiau organizaciniai metodai šiuo atveju yra neveiksmingi. Šiandien informacijos perdavimą tarp kompiuterių galite organizuoti naudodami miniatiūrinę atmintinę, mobilųjį telefoną, mp3 grotuvą, skaitmeninį fotoaparatą... Žinoma, galite pabandyti uždrausti visus šiuos įrenginius įsinešti į biurą, bet tai, pirma, neigiamai paveiks santykius su darbuotojais, antra, nustatyti tikrai efektyvią žmonių kontrolę vis dar labai sunku – bankas nėra „pašto dėžutė“. Ir net išjungus visus kompiuteriuose esančius įrenginius, kuriais galima įrašyti informaciją į išorines laikmenas (FDD ir ZIP diskus, CD ir DVD įrenginius ir pan.) ir USB prievadus, nepadės. Juk pirmieji reikalingi darbui, o antrieji yra prijungti prie įvairių periferinių įrenginių: spausdintuvų, skaitytuvų ir kt. Ir niekas negali sutrukdyti žmogui nė minutei išjungti spausdintuvą, į laisvą prievadą įkišti „flash drive“ ir nukopijuoti į jį svarbią informaciją. Žinoma, galite rasti originalių būdų apsisaugoti. Pavyzdžiui, vienas bankas išbandė tokį problemos sprendimo būdą: USB prievado ir laido sandūrą užpildė epoksidine derva, pastarąją tvirtai „pririšdami“ prie kompiuterio. Tačiau, laimei, šiandien yra modernesnių, patikimesnių ir lankstesnių valdymo metodų.

Remiantis aukščiau aprašytu apsaugos sistemų veikimo principu, galite suprasti, kokie punktai yra svarbūs renkantis programas, kurios įgyvendina dinaminį įrašymo įrenginių ir kompiuterių prievadų blokavimą. Pirma, tai yra universalumas. Apsaugos sistema turi apimti visą galimų prievadų ir įvesties/išvesties įrenginių spektrą. Priešingu atveju komercinės informacijos vagystės rizika išlieka nepriimtinai didelė. Antra, aptariama programinė įranga turi būti lanksti ir leisti kurti taisykles naudojant daug įvairios informacijos apie įrenginius: jų tipus, modelių gamintojus, unikalius numerius, kuriuos turi kiekvienas egzempliorius ir kt. Ir trečia, viešai neatskleistos informacijos sistema turi būti integruota su banko informacine sistema, ypač su ActiveDirectory. Priešingu atveju administratoriui ar apsaugos darbuotojui teks prižiūrėti dvi vartotojų ir kompiuterių duomenų bazes, o tai ne tik nepatogu, bet ir padidina klaidų riziką.