Каждый раз, когда мы задаем вопрос о том, как технически защищаются ПДн в той или иной системе, мы получаем развернутые ответ, который можно свести к одному предложению: «Самым лучшим образом». На следующий вопрос о том, что делается по противодействию инсайдерам, ответа мы, как правило, не получаем. Потому что ответ печален: ничего не делается.
Многим до сих пор непонятно, как выстроить работу по противодействию иснайдерам, однако, в отличие от других областей, готовый ответ в этой сфере уже есть. В Соединенных Штатах, при институте CERT, на протяжении последних 11 лет работает Исследовательский Центр по Противодействию Инсайдерам, который рад предложить свои наработки любому, кто ими заинтересуется, на безвозмездной основе. Мы хотим познакомить нашего читателя с выступлением директора этого института Доной Каппелии (Dawn Сappelli) на одной из западных конференций, в надежде, что эта информация будет ему полезной.
- Мы начали свою работу более десяти лет назад. Наша миссия, как мы её видим, заключается в сборе и анализе информации об инсайдерских атаках, которые произошли на самом деле. В нашей организации хранится подробная информация о, по крайней мере, семиста инсайдерских атаках на крупные компании. Поэтому решения, которые мы предлагаем, не «взяты с потолка», они являются результатом анализа той информации, которую мы аккумулировали за годы своей работы. Однако теория без практики невозможна – мы постоянно проводим семинары, сотрудничаем с компаниями напрямую, поэтому мы точно знаем, что работает, а что нет в борьбе с инсайдерами. Мы уверены, что невозможно выстроить эффективное противодействие инсайдерам с помощью одних лишь технических средств, потому что инсайдеры – это люди, а не просто сбои в работе отдельно взятой АРМ.
Сегодня я хочу рассказать вам о том, как проводить профилактику от инсайдерских атак. Если атака все же готовится, вы должны знать, как вычислить злоумышленника и предотвратить атаку, но если она все-таки произошла, вы должны знать, как можно минимизировать нанесенный ущерб и собрать необходимые доказательства, чтобы вычислить инсайдера. Если вы думаете, что жертвой инсайдерской атаки станет кто-то другой, а не вы, я хочу привести три примера из реальной жизни, чтобы вы могли задуматься: «Может ли такая ситуация произойти в моей компании?».
Первый случай – охранник, работающий в ночной смене, установил на компьютеры в офисе, который призван был охранять, вредоносное ПО. Если бы служба безопасности «проспала» эту атаку, учитывая специфику производства, которое охранял пресловутый охранник, могли бы погибнуть люди. А теперь задумайтесь, имеет ли охрана в вашем офисе в ночное время доступ к рабочим местам ваших сотрудников или же лично к вашему? Другой случай – программист уволился из компании, в которой он работал, прихватив с собой исходный код разрабатываемого ПО, и уехал жить в другую страну. Такие случаи встречаются сплошь и рядом – сотрудник, увольняясь, уносит с собой ценные активы компании (прим. ред. - которыми, в случае операторов персональных данных, являются ПДн субъектов). При этом бывшему сотруднику совсем не обязательно уезжать из страны, он может пойти к вашим конкурентам. Третий случай – группа сотрудников завербовала злоумышленников, после чего эти сотрудники стали опасным орудием в их руках. Финансовые махинации, похищение ПДн, отчуждение денежных средств – это лишь краткий перечень тех «радостей жизни», которые могут подарить вам и вашей компании такие заговорщики.
После 11 лет борьбы с инсайдерскими угрозами мы в CERT решили, что пришло время обобщить все те знания и опыт, которые мы накопили за это время, и предложить бизнесу своеобразный рейтинг самых полезных советов по борьбе с инсайдерскими угрозами…
Материал полностью читайте в № 8(49) журнала «Персональные данные»