Самые громкие инсайдерские инциденты в

СОДЕРЖАНИЕ

 

Введение

1. Самые громкие инсайдерские инциденты в области телекоммуникаций

2. Внутренние нарушители

3. Законы в области защиты от внутренних угроз      

3.1.  Правовое и нормативное регулирование

3.2.  Сертификация по международным стандартам

4. Статистические исследования

5. Методы предотвращения внутренних утечек

Заключение

Список использованной литературы

 

 

ВВЕДЕНИЕ

 

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

- рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;

- анализ внутренних нарушителей;

- изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;

- изучение статистических исследований;

- рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

 

Самые громкие инсайдерские инциденты в

Области телекоммуникаций

 

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.

В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность. [1]

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI – второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom «рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом – по электронной почте. После этого компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию. [2]

Внутренние нарушители

 

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные - исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute [4]; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey [5]. Таблица 1 иллюстрирует одно из таких исследований.

 

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Вирусы	$ 15 691 460
Неавторизованный доступ	$ 10 617 000
Кража ноутбуков	$ 6 642 560
Утечка информации	$ 6 034 000
Отказ в обслуживании	$ 2 992 010
Финансовое мошенничество	$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами	$ 1 849 810
Телеком-мошенничество	$ 1 262 410
Зомби-сети в организации	$ 923 700
Взлом системы извне	$ 758 000
Фишинг (от лица организации)	$ 647 510
Злоупотребление беспроводной сетью	$ 469 010
Злоупотребление интернет-пейджерами инсайдерами	$ 291 510
Злоупотребление публичными веб-приложениями	$ 269 500
Саботаж данных и сетей	$ 260 00

 

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя [3]:

· совокупность компьютеров, связанных между собой в сеть;

· каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;

· обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями

· интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия

· жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети

· независимость логической структуры сети от типов каналов передачи информации.

 

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

· неавторизованный доступ в систему (ПК, сервер, БД);

· неавторизованный поиск/просмотр конфиденциальных данных;

· неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе;

· сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;

· попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);

· другие нарушения правил и процедур внутренней безопасности сети.

Существует несколько путей утечки конфиденциальной информации:

o почтовый сервер (электронная почта);

o веб-сервер (открытые почтовые системы);

o принтер (печать документов);

o FDD, CD, USB drive (копирование на носители). [6]

Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж — лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.

Корпоративный саботаж — это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.

Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.

 

Табл. 2  События, предшествующие саботажу

 

Конфликт	20%
Увольнение	47%
Отсутствие повышения	13%
Другие	20%

_{Источник СЕRT}

 

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.

Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.

 

Табл.  3 Портрет типичного саботажника

Инженер	14%
Программист	21%
Системный администратор	38%
Специалист по IT	14%
Другое	13%

_{Источник СЕRT}

 

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.

«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования... Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», — Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», — Бен.

Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% — коллеги, 21% — друзья, 14% — члены семьи, а еще 14% —сообщники.

В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% — конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% — offline, 22% — обоих сразу.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. [7]

Средства защиты

Наиболее популярными средствами ИБ в телекоммуникационных компаниях (Рисунок 4.7) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%).

В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.

 

Табл. 10 Используемые средства ИБ

Антивирусное ПО	100%
Межсетевые экраны	79%
Контроль доступа	68%
Антиспамовое ПО	44%
IDS/IPS	26%
VPN	17%
Защита от утечки данных	8%
Другое	16%

 

Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (Рисунок 4.4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.

Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (Рисунок 4.8) каждый респондент мог выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.

 

Табл. 11 Препятствия на пути внедрения защиты от утечки

Бюджетные ограничения	22%
Психологические препятствия	18%
Юридические препятствия	9%
Отсутствие технологических решений	3%
Отсутствие стандартов	30%
Нехватка квалифицированного персонала	15%
Затруднюсь ответить	2%
другие	1%

 

Можно сравнить эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.

 

Табл. 12 Наиболее эффективные пути защиты от утечки

Организационные меры	27%
Внедрение комплексных решений на основе ИТ	49%
Ограничение с внешними сетями	11%
Тренинги сотрудников	9%
Другие	3%
Никакие	1%

 

Следующий вопрос – наиболее эффективные способы защиты от утечек информации (Рисунок 4.9). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин не используются на практике. Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.

 

Табл. 13 Планы по внедрению защиты от утечек информации

Система мониторинга электронной почты	21%
Комплексная система мониторинга сетевых ресурсов	41%
Система мониторинга Интернет- трафика	20%
Система мониторинга рабочих станций	15%
Не планируем	4%

 

Базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах. Вывод экспертов подтверждают планы внедрения средств защиты информации от утечек на ближайшие 2–3 года (Рисунок 4.10). Комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.

Главная озабоченность в проблеме внутренних нарушителей – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.

Итоги исследований

Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.

Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует. [10]

Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».Но и сейчас оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям, и хочет продемонстрировать взаимодействующим с ним операторам способность совместно с ними противостоять угрозам ИБ. Поэтому добровольная сертификация довольно распространена уже сегодня. [11]

 

PC Acme

Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.

 

Как ловят инсайдеров

Пример победы над инсайдерами продемонстрировала в середине февраля 2006 г. российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности, фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor.

ЗАКЛЮЧЕНИЕ

 

Таким образом, в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России. Уже можно отметить положительные тенденции. Число организаций, защитивших себя от утечек, непрерывно растет и еще будет увеличиваться.

Организации начинают хорошо осознавать опасность роста угроз, связанных с собственным персоналом, хотя мало предпринимают необходимых мер для защиты. В списки своих приоритетных задач не все включили обучение и повышение квалификации сотрудников в сфере ИБ, регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. Лишь немногие рассматривают сегодня ИБ как одну из приоритетных задач руководства.

По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. Компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.

Недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.

Многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, телекоммуникационные компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.

Ряд крупных компаний подпадают под требования различных нормативных актов, которые обязывают защищать приватные сведения. В целом ожидается, что спрос на решения по защите от инсайдеров и утечек будет стабильно расти как минимум в течение ближайших пяти лет.

 

 

СОДЕРЖАНИЕ

 

Введение

1. Самые громкие инсайдерские инциденты в области телекоммуникаций

2. Внутренние нарушители

3. Законы в области защиты от внутренних угроз      

3.1.  Правовое и нормативное регулирование

3.2.  Сертификация по международным стандартам

4. Статистические исследования

5. Методы предотвращения внутренних утечек

Заключение

Список использованной литературы

 

 

ВВЕДЕНИЕ

 

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

- рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;

- анализ внутренних нарушителей;

- изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;

- изучение статистических исследований;

- рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

 

Самые громкие инсайдерские инциденты в

Области телекоммуникаций

 

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.

В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность. [1]

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI – второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom «рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом – по электронной почте. После этого компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию. [2]

Внутренние нарушители

 

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные - исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute [4]; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey [5]. Таблица 1 иллюстрирует одно из таких исследований.

 

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Вирусы	$ 15 691 460
Неавторизованный доступ	$ 10 617 000
Кража ноутбуков	$ 6 642 560
Утечка информации	$ 6 034 000
Отказ в обслуживании	$ 2 992 010
Финансовое мошенничество	$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами	$ 1 849 810
Телеком-мошенничество	$ 1 262 410
Зомби-сети в организации	$ 923 700
Взлом системы извне	$ 758 000
Фишинг (от лица организации)	$ 647 510
Злоупотребление беспроводной сетью	$ 469 010
Злоупотребление интернет-пейджерами инсайдерами	$ 291 510
Злоупотребление публичными веб-приложениями	$ 269 500
Саботаж данных и сетей	$ 260 00

 

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя [3]:

· совокупность компьютеров, связанных между собой в сеть;

· каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;

· обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями

· интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия

· жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети

· независимость логической структуры сети от типов каналов передачи информации.

 

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

· неавторизованный доступ в систему (ПК, сервер, БД);

· неавторизованный поиск/просмотр конфиденциальных данных;

· неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе;

· сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;

· попытки обойти или взломать систему безопасности или аудита без