опыт; проблемы, решения
21 (54) - 2009
инсайдер
как внутренний враг бизнеса: социальные особенности работы с персоналом в период кризиса
е. и. Медведева,
кандидат экономических наук,
доцент кафедры менеджмента и маркетинга
E-mail: pecof@kolomna. ru
С. В. КРОШИЛИН,
кандидат технических наук,
доцент кафедры менеджмента и маркетинга
e-mail: krosh_sergey@mail. ru
Коломенский государственный педагогический институт
В настоящее время информация занимает первое место в конкурентной борьбе, и соответственно, небольшая утечка информации за пределы компании может нанести непоправимый ущерб ее репутации и финансовому положению. Большинство современных направлений по обеспечению безопасности бизнеса связано с предотвращением утечки информации в результате злонамеренной деятельности легитимных пользователей (персонала предприятия) — инсайдеров.
Ключевые слова: информационная безопасность, внутренняя безопасность, защита информации, внутренняя утечка информации.
Само понятие «инсайдер» в различных источниках имеет разную трактовку. Это английский термин, который в нашем случае означает — «член какой-либо группы людей, имеющих доступ к информации, не доступной широкой публике» [1]. Обычно данный термин используется в контексте, связанном с секретной или какой-либо другой закрытой информацией или знаниями. Само собой, что это человек, а именно сотрудник компании, который обладает реальной информацией «из первых рук». Таким образом, с точки зрения информационной безопасности инсайдер — сотрудник компании, имеющий доступ к конфиденциальным данным, размещенным в компьютерной сети предприятия.
Обычно инсайдерами являются директора и старшие менеджеры, а также владельцы более 10 % голосов компании [2]. Однако это может быть как секретарша, по ошибке переславшая «не то и не туда», так и злоумышленник, внедренный специально для кражи данных. Как видно, разброс достаточно большой. А ведь чтобы эффективно бороться, надо знать своего противника в лицо.
Вообще, с точки зрения инсайдеров весь персонал предприятия условно можно разделить на 4 группы: «послушные», «нарушители», «преступники», «кроты-предатели».
1. «Послушные» — это лояльные служащие компании, которые никогда или очень редко нарушают корпоративную политику и в основном не создают угрозы безопасности. Однако согласно статистики от 80 до 90 % всех зарегистрированных утечек данных были следствием неосторожности или безалаберности сотрудников компаний.
2. «Нарушители» — это составляющее большинство «офисного планктона» и топ-менеджмента компании. Они позволяют себе небольшие фамильярности относительно информационной безопасности: работают с персональной веб-почтой, играют в компьютерные игры и совершают онлайн покупки. Этот класс инсайдеров представляет угрозу ИТ-безопасности, но сопутствующие им инциденты являются случайными и неумышлен-
ными. Однако не следует забывать, что большинство внешних атак начинается именно с ICQ или web-ящика сотрудников.
3. «Преступники» — это те работники, которые проводят большую часть дня, делая то, что они делать не должны. Как правило, это топ-менеджеры, которые злоупотребляют своими привилегиями по доступу к Интернету, самовольно устанавливают и используют различные приложения. Более того, такие топ-менеджеры могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, этот класс инсайдеров представляет собой серьезную угрозу ИТ-безопасности.
4. «Кроты-предатели» — это служащие, умышленно и регулярно крадут конфиденциальную информацию компании (обычно за финансовое вознаграждение от заинтересованной стороны). Такие сотрудники представляют собой самую большую угрозу, и их сложнее всего поймать, так как обычно это достаточно опытные пользователи, «заметающие» за собой следы.
Все перечисленные группы инсайдеров опасны. При этом не следует забывать об определенной специфике информации — ее неиссякаемости [2], т. е. можно продавать всем или несколько раз. В России давно привыкли брать то, что «плохо лежит», а что касается информации, то тут редко кто сможет устоять перед соблазном заработать на эксклюзивном доступе к данным.
Что берут инсайдеры? В условиях кризиса значительно увеличилось число уволенных, а уволенные сотрудники (значительно чаще у нас, чем за рубежом) забирают с собой оперативную рабочую
Персональные данные
Финансовые отчеты
Детал и конкретн ых сделок
Интеллектуальная собственность
Бизнес-планы
Другая
41%
38%
40%
47%
19%
25%
19%
19%
10% 14%
Результаты исследований компании РептеМх по вопросу «Информация, наиболее подверженная утечке»
информацию — контакты, сведения о бизнес-планах, персональные данные, финансовые отчеты. Инсайдеры «торгуют» финансовыми отчетами, деталями конкретных сделок и даже интеллектуальной собственностью компании (см. рисунок) [4].
Известна мировая формула, согласно которой утечка всего 20 %> корпоративных секретов в 60 %> случаев приводит фирму к банкротству. Например, летом 2005 г. американский процессинговый центр CardSystems Solutions допустил утечку номеров 40 млн кредитных карт. В течение месяца от работы с ним отказались крупнейшие клиенты, государство наложило крупный штраф, а в декабре бывшая преуспевающая компания была куплена за символическую цену небольшим конкурентом. При этом практика имеет много подтверждений того, что 20 % — это даже много [4]. Однако в России подобных примеров полного разорения компании после утечки информации не зафиксировано. Причина кроется во многих факторах, о которых речь пойдет впереди.
Что по закону им за это будет? В России меньше знают об инсайдерах и утечках информации, чем за рубежом. Дело в том, что информацию о неприятном происшествии многим проще «замять», дабы «не выносить сор из избы». Так, например, в период «лихих 1990-х» многие НИИ «решились» своих разработок, которые потом появились и успешно продавались за рубежом. Вспомним и продажу финансовой отчетности из налоговых органов в наши дни через Интернет. Причины возникновения такой ситуации не в «российском менталитете», а в ощущении безнаказанности. Ведь в российской действительности судебное преследование грозит лишь 9 % инсайдеров. Максимум, что им могут сделать — это уволить, иногда наложить штраф (или лишить премии) — и все. Для сравнения: в США всех внутренних нарушителей такого типа рано или поздно постигают или крупный штраф, или тюремное заключение.
К сожалению, несмотря на бурную законотворческую деятельность, российские предприятия еще очень далеки от практической реализации эффективной системы защиты персональных данных. Об этом свидетельствуют факты: по нашим подсчетам, порядок работы с персональными данными в России регулируют бо-
- 83
68%
57%
2008I од 2007I од
PERIMETRIX "2009
Опыт. Проблемы. Решения
21 (54) - 2009
лее 30 законов (в том числе федеральных), указов, постановлений, приказов и распоряжений. Излишне говорить, что разобраться в этом нормативном буйстве очень сложно даже профессионалу. Тем более это трудновыполнимая задача для приблизительно 7 млн юридических лиц и индивидуальных предпринимателей, которые оперируют персональными данными и обязаны соответствовать требованиям Закона РФ «О Персональных данных» и т. д.
Чем это грозит нам? Деятельность инсайдеров порождает целый спектр неприятностей: начиная с порчи нервных клеток, переживаний, срыва важных сделок, нанесения ущерба репутации, и заканчивая прямой угрозой бизнесу. Ведь по определению бизнес — это самостоятельная, осуществляемая с определенным риском деятельность с целью получения систематической прибыли. А теперь эту прибыль могут получать инсайдеры и другие лица вместо вас.
Российские компании обычно замалчивают факты утечек с целью сохранения публичного имиджа, а некоторые просто не в состоянии их учитывать. Исследования российской компании РейтеМх показывают, что в 2008 г. 42 % российских организаций затруднились назвать хотя бы приблизительное количество подобных инцидентов [4].
Причина замалчивания фактов утечек кроется также в нежелании нести дополнительные расходы на ликвидацию последствий утечек, оповещение пострадавших и возмещение понесенного ими ущерба. Очень часто в наших компаниях полагаются «на авось», считая, что утечку никто не заметит. Информация о случившихся инцидентах порой вовсе не доходит до руководства, так как менеджеры справедливо опасаются санкций со стороны начальства или просто не воспринимают всерьез угрозу утечки. Кроме инцидентов, которые хоть как-то обнаруживаются внутри компаний, существуют еще и утечки-«фантомы», о которых никто ничего не знает. Доля таких утечек особенно велика и наносит ущерб безопасности, поскольку далеко не все компании имеют средства для выявления данных проблем.
Кому следует опасаться инсайдеров? Как уже говорилось, инсайдеров интересуют, в частности: персональные данные, финансовые отчеты, детали конкретных сделок, интеллектуальная собственность и бизнес-планы. Эти виды информации присутствуют во всех сферах деятельности и отраслях. Однако угроза нарушения конфиденциальности данных растет пропорционально приближению организации к «живым» деньгам (банковская и финансовая сферы, коммерческая деятельность,
84 -
торговля, производство и т. д.) и персональным данным (сотовая связь, телекоммуникации, налоговые органы, государственные учреждения любого учета и т. д.) [3]. Впрочем, нельзя недооценивать реальной опасности и для среднего и малого бизнеса. Скажем, перешедший к конкуренту сотрудник уносит с собой список клиентов небольшого дистрибьютора, в итоге: минимум — многократное снижение продаж, а максимум — банкротство организации.
Однозначно можно утверждать, что проблема защиты данных от инсайдеров — это проблема универсальная с точки зрения расположения, отраслевой принадлежности и размера бизнеса. Как правило, проблема связана с грамотной организацией работы с персоналом.
Как защититься от инсайдеров? Несмотря на то, что утечки данных занимают первую строчку в рейтинге критических угроз бизнесу, на практике лишь 29 % российских компаний используют специализированные системы защиты [5]. По признанию экспертов, человек является самым слабым звеном в системе безопасности, но ведь он является и самым важным! На наш взгляд, здесь нет универсального рецепта. Известны организации, где насаждается обстановка тотальной слежки, в чем видится торжество порядка. При этом компания продолжает функционировать и демонстрировать приемлемые показатели эффективности работы. В других организациях вполне логично делается упор на образование сотрудников, воспитание в них корпоративного духа, самосознания, чувства единения со стратегическими целями и задачами компании. Известно, что именно сплоченный коллектив способен на решение самых сложных задач.
В этом вопросе не следует зацикливаться только на технологических особенностях систем защиты, многое зависит от моральных и этических норм в организации, корпоративного духа, кодекса этики. Эффективная защита возможна в том случае, если в организации существует соответствующая корпоративная культура, предполагающая вовлечение руководителей в процесс обеспечения информационной безопасности. Ведь проблема эта сложна и многогранна, поэтому в отношении работы с персоналом следует сделать больший упор на защиту данных от копирования на мобильные устройства, возможен контроль за корпоративной почтой части работников. Но такие действия никогда не должны быть публичными или анонсируемыми: ничего кроме страха и напряжения это не вызовет. Однако если их осуществлять незаметно, то такие действия способны уберечь ценную для компании информацию.
Практические рекомендации по борьбе с инсайдерами. Проблема весьма деликатна, и дать универсальный совет на все случаи жизни достаточно тяжело. Механизмы защиты от инсайдера (или инструменты защиты) зависят от множества факторов: начиная с рода деятельности предприятия и территориального расположения офиса и заканчивая количеством персонала на предприятии и сложившимся отношением к информационной безопасности внутри предприятия. Однако, опираясь на опыт специалистов в данной области, можно дать несколько практических советов.
Во-первых, это проверка персонала при приеме на работу, всех деловых качеств и социальных аспектов будущего работника. Это должна быть совместная работа блока безопасности и блока по управлению персоналом. Это не только тестирование, собеседование, определение личностных характеристик и наклонностей, но и проверка предыдущих мест работы, так называемое «наведение справок» по своим источникам информации. Это поможет отсеять «кротов-предателей» еще до того, как они проникнут в ваш бизнес.
Во-вторых, это грамотная пользовательская политика внутри корпоративной (компьютерной) сети. Разграничение прав и уровня доступа к отдельным видам информации, особенно к той, которая представляет коммерческую тайну, к клиентской базе данных (которая сегодня является важным ресурсом предприятия), финансово-бухгалтерская информация и т. д. Грамотная защита всего перечисленного поможет избежать многих неприятностей.
В-третьих, постоянный контроль. Это не должна быть тотальная слежка за всем и вся, но сотрудники должны понимать, что их действия
отслеживаются. Необходимо применять различные средства мониторинга сетевого трафика (например, TrafficInspector — разработка компании SmartSoft), анализа сетевой активности: кто и что посещает в Интернете, куда уходят письма с корпоративного ящика. Камеры видеонаблюдения и фиксация телефонных звонков оказывают также очень положительный эффект в плане защиты. Простое понимание персоналом того, что любое действие фиксируется, заставляет по-другому относиться не только к вопросам безопасности, но и повышает эффективность работы на протяжении всего рабочего дня.
Очевидно, что проблема инсайдеров — это реальная угроза бизнесу сегодня. Более подробно средства защиты от инсайдеров и других угроз информационной безопасности будут рассмотрены в следующих публикациях.
Список литературы
1. Википедия. URL: http://ru. wikipedia. org.
2. Крошилин С. В., Медведева Е. И. Информационные технологии и системы в экономике: учебное пособие. М.: ИПКИР, 2008. 485 с.
3. Крошилин С. В. Возможные угрозы безопасности экономических информационных систем и методы их устранения // Проблемы и методы управления экономической безопасностью регионов. Материалы межвузовской научной конференции профессорско-преподавательского состава. Коломна: КГПИ, 2006. С. 240-244.
4. Преображенский Е. Инсайдерские угрозы в России // Управление персоналом. М. : Корпоративная Периодика. № 7 (209) . 2009. С. 6-10.
5. Технологии разведки для бизнеса. URL: www.it2b.ru.
Подписка eUBRARy»RU
Теперь журналы Издательского дома «Финансы и Кредит» стали доступны в электронном виде в Научной Электронной Библиотеке (eLIBRARY.RU).
На сайте eLIBRARY.RU можно оформить годовую подписку на текущие и архивные выпуски журналов, приобрести отдельные номера изданий или статьи.