УДК 81.93.29
ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕТОДЫ БОРЬБЫ С ВНУТРЕННИМИ УГРОЗАМИ
УТЕЧКИ ИНФОРМАЦИИ ОРГАНИЗАЦИЙ И ПРЕДПРИЯТИЙ
© 2019 В.В. Гордиенко1, А.Л. Лисицин 2
1 канд. техн. наук, доцент кафедры информационной безопасности e-mail: vika.gordienko. 1973amail.ru 2 ассистент кафедры информационной безопасности e-mail: vip. lisicinamail. ru
Курский государственный университет
В статье рассматриваются основные методы борьбы с утечкой информации на предприятиях и организациях, приведена новая методика исследования процессов утечки информации и основных угроз ее возникновения, исследуются данные, позволяющие укрепить основные системы защиты информации в крупных корпорациях. На основе оригинальной трактовки понятий элементов и связей приводятся необходимые сведения и терминологические особенности в области исследования. Предлагается модель универсальных способов решения проблемы с персоналом для укрепления корпоративной этики. Рассматриваются вопросы организационно-технической защиты информации на основе структур систем названного класса.
Ключевые слова: фишинг, аккаунт, мессенджеры, флеш-карта, вайфай, инфраструктура, киберугроза, плагтн, браузер. прокси-сервер, межсетевой экран
По данным статистики крупные организации за последние три года теряют важные данные, в том числе и персональные, не только по вине лиц, осуществляющих несанкционированный доступ к информации, связанный с внешними угрозами, но и по вине своих же сотрудников. При этом очень распространено, что сами же работники предприятия распространяют или по каким-то причинам разглашают информацию, связанную с финансовыми накоплениями организаций или их клиентов. Кроме того, систематически инициируется и кража корпоративных разработок самой компании. Виновными лицами становятся в среднем менеджеры, на действия которых приходится половина случаев утечки информации, а также подрядчики, которые часто грешат такими видами правонарушений [1]. Основную же группу разгласителей составляют бывшие сотрудники. В ряде случаев действия такого обиженного лица могут нанести серьёзный урон и навредить работе самой организации, а также и коллективу в целом. Если внешние угрозы часто нацелены на «однородные данные», каковыми обычно являются данные о пользователях клиентской программы, то угрозы со стороны сотрудников наносят вред и той информации, которая наиболее существенна для компании. Так, одним из видов промышленного шпионажа является введение в штат нового сотрудника, способного похитить нужные файлы, при этом данное действие не составит для него серьезной проблемы, учитывая, что ему способствуют мессенджеры, облачные технологии и те сервисы, контроль над которыми не позволяет его целостно анализировать.
Технические системы не имеют широкого спектра защиты на все случаи угроз и не могут защитить информационную систему так, чтобы абсолютно минимизировать все риски, в том числе и человеческий фактор. Для того чтобы стать обвиненным в подобных правонарушениях, не обязательно иметь прямой умысел на раскрытие данных или на сам промышленный шпионаж, так как государственная и коммерческая
тайна разглашается как раз то реже и не превышает 5% - по данным представленным Лабораторией по компьютерной криминалистике Group IB [2].
Основной составляющей интереса лиц, осуществляющих несанкционированный доступ, являются персональные данные как клиентов, так и работников предприятия; данные о платежной информации не представляют сильного интереса и разглашаются гораздо реже. Так, огромное количество информации становится доступной благодаря Интернету, более 70 % важных документов - при использовании браузера или облачного хранилища, Однако и документы на бумажном носители не потеряли ценность для злоумышленников и составляют примерно 10 % от всех разглашений. Продолжает оставаться угрозой и опасность связанная с потерей информации через электронную почту, утерей флешкарты и другого оборудования. Приведенные факторы показывают, что в некоторых случаях техническая защита информации может сработать не в должной мере.
Руководители компаний и крупных организаций для борьбы с несанкционированным доступом в большинстве случаев используют систему штрафных санкций без каких-либо разбирательств. Однако проблема не решается даже при увольнении нерадивого работника. В ряде западных стран сейчас вводятся программы по правильному мотивированию сотрудника компании. Так, в Великобритании установлены премии и иные денежные вознаграждения сотрудников за соблюдение некоторых вопросов электронной этики. Для решения такой проблемы необходимо учитывать и то, что вред от правонарушения не всегда причиняется с прямым умыслом, с целью нанести ущерб компании: сотрудник-менеджер может открыть «фишинговые» письма и этим действием запустить вредоносное программное обеспечение во всю информационную систему организации, подобные действия может совершить и бухгалтер, который в счетах фактурах использует макросы, а также любой специалист может занести вирус на сервер и поставить всю информационную систему под угрозу [3].
Для эффективности борьбы с разглашением персональных данных, необходимо рассчитать все или достаточное количество уязвимостей и факторов, угрожающех информационной системе в инфраструктуре предприятия. При этом нелишней будет и разработка инструкций для персонала. В данных инструкциях должна содержаться информация о любых действиях и событиях, могущих повлиять на работу организации. Одним из основных требований данной инструкции должен быть запрет на использование не защищенного вай-фай соединения при работе с любой документацией организации, при этом необходимо учесть не только само рабочее место, но и те случаи, когда работники иногда доделывают работу с документацией в других местах, включая дом, работу в командировке или встречу с клиентом, которая производится удаленно от рабочего места [4]. Одним из ключевых моментов является ознакомление штатных работников с действиями при утере или похищении личных или служебных устройств; даже если на данных устройствах и не содержалось рабочей информации, связанной с инфраструкторой предприятия, злоумышленнику может стать доступной информация, полученная при использовании облачных технологий, а также при использовании истории поиска или переписки после восстановления последних. Здесь возникает необходимость продемонстрировать, каким образом можно удаленно обезвредить данные и как выполняется шифрование жесткого диска устройства. Кроме того, основная масса пользователей имеет обыкновение оставлять компьютер включенным в течение какого-то времени без присмотра, в то время как данные, находящиеся в нем, могут стать доступными любому человеку, поэтому надо вводить правило обязательной блокировки клавиатуры при оставлении рабочего места.
Как показала практика, тренинги и курсы по информационной безопасности не приводят к необходимой эффективности ввиду того, что многие сотрудники относятся к подобному повышению квалификации с целью получения документа, подтверждающего прохождение, а не с целью обучения. В данных случаях приемлемым мотивом могут выступить соревнования, которые необходимо проводить с некоторой периодичностью, имитируя наступления киберугрозы. Работникам которые лучше справятся с поставленной задачей, могут выдаваться призы и премии. Такой практикой поделилась с общественностью компания «Фейсбук», которая проводит подобные соревнования между своими служащими и в течение месяца тестирует их, вручая призы выигравшим сотрудникам.
Курсы по повышению информационной безопасности должны проходить в рамках компании, а после такого обучения необходимо проводить проверки. В качестве примера может послужить рассылка писем с не существующих аккаунтов, где должна содержатся просьба открыть ссылку, при этом следует отслеживать количество переходов по данной ссылки и ее источники. Лиц, нарушивших правила, целесообразно отправлять на дальнейшее обучение, либо такой сотрудник должен быть наказан в любой другой форме. Таким образом, становится обязательным появление личной ответственности за нарушение правил, если вредные последствия за их нарушения и не наступили. Кроме того, обязательным становится и требование знаний от сотрудника, какой именно службе в компании необходимо сообщить, в случае если произошла ошибка или оплошность, - здесь важно дать понять сотруднику, что умолчание грозит тяжелыми потерями для организации способными парализовать ее работу.
Используемые лицензируемые программные продукты необходимо регулярно обновлять, причем обновлению должны подвергаться и плагины, и браузеры, и приложения, - это делается для того, чтобы в каждой новой программе разрабатывались новые версии и исправлялись старые ошибки, а также производился анализ, какие из параметров защиты хакер может или научился обходить. Огромное внимание следует уделить системам контроля трафика, которые могут обнаружить вторжение в систему и предотвратить его: данные системы нацелены на невозможность неавторизированного доступа в информационную систему компании, они могут не только предотвратить факт взлома, но и отследить, если такой факт уже произошел.
Для обеспечения нормальной работы всех компьютерных систем компании надо произвести настройку специальной двухфакторной аутентификакации, которая производится на всех и рабочих и личных устройствах сотрудников, - это действие поможет предотвратить попадание информации к третьим лицам. Для того чтобы узнать, была ли скомпрометирована информация и когда это произошло, проверяется аккаунты сотрудников на предмет взлома. В списке украденных Breach Alarm производится поиск паролей, в have I been pwned? — ищутся адреса электронной почты.
Для защиты от доступа к определенным сайтам и рекламам, способным отвлекать сотрудника во время работы, целесообразно использование VPN, прокси-сервера и межсетевых экранов. Эти технические разработки повышают скорость доступа к нужным данным и экономят трафик; кроме того, они же и регистрируют действия работника. При пересылке документов требуется проверка при переходе по сокращенным ссылкам, при этом не имеет значения, если отправитель знает, куда ведет данная ссылка: в конце сети может оказаться лицо, осуществляющее неправомерный доступ в данным, которое и отправило фишинговую ссылку; для этих целей существуют сервисы, указывающие, на какой сайт можно перейти кликнув на неё: к ним относятся Where Goes и Redirect Detective. Существуют сервисы, делающие
удаленные скриншоты сайта, помогающие определить пользователю, были ли они уличены в фишинге (Where Goes и Redirect Detective URL2PNG, Browser Shots и Shrink The Web). Проделав все эти действия, нужно искать слабые места. Обязательным является и систематический аудит информационной безопасности, в рамках которого специалистами проводится тестирование системы, определяющее факт взлома [8].
Членов семьи сотрудника, имеющего особый доступ к коммерческой тайне, также необходимо привлечь к обучению: они должны знать, что не следует делать. Это имеет значение при выкладывании фотографий в социальные сети или информации на YouTube. Такое же правило действует и при работе с партнерами и их сотрудниками, здесь немаловажной является задача, направленная на меры безопасности, применяемые партнерами, имеющими доступ к информации предприятия, - поэтому при заключении договоров всегда целесообразно знать, какие меры предприняты партнерами для достижения цели по защите от утечки информации и какие санкции применяются ими к сотрудникам, замеченным в халатных действиях. Условия по защите от утечки данных требуется прописывать в договорах как важное условие обеспечение исполнения обязательств [5].
Учитывая тот факт, что в России наиболее распространенным является хищения информации, в противовес высокотехнологичным взломам злоумышленников в США и Западной Европе, огромный вред организациям наносится путем разглашения персональных данных. Это делается при помощи отключения DLP-системы. Данная система направлена на контроль и мониторинг пересылаемой информации, а также информации, хранимой в базе данных. Однако сам системный администратор, к примеру менеджер среднего звена, имеет возможность осуществить разглашение клиентской базы, поэтому важным становится не только внедрение DLP-системы, но и обучение персонала электронной этике и корпоративной культуре. Здесь имеется в виду, что сама вышеназванная система отслеживает каждое действие пользователя в каждый момент работы с клавиатурой и предназначена не для защиты от внешней угрозы, а от «непреднамеренного инсайда». Учесть человеческий фактор эта система не в состоянии, она не оберегает от фотографирования на мобильное устройство и от пересылки третьим лицам. Поэтому важно понимать условия и факторы риска, которые создают опасность неправомерного доступа. При анализе законодательства важно упомянуть, что в соответствии со статьей 19 Федерального закона Ш52-ФЗ от 27 июля 2006 г. «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Угрозы безопасности персональных данных при их обработке в информационной системе персональных данных (далее ИСПДн) могут быть связаны как с непреднамеренными действиями персонала ИСПДн или потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз [1]. Законодатель имеет в виду, что угрозы безопасности персональных данных при их обработке понимаются как массив условий и факторов, создающих риск несанкционированного доступа, в том числе непреднамеренного доступа к персональным данным, который может привести к уничтожению, изменению, блокировке, копированию, распространению персональных данных, а также как другие несанкционированные действия, когда они обрабатываются в информационной системе персональных данных [5]. Данные угрозы есть возможность предотвратить при помощи разработки системы мер безопасности, которую составляют два основных параметра действий и мероприятий:
- организационно-административные методы;
- программно-технические методы.
Реализуя эти два вида мероприятий, необходимо применять только сертифицированные средства защиты и организовывать консультации по проводимым мероприятиям с привлечением специалистов для установки и апробации технических средств. Этот важный аспект имеет значение для компаний, имеющих лицензию на работу с государственной тайной. Применяемые технологии и оборудование должны быть обязательно сертифицированы и допущены к обороту на территории Российской Федерации. Недопустимо внедрение «шпионских программ», так как защита информации должна иметь своим фундаментом только законные меры. При проектировании систем безопасности надо подходить к решению вопроса комплексно и принять во внимание организационно-правовые меры, элементы которых и составляют единую систему, возлагаемую только на компетентных работников [3]. Условием работоспособности системы является ее непрерывность как в пространстве, так и во времени, потому что контролю должны подлежать и материальный и информационный спектр, работающий круглосуточно, - разрыв недопустим, как и снижение уровня контроля. Учитывая степень важности той или иной информации, она должна делится по степени важности и значимости для предприятия, соответственно, и методы защиты должна применятся по уровню воздействия, что говорит о многозональности защиты. В организации должна применяться соответствующая интеграция позволяющая управлять всеми отдельными компонентами из единого центра. Так, в холдинговых компаниях целесообразно применять сервисный центр, позволяющий управлять информационными системами филиалов из единого центра, на пример из головного офиса. Во избежание угрозы утраты данных требуется дублировать все наиболее важные блоки и системы связи, для того чтобы в случае потери одного из звеньев была возможность воспользоваться контрольным звеном для восстановления цепочки. Документация, посвященная информационной защите организации, должна строго фиксироваться в компании и соответствовать строгим требованиям, предъявляемым к аналогичным актам. Эти требования наиболее важны для защиты компанией своих прав в суде, если возникает ситуация, связанная с информационной безопасностью [7].
Одним из важных аспектов является и охрана организации, здесь имеется в виду сотрудничество с охранным предприятием, которое должно соответствовать всем требованиям безопасности. В связи с этим недопустимо когда сотрудник охранного предприятия дежурит в ночное время на объекте, в котором для упрощения работы системного администратора записываются пароли и оставляются на рабочем столе, данные действия являются столь же неразумными, как, например, разглашение информации или публикация ее в газете [6].
Ввиду того, что облачные СЯМ-системы, которые распространены в последние время, предлагают услуги по хранению информации, стоит учитывать и тот факт, что ответственность за сохранность сведений не гарантирована в данной системе, поэтому данные могут стать известными и вся база телефонных звонков клиентов, записанная в системе при ее соединении с 1Р-телефонией, станет уловом для злоумышленника, поэтому лучше предпочесть работу сервисных технологий. Использование сервера терминалов также защищает от несанкционированной передачи конфиденциальной информации по сети на внешние серверы за пределами территории, контролируемой компанией. Это достигается путем отсеивания всех пакетов данных, отправленных вне доступа к терминалу, за исключением тех пакетов, которые обеспечивают графическое представление рабочего пространства экрана для пользовательских станций. Для целей фильтрации можно использовать брандмауэр, установленный на интерфейсе между
терминалом участка доступа и остальной частью автоматизированной информационной системы. В этом случае все попытки установить соединения с сервера на интернет -узлы будут заблокированы, и рабочая станция сможет получить быстрый и удобный доступ в Интернет. Выделенный файловый сервер, расположенный в сегменте терминального доступа, может использоваться для снижения риска утечки сохранности данных при обмене информацией между пользователями, работающими в терминальных сессиях. Кроме того, при проектировании организационных процессов необходимо ориентироваться и на возможность их реализации, что зависит от объемов решаемых задач и времени, требующегося на их выполнение.
Требование к быстроте обработки сообщений необходимо учитывать как один из основных показателей возможности технических средств. Скорость обработки влияет на вычислительную сложность и создание интервалов, при возникновении которых процесс останавливается, это представляет угрозу при создании информационной системы защиты данных от утечки. Для предотвращении такой опасности к документации в приложении применяется технология Microsoft ActiveX Data Objects (ADO.NET), которая основана на способностях СОМ, а именно интерфейсов OLE DB. Технология ADO и интерфейсы OLE DB предоставляют приложениям уникальную способность доступа к различным типам системы OLE DB, где есть подборка специальных объектов COM, обеспечивающих передачу данных между пользователями, предварительно выполняя инкапсуляцию стандартных функций обработки данных и специализированных функций конкретных источников данных интерфейса. При работе с приложением пользователь может вводить данные о клиентах, сроках посещения и состоянии дел. Работу с приложением можно закончить в любое время без потери данных. Состав объектов, обеспечивающих работу всей автоматизированной информационной системы, указан ниже.
Выбор СУБД MsSQL обусловлен характеристикой ее преимуществ. Прежде чем внедрять информационную систему, необходимо определить аппаратно-программную конфигурацию, обеспечивающую за короткое время достаточную производительность для решения задач данной системы.
Быстродействие и архитектура центрального процессора, объем и скорость подсистемы памяти относятся к основному набору аппаратной составляющей и влияют на производительность программно-аппаратного комплекса защиты..
Для реализации может быть использована система MS Visual Studio 2017 с поддержкой СУБД MsSQL.
Системные требования:
- операционная система Microsoft Windows 7 или более поздняя версия или Microsoft Windows Server 2003 или более поздняя версия;
- компьютер и процессор ПК с 4-х ядерным процессором 2700 МГц или более, 8 или более ГБ ;
- жесткий диск - для установки необходимо не менее 4ГБ; часть этого объема будет освобождена после установки, когда исходный установочный файл будет удален;
- разрешение экрана минимум 1320х1080 точек.
При разработке автоматизированной системы поддержки процессов передачи и хранения документации был использован системный подход. Применяемый метод заключается в разработке системы защиты от утечки на основе свойств и функционирования самой автоматизированной системы и ее элементов, таких как планы, данные или описание оборудования. Модели автоматизированной системы в соответствии с назначением представлены в виде иерархически организованных диаграмм. В подобной модели предоставлен набор таких действий, которые будут связаны через объекты и элементы системы. Для анализа и организации бизнес-
процессов используется банк данных BPwin верхнего уровня. Для описания бизнес-процесса в крупных компаниях применяется функциональная модель AS-1s , она разработана специально для упорядочения данных и идеально заменяет модель to-BE.
В качестве языка запросов сервера базы данных Microsoft SQL Server пользуется языком версии SQL под названием Transact-SQL (сокращённо T-SQL). Язык T-SQL является реализацией стандарта ISO для языка SQL с огромным количеством расширений. T-SQL предназначен для процедур хранения данных, обеспечивающих поддержку при взаимодействии баз данных с приложением, что позволяет работать с дополнительным синтаксисом .
Для обработки данных таблиц применяется протокол приложения под названием Tabular Data Stream (TDS), который совместно с сетью Microsoft SQL Server и Sybase ASE был реализован в проекте для обеспечения различным приложениям возможности совмещения с базами данных Microsoft SQL Server и Sybase.
Для сохранности данных интерфейс приложения взаимодействуя с СУБД и Microsoft SQL Server при поддержки Open Database Connectivity (ODBC), что позволяет подключить пользователей, использующих протокол SOAP через веб-сервисы, - это делается для того, чтобы не предназначенные для Windows клиентские программы кросс-платформенно присоединялись к SQL Server. Для удобства работы был выпущен сертифицированный драйвер компании Microsoft JDBC, который обеспечивает приложению с управлением Java (таким как BEA и IBM WebSphere) соединение с Microsoft SQL Server 2000 и 2005. С целью распределения нагрузки между серверами в SQL Server поддерживаются отражение и кластеризация баз данных. Все сервера наделяются одним виртуальным именем, и в течение рабочего цикла данные располагаются по IP-адресам. Такая совокупность необходима, если в случае сбоя или неработоспособности хотя бы одного кластера автоматически становится доступен другой, на который осуществляется перенос нагрузки, что обеспечивает целостность системы. Также SQL Server предотвращает ненужное или подозрительное дублирование данных. Для осуществления этого применяется сценарий, работающий по трем направлениям. В первом выполняется «снимок» самой базы данных, отправляемых сервером автоматически получателю. Во втором, если какие-то изменения имели место, все изменения рассылаются получателям. Для третьего направления характерны обязательная сверка всех данных при любом изменении и одновременная синхронизации с другими серверами, что позволяет обеспечить обход противоречий между базами данных.
SQL Server имеет встроенную поддержку NET Framework, что позволяет обеспечить сохранность данных при работе с системой. Эти данные могут быть записаны на любом языке платформы при использовании полного набора доступных библиотек для Net Framework. Подобная структура включает в себя общую типовую схему для обработки данных в Microsoft.NET. В отличие от других процессов Net Framework, внедренная как базовая система в SQL Server 2005, имеет дополнительную память при создании расширенных элементов управления вместо использования встроенных инструментальных характеристик, имеющихся у Windows. Это повышает производительность по сравнению с обычными алгоритмами Windows, поскольку алгоритмы распределения ресурсов специально настроены для использования в структурах SQL Server [7].
Таким образом, новые версии MsSQL имеют систему сегментации на основе пользовательской функции, при которой имеется возможность разбить большую таблицу на несколько маленьких элементов, находящихся в разных системах файлов. При необходимых условиях это может дать серьезное увеличение производительности и облегчает отслеживание посещений и отправки документации.
Учитывая все перечисленные в статье методики и способы защиты информации в организациях, можно свести к минимуму угрозы информационной безопасности, при этом опираясь на законодательную базу Российской Федерации. Предлагаемый метод ведет к реализации корпоративной этики, позволяет компаниям более детально подходить к вопросу подбора и воспитания персонала, что является одним из важных аспектов в процветании предприятия и систематическом и законном извлечении прибыли как основной цели его деятельности.
Библиографический список
1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (в редакции 31.12. 2017 г.)
2. Бабаш А.В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш,
Е.К. Баранова, Ю.Н. Мельников. М.: КноРус, 2013. 136 с.
3. Информационная безопасность открытых систем: в 2 т. Т. 1. Угрозы,
уязвимости, атаки и подходы к защите / / С.В. Запечников и др.
М.: Машиностроение, 2016. 536 с.
4. Мельников В.П. Информационная безопасность и защита информации /
В.П. Мельников. М.: Академия (Academia), 2016. 282 с.
5. Федоров А.В. Информационная безопасность в мировом политическом
процессе. М.: МГИМО-Университет, 2017. 220 с.
6. Чипига А.Ф. Информационная безопасность автоматизированных систем. М.:
Гелиос АРВ, 2013. 336 с.
7. Ярочкин, В.И Безопасность информационных систем. М.: Ось-89, 2016. 320 с.