Защита от инсайдера: интервью генерального директора GlobalTrust Александра Астахова для CNews Analytics

Обычно, самое большое, что можно себе позволить в реальной корпоративной среде, это попытаться обнаружить факт "слива" информации, поймать инсайдера за руку и привлечь к ответственности.

Борьба с инсайдерами: подбираем амуницию

1. Какого рода решения, на ваш взгляд, позволяют наиболее эффективно бороться с инсайдерами? В GlobalTrust мы сознательно избегаем употребления неудачного маркетингового термина «решение» в данном контексте, т.к. в нашем бизнесе нет готовых решений. Каждая организация и ее потребности в области информационной безопасности индивидуальны. "Решения" нельзя покупать или продавать, и мы видим свою основную задачу как консультанта в том, чтобы помочь руководителям организации самим найти и принять правильное и экономически обоснованное решение.

В своей статье я хотел продемонстрировать многогранность проблемы инсайда и применение комплесного подхода для ее решения. Инсайд - это проблема юридическая, социально-этическая, управленческая и технологическая одновременно. Нам приходится иметь дело с различными типами инсайдеров, имеющих совершенно разную мотивацию, квалификацию и уровень доступа к информации. Задача заключается в том, чтобы для каждого типа инсайдеров подобрать оптимальный набор защитных мер. Так, например, юридические инструменты не работают, если не удается вовремя обнаружить инсайдера и собрать против него необходимые улики, а традиционные средства защиты от НСД неэффективны против инсайдера, преднамеренно "сливающего" информацию, к которой он имеет легальный доступ.

Обычно, самое большое, что можно себе позволить в реальной корпоративной среде, это попытаться обнаружить факт "слива" информации, поймать инсайдера за руку и привлечь к ответственности. Другими словами, если речь идет о шпионах (самой малочисленной и вместе с тем самой опасной категории инсайдеров), то на первый план выходит не объект защиты (т.к. шпион все-равно найдет способ украсть информацию), а источник угрозы (т.е. обнаружение и нейтрализация самого шпиона). Поэтому особый акцент в статье я сделал на средствах мониторинга действий пользователей корпоративной сети, являющихся по-существу особым классом шпионского ПО, позволяющем бороться со шпионами их же методами.

2. Какие средства для обнаружения инсайдеров может предложить компания GlobalTrust?

Для обнаружения исайдеров GlobalTrust предлагает продукты американской компании SpectorSoft Corporation. Флагманский продукт этой компании - Spector 360, в отличие от подавляющего большинства существующих средств мониторинга действий пользователей, является профессиональным продуктом корпоративного уровня, обеспечивающим централизованное развертывание системы, мощные средства администрирования и генерации отчетов, систему оповещений, анализ информации в реальном времени по ключевым словам, поддержку всевозможных коммуникационных протоколов и приложений и т.п. Spector 360 позволяет также контролировать такие немаловажные параметры как производительность труда и компетенция сотрудников. Службы технической поддержки при необходимости могут воспользоваться им для восстановления критичной информации и разобраться в причинах возникновения сбоев, проанализировав какие действия пользователя им предшествовали. Все это в совокупности позволяет гарантировать высокую степень востребованности продукта на современном корпоративной рынке.

3. Как решить этические проблемы, возникающие при организации борьбы с инсайдерами?

Конечно, такие меры как мониторинг действий пользователей и фильтрация электронных сообщений не способствуют повышению взаимного доверия между сотрудниками организации и ее руководством, что может служить серьезным демотивирующим фактором. Для того, чтобы избежать морально-этических проблем в коллективе, необходимо четко определить политику в области допустимого использования ресурсов организации и последовательно формировать соответствующую культуру обращения с информацией путем повышения осведомленности сотрудников в вопросах информационной безопасности. Надо научить людей отличать конфиденциальную информацию от открытой, личную информацию от служебной, допустимые действия от недопустимых. Борьба с инсайдерами не должна носить характер доносительства и шпиономании. Инсайд - это проблема всего коллектива, которую нельзя игнорировать. Мониторинг должен быть сосредоточен не на личности отдельных сотрудников, а на потенциально опасных действиях.

4. Насколько сильны позиции отечественных разработок в сфере борьбы с инсайдерами по сравнению с западными?

Несомненно существуют интересные отечественные разработки, некоторые из которых были мной упомянуты в статье. Особенно их много в области мандатного управления доступом и криптографии, без которых немыслима реализация мер по защите государственной тайны, а также в области противодействия иностранным техническим разведкам и предотвращения утечки информации по техническим каналам. Однако в бизнес среде многие из этих продуктов и технологий имеют весьма ограниченное применение, так как бизнес в первую очередь озабочен экономической целесообразностью применяемых мер. Что касается продуктов ориентированных на защиту корпоративных сетей, то здесь наблюдается такое же количественное и качественное отставание от запада, как и в областях ИТ и ИБ в целом.

Источник: globaltrust.ru