Человеческий фактор: как избежать брешей в системе ИБ

Бизнес настолько ускорился, что работа сотрудников будет эффективной лишь в том случае, если данные доступны в любое время. Но такая повсеместная доступность для многих организаций обернулась кошмаром с информационной безопасностью. Недостаточная защищенность корпоративных данных создает риск для конкуренто- и, шире, жизнеспособности и компаний. В настоящей статье речь пойдёт об использовании средств управления корпоративными правами, а также решений для электронной почты и систем мгновенного обмена сообщениями, позволяющих предотвратить появление брешей в результате человеческих ошибок.

Корпоративные ИТ-специалисты, рассуждая о безопасности, имеют в виду прежде всего злоумышленников, однако не меньшие хлопоты им зачастую приносят вполне благонамеренные сотрудники, которые попросту ведут себя беспечно. Недавняя волна утечек информации, связанных с человеческим фактором, показывает, насколько важна для корпоративной безопасности правильная организация доступа к данным.

В начале 2010 г. корпорация Google признала, что масштабная утечка информации из сервиса Local Business Center (вскоре переименованного в Google Places) была вызвана именно человеческим фактором. Клиент Google, заплативший за составление специального отчета по пользовательским запросам и другим данным, обнаружил, что конфиденциальная информация из этого отчета была послана по почте третьим лицам. Причём злого умысла тут не было — по словам представителей Google, один из сотрудников скопировал информацию и по ошибке вставил ее не в тот шаблон.

Однако неумышленное действие не означает, что ситуация безобидна. Если бы, к примеру, информация попала к конкурентам упомянутого клиента, его бизнесу был бы нанесен стратегический урон. И скорее всего он отказался бы от услуг поискового гиганта. Признания собственной вины в корпоративном мире часто бывает недостаточно, а подобные утечки данных могут нанести непоправимый вред партнерским отношениям. Достаточно нескольких нажатий клавиш — и конфиденциальные документы могут оказаться разбросанными в самых разных местах по всему миру, поэтому предприятия обязательно должны принимать во внимание угрозу не только со стороны злоумышленников, но и со стороны собственных беспечных сотрудников.

Стратегия информационной безопасности в Sterling-Hoffman

Главный принцип стратегии информационной безопасности в компании Sterling-Hoffman гласит: если какая-либо процедура позволяет сотрудникам визуально воссоздавать документы, она бесполезна. Неважно, идет ли речь о копировании данных с экрана в файл или просто о съемках с помощью камерофона: если злоумышленник в состоянии получить информацию на экране, битва заранее проиграна. В то же время предприятия не должны применять слишком суровые ограничительные меры, поскольку это создает риск снижения производительности и конкурентоспособности. Понимая это, компания разработала комплексную стратегию информационной безопасности, предполагающую защиту данных как в их источниках, так и в каналах передачи.

Управление корпоративными правами доступа

Первый компонент стратегии информационной безопасности компании базируется на системе управления корпоративными правами доступа (ERM). ERM-решение позволяет в автоматическом режиме управлять процессами, связанными с доступом к информации и ее использованием, причем с самого момента создания документа. Кому-то шифрование каждого документа может показаться обременительным, однако для бизнеса Sterling-Hoffman конфиденциальность клиентов является слишком важным соображением. Скажем, если руководство какой-либо организации узнает, что её сотрудник ищет новую работу, это может обернуться для него очень серьезными неприятностями по службе. О том, какие последствия будет иметь утечка данных, связанных с фондовыми рынками, и говорить не приходится. Короче говоря, для Sterling-Hoffman лучше переусердствовать, но любой ценой обеспечить защиту конфиденциальных документов.

Как многие современные компании, Sterling-Hoffman активно ведет бизнес по всему миру. Значительная часть работы делается для зарубежных стран, и фирменные методы автоматического шифрования особенно хорошо зарекомендовали себя в транснациональной работе. Благодаря ERM все файлы, исходящие из ИТ-инфраструктуры Sterling-Hoffman и пересылаемые третьим лицам, снабжаются средствами контроля за доступом и использованием. Зарубежные офисы и партнеры обычно являются одним из типичных мест утечки данных, поскольку во многих странах нет законов о защите деловой информации, подобных американским.

Компания не может отследить, как именно зарубежные партнеры работают с присланной им информацией, но ограничения на доступ и использование (например, запрет на распечатывание, конвертирование в другой формат или копирование конфиденциальных документов) обеспечивают дополнительный уровень безопасности, даже когда документы уже выходят из-под её контроля.

Внедрение ERM

Еще до внедрения системы ERM в кабинет генерального директора Sterling-Hoffman как-то зашел на собеседование претендент на вакантную должность. Он раскрыл папку, и руководитель ясно увидел в ней один из внутренних документов компании, причем секретный. Человек объяснил, что получил документ от одного из зарубежных партнеров фирмы.

Менеджер был в шоке — ведь Sterling-Hoffman всегда уделяла первостепенное значение защите данных, а тут в собственной броне обнаружилась зияющая дыра. И он понял, что нельзя со спокойной совестью обмениваться документами с зарубежными сотрудниками и партнерами, пока данные не будут защищены на информационном уровне. И вскоре в компании началась работа над внедрением ERM.

Система управления правами доступа помогла решить проблемы, связанные с передачей данных третьим лицам. В частности, для критически важных файлов устанавливаются ограничения на срок доступа. Партнеры, сторонние исполнители и удаленные сотрудники могут пользоваться такими файлами лишь в течение определенного времени, а затем для работы с ними нужно получить специальное разрешение от ИТ-специалистов фирмы. А для бывших партнеров и сотрудников после окончания их отношений с Sterling-Hoffman совместно используемые данные попросту становятся недоступными — это самая надежная политика безопасности.

Регулирование электронных коммуникаций

Вторая часть стратегии информационной безопасности — контроль за каналами электронных коммуникаций, включая системы электронной почты и мгновенного обмена сообщениями (IM). Так, для предотвращения утечек данных в процессе мгновенного обмена используется пакет Symantec IM Manager. Если кто-либо из сотрудников компании хочет добавить к своему профилю в IM новый контакт, ему приходится делать заявку на получение соответствующих привилегий, а затем — проходить специальную процедуру. Таким образом электронные коммуникации в режиме реального времени доступны только тем, кому это требуется для работы.

IM-приложения с открытым исходным кодом часто становятся источником серьезных уязвимостей, поскольку после обновления версий они позволяют пользователям передавать информацию в обход корпоративного механизма VPN и межсетевого экрана. IM Manager позволяет решить и эту проблему, устраняя угрозу утечек.

Обезопасить систему электронной почты несколько сложнее, поскольку она очень широко используется в деловой практике. Слишком жесткие ограничения на почтовый обмен негативно сказались бы на продуктивности работы, поэтому для почтовых серверов менеджеры Sterling-Hoffman устанавливают правила, руководствуясь обычным здравым смыслом. Вот два важнейших из этих правил.

1. В компании выделяются рабочие группы, ассоциируемые с определенными форматами файлов (скажем, бухгалтерия работает с документами Excel), а попытки членов группы переслать файл в формате, не входящем в разрешенный список, блокируются. Кроме того, задаются ограничения на характер информации, содержащейся собственно в теле письма. Так, сотрудник отдела маркетинга не сможет послать письмо, в котором содержатся номера социального страхования, зеленая карта на автомобиль или другие персональные данные.
2. Запрещается пересылка писем, в которых строки содержат несколько префиксов цитирования. Такие письма часто являются составляющей деятельности злоумышленников, и компания предпочла не подвергать свою инфраструктуру риску.

В период экономической неопределенности и массовых увольнений недостаточно надежная информационная защита может подорвать благополучие и конкурентоспособность компании. Отрыв лидеров рынка от менее удачливых игроков часто бывает очень незначительным, и в этих условиях контроль за доступом к конфиденциальной информации может оказаться решающим фактором успеха. Тщательно спланированная многослойная система защиты данных на информационном уровне показала себя весьма эффективной в Sterling-Hoffman, и столь же полезной она окажется для любого предприятия независимо от отрасли.