Вопрос 2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.
Субъектами угроз информационной безопасности организации могут выступать:
Ø конкуренты, как самой организации, так и ее контрагентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;
Ø криминальные структуры, пытающиеся получить сведения о самой организации или ее контрагентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных сборов в режиме рэкета);
Ø индивидуальные злоумышленники (в современных условиях – чаще всего хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;
Ø собственные нелояльные сотрудники, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;
Ø государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.
Типовые формы угроз информационной безопасности организации могут проявляться:
Ø перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшей организации заключается в том, что о самом факте утечки она, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);
Ø хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи – приобретает соответствующие сведения и лишает их пострадавшую организацию;
Ø повреждение или уничтожение конфиденциальной информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемой организации;
Ø искажение конфиденциальной информации, в результате которого атакованная организация может принять изначально ошибочное управленческое решение или оказаться скомпрометированной в глазах контрагентов или государства.
Методы реализации угроз информационной безопасности организации дифференцируются в зависимости:
Ø от вида данных, являющихся объектом угрозы;
Ø от субъекта угрозы.
При использовании классификации по первому признаку можно отметить, что основной угрозой является не санкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, искажение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для организации структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любой организации системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать («снимать») информацию с работающих компьютеров, факсов, модемов. При этом возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самой организации, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.
Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений – включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в большинство офисов организации всегда достаточно затруднительно, сторонние субъекты угроз также стремятся использовать в этих целях ее собственный персонал.
Наконец, для перехвата информации в устном виде используют разнообразные технические устройства – скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе – в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемой организации в части приобретения необходимых технических средств перехвата информации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).
Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты, как самой организации, так и ее контрагентов. Чаще всего ими применяются:
Ø вербовка сотрудников территориальных налоговых инспекций и других органов государственного надзора, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкуренту и особенно распространено в современных отечественных условиях);
Ø внедрение своих агентов в атакуемую организацию, что доступно лишь для наиболее крупных конкурентов, располагающих мощными службами безопасности и специально подготовленными сотрудниками;
Ø вербовка сотрудников атакуемой организации с использованием методов, уже рассмотренных в теме 3;
Ø использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;
Ø использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.
Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемой организации, применяя для этого прямые угрозы, шантаж или подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.
Индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.
Нелояльные сотрудники организации могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять функции резидентов нанявших их сторонних структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовку информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.
Фискальные или правоохранительные органы государства в отличие от конкурентов, чаще используют метод внедрения в контролируемую организацию собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших коммерческих организаций функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о контактах с представителями теневой экономики). В крупнейшие корпорации агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.