Роль інсайдерів у забезпеченні інформаційної безпеки банківських установ
Термін інсайдер походить від англійського «inside» – в середині – і зазвичай означає коло осіб (і юридичних, і фізичних), які мають доступ до закритої інформації [1]. Разом з тим, навіть у нормативно-правових актах України зустрічаються різні визначення поняття «інсайдер».
Більш широка класифікація представлена російською компанією Info Watch [5]. Фахівці компанії фокусують увагу винятково на захисті даних від витоку, спотворення і знищення, і тому їх погляди відрізняються більшою глибиною аналізу.
«Недбалий інсайдер» - цей вид інсайдерів є найчисленнішим серед інших. Зазвичай ним є рядовий внутрішній співробітник, який порушив вимоги про конфіденційність інформації через свою неуважність. Таким чином, у діях даного виду інсайдера не можна знайти ні користі, ні наміру, ні будь-яких цілей – він порушує вимоги про конфіденційність інформації невмотивовано.
Дане порушення відбувається внаслідок незловмисного порушення працівником правил зберігання конфіденційної інформації. При цьому мотиви таких інсайдерів можуть бути найкращими - «виконати п'ятирічку за чотири роки». Іншими словами, такі порушники можуть виносити інформацію з офісу компанії для того, щоб працювати з нею вдома або під час відрядження. Надалі носій інформації губиться або до нього отримують доступ члени сім'ї інсайдера. У результаті збитки від витоку інформації від цього нітрохи не менше, ніж у випадку промислових шпигунів.
Даний тип інсайдера буде діяти відповідно до інструкцій, а саме - почне задавати питання системному адміністратору або колегам про причини неможливості копіювання інформації та отримає роз'яснення про те, що виносити інформацію за межі офісу суворо забороняється.
Для захисту від таких інсайдерів досить простих технічних засобів щодо запобігання каналів витоку: централізація роботи пристроїв управління введенням-виведенням інформації і контентна фільтрація вихідного трафіку.
«Інсайдер, яким маніпулюють» підпадає під дію так званої «соціальної інженерії», яка впливаючи на них, спонукає до знехтування деякими заплутаними і «непотрібними» інструкціями, які забороняють будь-яке розкриття конфіденційної інформації заради «кращого» компанії.
Основними методами «соціальної інженерії» є:
Претекстінг – це дія, відпрацьована за наперед складеним сценарієм (претекстом). В результаті людина повинна видати певну інформацію, або зробити певну дію. Цей вид атак застосовується зазвичай по телефону. Частіше ця техніка включає більше, ніж просто оману, і вимагає певних попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку тощо), з тим, щоб забезпечити довіру людини.
Фішинг– техніка, направлена на шахрайське отримання конфіденційної інформації. Зазвичай зловмисник посилає цілі e-mail, підроблені під офіційний лист, від банку або платіжної системи, що вимагає "перевірки" певної інформації, або здійснення певних дій.
Троянський кінь – ця техніка експлуатує цікавість, або жадібність людини. Зловмисник відправляє e-mail, що містить досить цікаву для людини інформацію, наприклад свіжий компромат на співробітника. Така техніка залишається ефективною, поки користувачі сліпо «клікатимуть» по будь-яких вкладених листах.
Дорожнє яблуко – цей метод атаки є адаптацією троянського коня, і полягає у використанні фізичних носіїв. Зловмисник може підкинути інфікований CD, або флеш, в місці, де носій може бути легко знайдений. Носій підроблюється під офіційний, і супроводжується підписом, покликаним викликати цікавість.
Кві про кво – зловмисник може зателефонувати по випадковому номеру в компанію, і представитися співробітником відділу технічної підтримки, що опитує, чи є будь-які технічні проблеми. У випадку, якщо вони є, в процесі їх "вирішення" людина вводить команди, які дозволяють зловмисникові запустити шкідливе програмне забезпечення [5].
Зловмисник отримує інформацію, наприклад, шляхом збору персональних даних про службовців об'єкту атаки, за допомогою звичайного телефонного дзвінку або шляхом проникнення в організацію під виглядом її службовця.
Найкращий захист від таких інсайдерів - це створення такої ситуації, в якій вони не могли б порушити регламенти зберігання і поширення інформації, натрапивши на технічне блокування подібного роду спроб.
УСІ НАСТУПНІ ГРУПИ ІНСАЙДЕРІВ – скривджені, нелояльні, ті, що хотіли підзаробити і заслані - відносяться до зловмисних інсайдерів, які діють переконливо й усвідомлено, знаючи про негативні наслідки своєї діяльності. Їх відмінність залежить від мотивів ворожих дій, здійснюваних ними.
«Скривджений інсайдер» - це співробітник компанії, що розкриває конфіденційну інформацію для того, щоб здійснити помсту компанії з особистих мотивів. А ці мотиви можуть бути найрізноманітнішими - від образи на директора компанії, який у черговий раз не підвищив співробітника на посаді, до елементарної відсутності моральної мотивації працювати на краще компанії.
Скривдженого інсайдера можна виявити за наступними двома ознаками:
1) у його наміри не входить залишити компанію;
2) його метою є нанесення шкоди, а не викрадення інформації як такої.
Таким чином, дані інсайдери діють так, щоб керівництво компанії не здогадалося про те, що інформація була викрадена саме ним, тому натрапивши на технічний бар'єр, що перешкоджає викрадення інформації, такий інсайдер, як правило, направить свою руйнівну силу на будь-який інший об'єкт, наприклад, на викрадення майна компанії або на фальсифікацію чи знищення наявної інформації. Важливим є й те, що ображений інсайдер при викраденні інформації виходить з власних міркувань про її важливість і значущість для компанії. У визначенні адресата, якому слід передати викрадену інформацію, скривджені інсайдери найчастіше зупиняють свій вибір на пресі або будь-яких тіньових структурах. При цьому оголошення і подальший шантаж - головна мета, яка ставилася ними.
«Нелояльний інсайдер» - це співробітник, що вирішив звільнитися або ж відкрити власний бізнес. Як правило, саме на таких людей падає перша підозра керівників компанії в разі викрадення інформації. Адже часто так і виходить, що звільняючись, співробітник з комерційного відділу прихоплює з собою копію бази клієнтів, а співробітник страхової компанії - копію бази застрахованих осіб. Тимчасові стажисти також можуть бути віднесені до даної категорії, оскільки останнім часом спостерігається збільшення розкрадання інформації з офісів високотехнологічних компаній Сполучених Штатів і Європи стажистами з країн третього світу.
Головною особливістю є те, що загроза даних інсайдерів є ненаправленою, тобто такі порушники часто не підозрюють про конкретну цінність викраденої ними інформації, а також іноді не мають уявлення про те, як вони збираються використовувати її у подальшому. Імітація виробничої необхідності - улюблений спосіб, що дозволяє скопіювати конфіденційну інформацію даними співробітниками, при цьому, їх досить часто помічають за таким заняттям [6].
Їх головна відмінність від скривджених інсайдерів полягає в тому, що нелояльні співробітники не приховують сам факт викрадення інформації. Навпаки, у деяких випадках вони навіть відкрито заявляють про це директору компанії, маючи на меті забезпечення більш комфортного звільнення: з наданням компенсацій, рекомендацій і певного роду гарантій. Намагаючись зібрати якомога більшу кількість конфіденційної інформації, даний тип співробітників являє собою ненаправлену загрозу для компанії.
«Інсайдер, що вирішив підзаробити». Проте, ситуація з нелояльними і скривдженими інсайдерами змінюється суттєвим чином, якщо вони попередньо вийшли на зв'язок з покупцем інформації, передбачуваної до викрадення. Головна відмінність буде полягати в меті: у інсайдерів, що вирішили підзаробити, та «засланих» інсайдерів - це буде прагнення заробити гроші за передачу інформації. У деяких випадках від правильності виконання «роботи» залежатиме їх власне життя і здоров'я. Інсайдер, що вирішив підзаробити, та «засланий» інсайдер не визначають мету викрадення інформації самостійно, це робить за них потенційний замовник. Також як і у випадку зі скривдженими співробітниками, інсайдер, що вирішив підзаробити, буде прагнути якомога надійніше приховати свої дії від сторонніх спостерігачів (принаймні, поки їм не вдасться викрасти інформацію), однак при цьому цілі скривджених і тих, хто вирішив підзаробити кардинально різняться.
Мотиви інсайдерів, що вирішили підзаробити, можуть різні: від бажання заробити суму, якої бракує їм для довгоочікуваної покупки, до дії з примусу, коли таких співробітників шантажують ті чи інші структури і вже не мають іншого вибору, як викрасти конфіденційну інформацію, тому що в протилежному випадку на кону стоїть їх власне життя чи здоров'я або життя і здоров'я членів їх сім'ї. З цієї причини, такий інсайдер, не зупинить своїх спроб у разі технічних бар'єрів, що перешкоджають отриманню інформації. Імітація виробничої необхідності - також досить часто застосовується ними хід. У крайніх випадках такі співробітники можуть піти навіть на підкуп інших співробітників компанії.
«Засланий» інсайдер. Головна небезпека, що виходить від «засланих» інсайдерів, полягає в тому, що вони забезпечені необхідними технічними навичками, що дозволяють їм подолати всі технічні бар'єри на шляху до отримання конфіденційної інформації.
Виходячи із досліджених загроз діяльності акціонерним товариствам та загрозам розповсюдження інсайдерської інформації через працівників товариства, автором було систематизовано основні види інсайдерів, загроз, які вони викликають, та способів захисту від них (табл. 1).
Таблиця 1