Утечка конфиденциальной информации в образовании. Современные технологии защиты от утечки конфиденциальной информации. Принципы проектирования систем защиты

Построение любой системы защиты начинается с изучения потенциальных рисков и создания модели угроз. Только в этом случае можно говорить о действительно успешном решении задачи обеспечения безопасности. Защита от утечек конфиденциальной информации не является исключением из этого правила. В качестве угроз здесь выступают каналы, по которым данные могут несанкционированно покидать пределы информационной системы организации.

На сегодняшний день существует целый набор потенциально опасных каналов, через которые могут происходить утечки конфиденциальной информации из корпоративной сети. Некоторые из них очевидны – мобильные устройства и накопители, стационарные ПК и серверы, Интернет и электронная почта. Другие же каналы утечек часто выпадают из внимания и остаются не защищенными. Среди них можно отметить бумажные документы, архивные копии данных и пр.

Степень угрозы у каждого из возможных каналов разная. Некоторые из них относятся к числу наиболее распространенных и нуждаются в обязательном контроле практически во всех организациях. Другие же, для многих компаний, представляют собой угрозу скорее теоретическую, нежели практическую. При этом ситуация не статична, она постоянно изменяется. Появляются новые потенциально опасные каналы утечки информации, изменяется популярность старых.

Актуальную информацию о распространении каналов можно почерпнуть из результатов исследований утечек конфиденциальной информации. В нашей стране подобные отчеты представляют компании, специализирующиеся на разработке DLP-систем: InfoWatch и SecurIT . Стоит оговориться, что в них фигурируют данные, собранные по всему миру, а не только в России. Впрочем, в этом нет абсолютно ничего удивительного. В нашей стране публикуется крайне малая часть инцидентов, поэтому о качественной статистике говорить не приходится.

Компьютеры

Одним из основных каналов утечки всегда были компьютеры, на которых хранится конфиденциальная информация. Это могут быть как серверы (например, сервер баз данных, почтовый сервер и пр.) и рабочие станции корпоративной сети, так и ноутбуки пользователей. Первые постоянно находятся в помещениях организации и не могут выноситься наружу сотрудниками. Вторые используются для выездной работы и могут свободно покидать территорию офиса. Таким образом, ноутбук, который используется вместо ПК на рабочем месте, тоже может считаться стационарным компьютером в плане обеспечения безопасности.

Рисунок 1: Распределение утечек по каналам в 2010 году (по данным отчета InfoWatch)

Зачем нужно это разделение? Дело в том, что для стационарных и мобильных компьютеров модели угроз несколько различаются. Для обоих указанных типов существует общий набор способов утечки конфиденциальной информации. Например, несанкционированная печать документов, копирование данных на съемные накопители, последствия действий вредоносных программ (например, программ-шпионов) и пр.

Применительно к мобильным компьютерам добавляется еще одна угроза – риск случайно утери или физической кражи ноутбука с конфиденциальной информацией. В случае стационарного ПК вероятность такого события стремится к нулю (случаи обкрадывания офисов с выносом компьютерного оборудования достаточно редки). Ноутбуки же теряются, судя по сообщениям в прессе, достаточно регулярно. Таким образом, если для стационарных компьютеров необходима лишь DLP-система, контролирующая все основные каналы утечки данных, то для мобильных дополнительно требуется шифрование конфиденциальной информации.

Мы не зря упомянули, что компьютеры долгое время были основным каналом утечки конфиденциальной информации. По данным InfoWatch в 2010 году на них пришлось 37% всех утечек. В 2011 году ситуация изменилась достаточно сильно. Доля компьютеров в утечках сократилась до 20,5%, то есть снизилась более чем в 1,5 раза. SecurIT приводит другие цифры –22,5% в 2010 и 14,5% в 2011 годах. Однако общая тенденция к снижению доли компьютеров налицо. Впрочем, и оставшихся цифр более чем достаточно, чтобы относиться к данному каналу со всей серьезностью.

Рисунок 2: Распределение утечек по каналам в 2011 году (по данным отчета InfoWatch)

Также можно отметить тот факт, что доля утечек, приходящаяся на мобильные компьютеры, постепенно снижается (по данным InfoWatch в 2010 году их доля сократилась примерно на 1,5%, а в 2011 – на 2,4%). По всей видимости, многочисленные публикации в прессе не прошли даром, а потому к ноутбукам стали относиться более серьезно, применяя шифрование.

Другой причиной, заставляющей говорить о компьютерах как об основном канале утечек конфиденциальной информации, является следующий факт. Согласно исследованиям, они занимают просто огромную долю среди умышленных утечек данных. По данным InfoWatch, в 2010 году на них приходилось 53% (39% на стационарные компьютеры и сервера и 14% на ноутбуки), а в 2011 – 21,2% (15,4% на стационарные и 5,8% на мобильные компьютеры) всех подобных инцидентов. Между тем, именно умышленные утечки представляют собой наиболее серьезную угрозу и приводят к самым неприятным последствиям.

Интернет

Сегодня Интернет активно используется во многих бизнес-процессах. Но, при этом, он представляет собой и достаточно серьезный канал для утечки конфиденциальной информации. По данным SecurIT на глобальную сеть в 2010 году приходилось около 35%, а в 2011 – уже 43,9% всех инцидентов, связанных с компрометацией данных (включая хакерские действия, подавляющее большинство которых осуществляется с использованием Интернета). InfoWatch приводит другие данные – 23% в 2010 и 19,8% в 2011. Видно, что эти цифры, в целом, перекликаются с показателями утечек через компьютеры. Именно поэтому Интернет и компьютерное оборудование на сегодняшний день и являются основными каналами утечки информации.

Рисунок 3: Распределение утечек по каналам в 2010 году (по данным отчета SecurIT)

При этом сеть Интернет можно считать несколько меньшей угрозой информационной безопасности, потому что большая часть утечек через глобальную сеть относится к категории случайных. Речь идет о неосторожных обращениях с конфиденциальной информацией (в основном, с персональными данными), которая публикуется в открытом доступе на сайте или социальных сетях, отправляется по электронной почте или передается в ходе частных бесед по ICQ и Skype. С другой стороны, в последние годы наблюдается стойкая тенденция роста количества утечек данных через Интернет. Поэтому недооценивать данный канал все-таки нельзя.

Говоря об Интернете, нужно понимать, что он представляет собой целый набор каналов утечки конфиденциальной информации. К сожалению, в отчетах его редко разбивают на части (поэтому мы и написали о нем как об одном канале). Тем не менее, некоторые данные найти можно. Достаточно долго самым значительным интернет-каналом утечки является электронная почта. Так, например, в 2010 году по SecurIT на нее приходилось 17,8% всех утечек информации. Но уже в 2011 их доля снизилась всего до 2,8%. Впрочем, InfoWatch приводит несколько иные цифры. По данным этой компании в 2010 году на электронную почту пришлось 7%, а в 2011 – 6,2% от общего количества инцидентов, связанных с нарушением конфиденциальности данных. При этом большая их часть приходится на случайные утечки.

Контролировать электронную почту, безусловно, нужно. Однако, здесь надо учитывать один очень важный момент. Сегодня сотрудники в компаниях могут использовать как корпоративный почтовый сервер, так и бесплатные веб-сервисы в Интернете. И оба этих варианта опасны с точки зрения информационной безопасности. Поэтому необходимо, чтобы внедряемая DLP-система имела возможности по контролю как корпоративной почты, так и веб-сервисов.

Рисунок 4: Распределение утечек по каналам в 2011 году (по данным отчета SecurIT)

Следующим потенциально опасным интернет-каналом утечки конфиденциальной информации являются всевозможные системы общения, в основном, IM-клиенты и Skype. Ситуация усугубляется тем, что количество первых постоянно увеличивается. Если раньше были распространены буквально два-три основных клиента (ICQ, QIP и пр.), то сегодня многие веб-сервисы обзаводятся собственными программами для быстрого общения. Контроль Skype, который стал популярен в последнее время, тоже осложнен из-за передачи данных по зашифрованному каналу связи. Впрочем, последние версии современных DLP-решений успешно справляются с контролем практически всего спектра программ для обмена быстрыми сообщениями.

Еще одним немаловажным интернет-каналом утечек являются различные веб-сервисы. Особенно актуальны в этом плане столь популярные сегодня социальные сети. Обладая развитыми средствами общения, которые включают в себя обмен сообщениям и публикацию файлов, и огромным количеством пользователей, потенциально они являются одной из наиболее опасных с точки зрения информационной безопасности веб-сервисов. Однако нельзя забывать и о боле традиционных средствах обмена информацией. К ним относятся форумы, доски объявлений и блоги. Несмотря на меньшее распространение, они также могут стать каналом утечки конфиденциальной информации.

Внедрять контроль над использованием перечисленных выше веб-сервисов необходимо не только для обнаружения и предотвращения попыток передач конфиденциальной информации, но и для выявления нелояльно настроенных сотрудников. Наиболее яркий пример – поиск работников, активно использующих HR-сайты: просматривающих вакансии, отправляющих резюме и пр. Подобные действия позволяют предположить возможный переход таких сотрудников в конкурирующие организации.

Отдельного упоминания заслуживают всевозможные хакерские атаки. В отчете SecurIT они выделены в отдельную графу. И, как оказалось, в этом есть свой смысл. В 2010 году на них приходилось всего 6,2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году эта доля выросла более чем 4(!) раза – до 25,8%. Это свидетельствует о том, что злоумышленники все чаще и чаще используются для похищения данных всевозможное вредоносное ПО, посредством которого и реализуются хакерские атаки на компьютеры с конфиденциальными данными. Причем защита от них относительна проста. Установка, настройка и своевременное обновление антивируса, обновление операционных систем, использование файрвола, фильтрация нежелательных сайтов могут многократно снизить риск успешных хакерских атак на сеть организации.

Съемные накопители

Если почитать прессу, то может показаться, что съемные накопители являются чуть ли не главным источником всех проблем. Журналисты любят рассказывать про потерянные или украденные "флешки" и мобильные диски с конфиденциальной информацией. Однако, на самом деле, съемные накопители становятся причиной инцидентов относительно редко. По данным InfoWatch в 2010 с ними было связано всего 8% утечек данных. Цифра в отчете SecurIT несколько больше – 12,6%. В 2011 доля съемных накопителей уменьшилась. По данным SecurIT на них пришлось всего 6,3%, а по данным InfoWatch – 6,2% от общего количества инцидентов, связанных с утечками конфиденциальных данных.

Рисунок 5: Распределение умышленных утечек по каналам в 2011 году (по данным отчета InfoWatch)

Объясняется это достаточно просто. Несмотря на то, что всевозможные USB-накопители получили широкое распространение, они не так часто используются для переноса и, уж тем более, хранения конфиденциальных данных. Кроме того, этот канал относительно легко контролируется. Достаточно ввести обязательное шифрование данных на корпоративных "флешках", чтобы обезопасить их в случае утери накопителя.

Бумажные документы

Говоря об информационной безопасности и защите от утечек конфиденциальных данных, часто забывают о таком канале, как бумажные документы. Между тем, недооценивать его ни в коем случае нельзя. Согласно исследованиям, инцидентов, связанных с распечатанной на бумаге информацией, происходит достаточно много. По данным SecurIT в 2010 году их доля в общем количестве составляла 12,7%. InfoWatch предоставила еще более пессимистичную цифру – 20%. Правда, в 2011 году ситуация несколько улучшилась. SecurIT в своем отчете привела цифру в 7,4%, а InfoWatch – 19,1%. Тем не менее, видно, что бумажные документы сплошь и рядом оказываются более опасными, нежели съемные накопители и электронная почта.

Ситуацию усугубляет два факта. Во-первых, в большинстве организаций контроль заканчивается на печати документа. После этого его перемещение по офису и утилизация никак не отслеживается и полностью остается на совести сотрудников. Во-вторых, на сегодняшний день контроль за бумажными документами возможен только с помощью организационных мер (серьезно говорить о внедрении в офисе режима секретности по примеру организаций, работающих с документами, представляющих государственную тайну, мы не будем). Трудовая же дисциплина во многих компаниях остается достаточно низкой. В результате чего документы с конфиденциальной информацией отправляются не в шредер, а просто в мусорную корзину. Откуда они попадают в мульду и могут быть найдены злоумышленниками.

В российских реалиях, со стремлением к тотальной экономии, актуальна и другая модель угроз, связанных с бумажными носителями. Речь идет о черновиках – забракованных или уже ненужных листах, чистых с одной стороны. Чаще всего они используются для печати каких-либо внутренних документов. При этом возникает риск того, что конфиденциальные данные попадут в руки сотрудников, которые не должны иметь к ним доступ.

Примечательно распределение утечек конфиденциальной информации, связанных с бумажными документами, по умышленным и случайным инцидентам. Дело в том, что практически все они относятся ко второй категории. Более того, именно бумажные документы являются основным каналом случайной утечки информации и уверенно удерживают первое место. По данным InfoWatch их доля в общем числе достигает 30%! В то время как среди умышленных утечек они делят третье место с Интернетом со значением в 9%.

Другие каналы утечки

Помимо основных, перечисленных выше, существует немало других каналов утечки конфиденциальной информации. Они значительно менее распространены, но, тем не менее, забывать о них нельзя. Тем более, что многие из этих каналов используются злоумышленниками для целенаправленной добычи определенной информации. То есть такие утечки, несмотря на их малый процент в общей доле, способны нанести ощутимый ущерб любой организации.

Рисунок 6: Распределение случайных утечек по каналам в 2011 году (по данным отчета InfoWatch)

В первую очередь к таким каналам относятся архивные накопители, предназначенные для хранения копий конфиденциальной информации, включая всевозможные базы данных. Во многих компаниях информация на них записывается в открытом виде. Поэтому, при утере или краже такого накопителя данные легко становятся добычей злоумышленников. Это видно и по отчетам. Так, согласно данным InfoWatch, в 2010 на резервные накопители пришлось всего 2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году их доля выросла до 8,5%.

Другим каналом утечки конфиденциальных данных является некорректная утилизация компьютерного оборудования и носителей. Во многих организациях списанные компьютеры продаются или передаются в некоммерческие учреждения. И, при этом, бывают случаи, когда ПК отдаются в том виде, в каком они есть, без удаления всей информации. Но, даже если жесткий диск компьютера и будет отформатирован, вернуть данные к жизни не составит никакого труда. Перед утилизацией носитель должен быть подвергнут специальной процедуре очистки, которая сделает восстановление информации невозможным.

Помимо этого существует еще несколько каналов утечки конфиденциальной информации, включая мошеннические действия в отношении сотрудников компании, фишинг и пр.

Выводы

В 2010 году наибольшее распространение получило два канала утечки конфиденциальной информации – это кража компьютеров, включая рабочие станции сети, сервера и ноутбуки, и Интернет, включая электронную почту, IM-клиентов, социальные сети и пр. На первый приходится от 22,5% до 37% всех инцидентов, а на второй – от 23% до 35% (по данным разных исследований). Причем компьютеры превалируют в умышленных (их доля в умышленных утечеках доходит до 53%), а Интернет – в случайных утечках данных (их доля составляет 33%).

В 2011 году ситуация изменилась. Доля компьютеров, в том числе и мобильных, постепенно снижается. В противовес этому увеличивается количество инцидентов, связанных с использованием Интернета. Особенно опасны в плане безопасности оказываются всевозможные веб-сервисы и хакерские атаки (количество последних выросло в 2011 году очень и очень значительно). В соответствии с этими данными и рекомендуется строить защиту от нарушений конфиденциальности информации.

В целом, оба канала могут полностью контролируются с помощью современных DLP-систем. Особое внимание рекомендуется уделить компьютерам. Точнее, политике использования съемных накопителей и принтеров в организации. Вполне возможно, что многим сотрудникам не нужно что-то копировать на "флешки". И запретив им это делать, можно существенно повысить безопасность компании. Отдельно нужно рассматривать мобильные компьютеры. Если они используются в разъездах лучше дополнять систему защиты шифрованием конфиденциальной информации.

Интернет полностью запрещать нельзя. Поэтому, инструменты контроля сетевых каналов обычно основаны на контекстном анализе и имеют вероятностный характер. Тем не менее, поскольку Интернет больше фигурирует в случайных утечках конфиденциальных данных, даже эти средства могут существенно снизить информационные риски организации. Кроме того, необходимо строго придерживаться общей политики безопасности и использовать антивирусы, файрволы, системы фильтрации нежелательных сайтов и пр., что позволяет снизить риск хакерских атак.

Также нельзя забывать про бумажные документы. Инцидентов с ними достаточно много. И, хотя почти все они относятся к категории случайных, такие утечки могут причинить серьёзный ущерб. Контролировать данный канал техническими средствами на практике очень сложно. Уменьшить риски можно путем внедрения комплекса организационных мер, оснащение офиса необходимым оборудованием (шредерами) и повышением трудовой дисциплины сотрудников.

Отдельно можно отметить такой канал утечек конфиденциальной информации, как съемные накопители. По данным исследований он не занимает лидирующих позиций по распространенности – его доля в 2011 году составила чуть более 6%. Однако ситуация со съемными накопителями усугубляется тем, что далеко не все инциденты с ними становятся известны. Обычно публикуются только те утечки, которые связаны с разрешенным в компаниях использованием "флешек". То есть когда данные на них размещаются с ведома руководства. В то же время нередки случаи, когда сотрудники в нарушение политики безопасности копируют конфиденциальную информацию на свои личные съемные накопители, которые впоследствии теряют. Это, опять же, говорит о высокой степени необходимости внедрения DLP-систем в информационную структуру организации с возможностью контроля переноса данных на "флешки".

Остальные каналы утечки конфиденциальных данных распространены меньше. Но это не значит, что их не нужно контролировать. Так, например, доля утечек конфиденциальной информации через резервные накопители в 2011 году выросла более чем в 4 раза. Поэтому в каждом конкретном случае необходимо составлять свою модель угроз и, в соответствие с ней, принимать решение о необходимости внедрения тех или иных средств защиты. Тем более, что постепенно ситуация изменяется, в частности, постоянно увеличивается количество утечек через интернет-каналы.

Угрозы информационной безопасности. Классификация угроз

Построение надежной защиты информационной системе организации невозможно без предварительного анализа возможных угроз безопасности системы.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Угрозами информационной безопасности называются потенциальные источники нежелательных событий, которые могут нанести ущерб ресурсам информационной системы.

Все угрозы безопасности, направленные против программных и технических средств информационной системы, в конечном итоге оказывают влияние на безопасность информационных ресурсов и приводят к нарушению основных свойств хранимой и обрабатываемой информации.

Угрозы информационной безопасности различают по следующим основным признакам (рис. 5.3)

По характеру возмущающих воздействий на систему угрозы разделяются на случайные или непреднамеренные и умышленные . Источником непреднамеренных угроз могут быть выход из строя аппаратных средств, неправильные действия работников информационной системы или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы следует держать во внимании, так как ущерб от них может быть значительным.

Умышленные угрозы в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды. Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком, а иногда «компьютерным пиратом» (хакером).

По характеру нанесенного ущерба умышленные угрозы подразделяют на пассивные и активные .

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в базах данных, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

По области возникновения умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние .

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями).

По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

По способу реализации можно выделить классы угроз безопасности, направленных против информационных ресурсов:

Угрозы, реализуемые либо воздействием на программное обеспечение и конфигурационную информацию системы , либо посредством некорректного использования системного и прикладного программного обеспечения;

Угрозы, связанные с выходом из строя технических средств системы , приводящим к полному или частичному разрушению информации, хранящейся и обрабатываемой в системе;

Угрозы, обусловленные человеческим фактором и связанные с некорректным использованием сотрудниками программного обеспечения или с воздействием на технические средства, в большей степени зависят от действий и "особенностей" морального поведения сотрудников;

Угрозы, вызванные перехватом побочных электромагнитных излучений и наводок, возникающих при работе технических средств системы, с использованием специализированных средств технической разведки.

Рис.5.3. Классификация угроз информации

Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

Разглашения конфиденциальной информации;

Ухода информации по различным, главным образом техническим, каналам;

Несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

Перехват электронных излучений;

Применение подслушивающих устройств (закладок);

Дистанционное фотографирование;

Перехват акустических излучений и восстановление текста

принтера;

Чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

Копирование носителей информации с преодолением мер защиты;

Маскировка под зарегистрированного пользователя;

Маскировка под запросы системы;

Использование программных ловушек;

Использование недостатков языков программирования и операционных систем;

Незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;

Злоумышленный вывод из строя механизмов защиты;

Расшифровка специальными программами зашифрованной информации;

Информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений.

Однако есть и достаточно примитивные пути несанкционированного доступа:

Хищение носителей информации и документальных отходов;

Инициативное сотрудничество;

Склонение к сотрудничеству со стороны взломщика;

Выпытывание;

Подслушивание;

Наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников.

Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

Недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

Использование неаттестованных технических средств обработки конфиденциальной информации;

Слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

Текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

Организационные недоработки, в результате которых виновниками утечки информации являются сотрудники.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых - порча информации в базах данных и программном обеспечении компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Сегодня мы поговорим об утечки и средствах защиты конфиденциальной информации.

Термин конфиденциальная информация означает доверительная, не подлежащая огласке, секретная. Разглашение ее может квалифицироваться как уголовно наказуемое преступление. Любое лицо, имеющее доступ к такой информации, не имеет право разглашать ее другим лицам, без согласия правообладателя.

Конфиденциальная информация и закон

Указ президента РФ № 188 от 06.03.1997 г. определяет сведения, имеющие конфиденциальный характер. К ним относятся:

1. Сведения, относящиеся к коммерции.
2. Сведения, связанные относящиеся к служебной деятельности.
3. Врачебная, адвокатская, личная (переписка, телефонные разговоры и.т.д.) тайна.
4. Тайна следствия, судопроизводства, сведения об осужденных.
5. Персональные данные граждан, сведения об их личной жизни.

Коммерческая тайна – это информация, дающая возможность ее обладателю получить конкурентное преимущество, выгоду от представления услуг или продажи товаров. Инсайдерская информация о компании (смена руководства и.т.д.) способная повлиять на стоимость акций.

Служебная тайна – информация, имеющаяся в органах госуправления, документы имеют гриф «Для служебного пользования» и не подлежат разглашению третьим лицам.

К профессиональной тайне относится тайна следствия, адвокатская, судопроизводства, нотариальная и.т.д.

Любые персональные данные (Ф.И.О, место работы, адрес, и.т.д.), сведения о частной жизни гражданина.

Утечка такой информации может наступить в следующих случаях:

1. Неэффективное хранение и доступ к конфиденциальной информации, плохая система защиты.
2. Постоянная смена кадров, ошибки персонала, тяжелый психологический климат в коллективе.
3. Плохое обучение персонала эффективным способам защиты информации.
4. Неумение руководства организации контролировать работу сотрудников с закрытой информацией.
5. Бесконтрольная возможность проникновения в помещение, где хранится информация, посторонних лиц.

Пути утечки информации

Они могут быть организационные и технические.

Организационные каналы:

1. Поступление на работу в организацию, с целью получения закрытой информации.
2. Получение интересующей информации от партнеров, клиентов с использованием методов обмана, введение в заблуждения.
3. Криминальный доступ получения информации (кража документов, похищение жесткого диска с информацией).

Технические каналы:

1. Копирование подлинника документа закрытую информацию или его электронную версию.
2. Запись конфиденциального разговора на электронные носители (диктофон, смартфон и другие записывающие устройства).
3. Устная передача содержания документа ограниченного доступа третьим лицам, не имеющим права доступа к нему.
4. Криминальное получение информации с помощью радиозакладок, скрытно установленных микрофонов и видеокамер.

Меры по защите информации

Система защиты закрытой информации предполагает:

1. Предупреждению несанкционированного доступа к ней.
2. Перекрытие каналов утечки.
3. Регламентации работы с конфиденциальной информацией.

Служба безопасности предприятия должна организовывать практическую реализацию системы защиты информации, обучение персонала, контроль соблюдения нормативных требований.

Организационные методы

1. Разработка системы обработки конфиденциальных данных.
2. Доведение до персонала фирмы положение об ответственности за разглашение конфиденциальных документов, их копирование или фальсификацию.
3. Составление списка документов ограниченного доступа, разграничение персонала по допуску к имеющейся информации.
4. Отбор персонала для обработки конфиденциальных материалов, инструктирование сотрудников.

Технические методы

1. Использование криптографических средств при электронной переписке, ведение телефонных разговоров по защищенным линиям связи.
2. Проверка помещения, где ведутся переговоры, на отсутствие радиозакладок, микрофонов, видеокамер.
3. Доступ персонала в защищенные помещения с помощью идентифицирующих средств, кода, пароля.
4. Использование на компьютерах и других электронных устройствах программно- аппаратных методов защиты.

Политика компании в области информационной безопасности включает в себя:

1. Назначение ответственного лица за безопасность в организации.
2. Контроль использования программно-аппаратных средств защиты.
3. Ответственность начальников отделов и служб за обеспечение защиты информации.
4. Введение пропускного режима для сотрудников и посетителей.
5. Составления списка допуска лиц к конфиденциальным сведениям.

Организация информационной безопасности

Компьютеры, работающие в локальной сети, серверы, маршрутизаторы должны быть надежно защищены от несанкционированного съема информации. Для этого:

1. За эксплуатацию каждого компьютера назначается ответственный сотрудник.
2. Системный блок опечатывается работником IT службы.
3. Установка любых программ производится специалистами IT службы.
4. Пароли должны генерироваться работниками IT службы и выдаваться под роспись.
5. Запрещается использование сторонних источников информации, на всех носителях информации делается маркировка.
6. Для подготовки важных документов использовать только один компьютер. На нем ведется журнал учета пользователей.
7. Программно-аппаратное обеспечение должно быть сертифицировано.
8. Защита информационных носителей (внешние диски) от несанкционированного доступа.

Система работы с конфиденциальной информацией гарантирует информационную безопасность организации, позволяет сохранять от утечек важные сведения. Это способствует устойчивому функционированию предприятия долгое время.

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).

Термин «разрушение» употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации.

Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Уязвимость документированной информации приводит или может привести к утрате или утечке информации.

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы в литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и «прихвачен» мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме.

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции.

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе. Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ «Об информации…» отнесена к разряду документированной информации и представляет собой различные виды документов.

В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.

Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств.

Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации.

Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации.

Технический канал утечки - информация передается посредством технических средств.

Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые.

Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт.

Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно).

Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения.

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию.

Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий.

Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.

Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации.

Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия. Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.

Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.

Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации.

Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.

Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации.

Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.

Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.

Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.

Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.

Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.

Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.

Если речь идет об утечке информации по вине персонала, используется термин «разглашение информации». Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д.

Утечка (разглашение) информации характеризуется двумя условиями:

• 1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;
• 2. Информация переходит к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации. Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как «промокашка» для перехвата необходимой информации.

Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.

Непреднамеренный переход информации к третьему лицу возникает в результате:

• 1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;
• 2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;
• 3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);
• 4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;
• 5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;
• 6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;
• 7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;
• 8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.

Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

• 1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);
• 2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;
• 3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;
• 4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;
• 5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;
• 6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
• 7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;
• 8. Получение нужной информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы.

Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом организации, документами, делами и базами данных.

Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, перехвате информации, имеющей звуковую, зрительную или иную форму отображения. Основными техническими каналами являются акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, они носят стандартный характер и прерываются стандартными средствами противодействия. Например, в соответствии с ГОСТ РВ 50600-93. «Защита секретной информации от технической разведки. Система документов. Общие положения».

Обычным и профессионально грамотным является творческое сочетание в действиях злоумышленника каналов обоих типов, например установление доверительных отношений с работниками организации и перехват информации по техническим каналам с помощью этого работника.

Вариантов и сочетаний каналов может быть множество, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации.

В целях реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации организации, но и совокупность методов получения этой информации.

Для того чтобы защищать информацию на должном уровне, необходимо «знать врага» и используемые методы добычи информации.

Легальные методы входят в содержание понятий и «своей разведки в бизнесе», отличаются правовой безопасностью и, как правило, определяют возникновение интереса к организации. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «своей разведки» лежит кропотливая аналитическая работа злоумышленников и конкурентов специалистов-экспертов над опубликованными и общедоступными материалами организации. Одновременно изучаются деятельность и предоставляемые услуги организации, рекламные издания, информация, полученная в процессе официальных и неофициальных бесед и переговоров с работниками предприятия, материалы пресс-конференций, презентаций фирмы и услуг, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей, в том числе из Интернета. Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих сведений, которые предстоит добыть нелегальными методами, а некоторые уже и не надо добывать в связи с кропотливым анализом открытой информации.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в организации наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации. Формирование таких каналов при их отсутствии и реализация плана практического использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, подкуп, шантаж, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т.д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной финансовой информации. К нелегальным методам относятся также: перехват информации, объективно распространяемой по техническим каналам, визуальное наблюдение за зданиями и помещениями банка и персоналом, анализ объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ бумажного мусора, выносимого и вывозимого из предприятия.

Таким образом, утечка информации с ограниченным доступом может наступить:

• 1. При наличии интереса организаций лиц, конкурентов к конкретной информации;
• 2. При возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;
• 3. При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Данные условия могут включать:

• 1. Отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз и каналов утечки информации, степени риска нарушений информационной безопасности организации;
• 2. Неэффективную, слабо организованную систему защиты информации фирмы или отсутствие этой системы;
• 3. Непрофессионально организованную технологию закрытого (конфиденциального) финансового документооборота, включая электронный, и делопроизводства по документированной информации с ограниченным доступом;
• 4. Неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
• 5. Отсутствие системы обучения сотрудников правилам работы с документированной информацией с ограниченным доступом;
• 6. Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;
• 7. Бесконтрольное посещение помещений организации посторонними лицами.

Каналы несанкционированного доступа и утечки информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.

Желательна предварительная оценка аналитиками подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных изданий и т.п., их участие в презентациях, выставках, собраниях акционеров, переговорах, а также собеседованиях и тестированиях кандидатов на должности. Последнее является одной из основных и наиболее важных обязанностей информационно-аналитической службы, так как именно на этом этапе можно с определенной долей вероятности перекрыть один из основных организационных каналов - поступление злоумышленника на работу в фирму.

С егодня большинство предприятий используют многоуровневые системы обработки информации - компьютеры, облачные хранилища, корпоративные сети и т. д. Все эти системы не только передают данные, но и являются средой их возможной утечки. Утечка секретной информации - это процесс неконтролируемого разглашения ключевых для фирмы данных.

Коммерческая тайна - это информация об организации деятельности предприятия, технологии разработки продукции, данные о денежных потоках, интеллектуальная собственность и другие сведения, владея которыми фирма получает финансовую выгоду.

Причина 1 - Персонал

Каждый сотрудник предприятия является потенциальной угрозой для безопасности информации. Часто люди забирают работу домой - перемещают рабочие файлы на свои флеш-носители, передают их по незащищенным каналам соединения, обсуждают информацию с сотрудниками конкурирующих компаний.

Действия персонала бывают умышленными и непреднамеренными. Непреднамеренные действия - это следствие незнания регламента работы с коммерческой информацией.

Риск утечки информации от персонала есть всегда, и его нельзя исключить полностью. Служба безопасности может принять меры, которые ограничат взаимодействие работников с конфиденциальной информацией:

• Разработка правил разграничения доступа. Правила представляют собой перечень четких прав и ограничений, которые должны соблюдаться каждым сотрудником. Их основной принцип - каждый работник взаимодействует только с теми данными, которые нужные для его работы. Таким образом, простой менеджер не сможет узнать технологию разработки продукции и другие важные данные, которые желает знать злоумышленник.
• Соблюдение норм документирования информации, которая содержит коммерческую тайну.
• Оперативное выявление сотрудников, которые несут угрозу разглашения данных.

Исследование уровня ИБ в российских и зарубежных компаниях, которое «СёрчИнформ» проводила в 2018 году, показало: в 74% ИБ-инцидентов виноваты рядовые сотрудники. .

Как выявить сотрудника, который разглашает данные конкуренту?

Вопросами контроля работы персонала с секретными материалами должен заниматься уполномоченный сотрудник или отдел безопасности. Их задача - следить за деятельностью работников на протяжении всего рабочего дня и оперативно выявлять все случаи утечки информации.

На практике обнаружить человека, сливающего коммерческую тайну, можно по таким признакам:

• Сотрудник без предупреждения задерживается после работы на своем рабочем месте. В таком случае есть вероятность того, что он пытается получить доступ к секретной информации в момент, когда рядом нет контролирующих.

На такого работника нужно обратить внимание и проследить, не является ли его целью разузнать тайные сведения. Контролировать время пребывания персонала на рабочем месте помогают специальные системы учета доступа. Начинать расследование нужно лишь в том случае, если стали известны конкретные факты утечки защищаемой информации.

• Сотрудник сохраняет на свой персональный компьютер или смартфон слишком много электронных документов компании.

Такой вариант утечки можно отследить в компаниях, которые используют системы защиты файловой системы. Суть их работы заключается в создании общего сервера, который действует в рамках одной корпоративной или Wi-Fi-сети. Во время каждого открытия, копирования и перемещения данных на служебном ПК вся информация о процессах поступает на сервер. Таким образом, администратор безопасности может выявить, с какого ПК и в каком количестве была перемещена секретная информация.

• Сотрудник без необходимости копирует бумажную документацию, сведения в которой предназначены только для служебного использования.

Согласно нормам документирования, все физические папки и файлы с коммерческой тайной должны храниться в защищаемой части архива. Доступ к документам возможен только для уполномоченных работников. Все данные о получении документа с тайной на руки должны документироваться (с указанием имени работника и точного времени выдачи документа).

Если же секретный документ попал в руки недобросовестного сотрудника, отследить его несанкционированное копирование можно на сканере или ксероксе, который хранит отчет о последних действиях. Также существуют факсимильные аппараты, доступ к которым возможен только после правильного введения пары «идентификатор пользователя-пароль».

• Работник регулярно нарушает общие требования безопасности при работе с коммерческой тайной.

Если персонал регулярно пытается обойти систему запрета, просматривая запрещенные ресурсы, или использует личную технику для обработки секретных данных, необходимо внедрить дополнительные системы контроля пользователей. К примеру, DLP-системы. Их задача заключается в мониторинге всех переписок пользователей с коммерческой почты и других электронных ящиков, которые зарегистрированы в системе. Также модуль защиты запрещает установку стороннего ПО, а все действия сотрудника за компьютером видны администратору безопасности.

• Сотрудник был уличен в контактах со служащими конкурирующих компаний.

В больших компаниях работники часто общаются вне рабочего времени. Таким образом, они получают больше информации друг о друге и могут узнать о связях коллеги и работника конкурирующей организации. Вероятность обычных дружеских отношений между людьми тоже возможна, но лучше оповестить руководство компании об этом во избежание ненужных подозрений.

Причина 2 - Проблемы подбора кадров

Частая смена персонала, масштабные изменения в организации работы компании, понижение заработных плат, сокращения сотрудников - все это является частью «текучки» кадров. Такое явление часто становится причиной утечки секретной информации.

Кризис, нехватка средств для выдачи зарплат заставляют руководство ухудшать условия работы персонала. В результате повышается недовольство работников, которые могут уйти или же просто начать распространять секретные данные конкурентам. Проблема смены персонала особенно важна для руководящих должностей, ведь все управляющие должны иметь доступ к секретной документации.

Угрозу распространения тайны могут нести не только уже ушедшие сотрудники, но и текущие работники, уровень мотивации которых понижен.

Для предотвращения проблемы следует создать для работников максимально комфортные условия работы. В случае серьезного кризиса рекомендуется собрать персонал для обсуждения возможных путей выхода из сложной ситуации. Важно уведомлять сотрудников обо всех изменениях в начислении заработных плат заранее, а не по факту выплаты оклада.

Порой неблагоприятную атмосферу в коллективе создает один сотрудник. анализирует переписку работников в электронной почте и мессенджерах и составляет их психологические портреты. Система определяет положительные и отрицательные стороны характера человека, что позволяет принимать верные управленческие решения.

Для устранения «текучки» важно выполнять следующие рекомендации:

• Наладить систему найма кадров. Все передовые организации имеют специальный отдел, который занимается вопросами найма, увольнения и поддержки сотрудников. Не следует искать работника на освободившуюся вакансию как можно быстрее. Хороший HR (специалист по подбору кадров) обязан прослушать несколько претендентов на должность, распространить информацию о свободной вакансии на всех популярных Интернет-площадках, провести итоговый конкурс, результаты которого определят наиболее подходящую кандидатуру.
• Внедрение системы вознаграждений. За успехи в работе, перевыполнение планов и заключение выгодных контрактов сотрудников нужно поощрять. Примерами поощрения могут быть повышение заработной платы, улучшение условий работы, продвижение по карьерной лестнице.
• Предоставление всем сотрудникам возможности профессионального роста, повышения квалификации. Хорошие компании всегда отправляют своих сотрудников на курсы повышения квалификация или же закупают онлайн-тренинги для более удобного прохождения обучения. Также рекомендуется организовывать тренинги от ведущих профессионалов отрасли.

Причина 3 - Командировки

Рабочий процесс фирмы подразумевает деловые встречи, поездки в другие филиалы компании, страны. Сотрудники, которые часто уезжают в командировки, могут непреднамеренно стать основной причиной утечки секретной информации предприятия.

В поездке такой работник всегда имеет при себе личный или корпоративный ноутбук/смартфон, который обрабатывает защищаемые документы. Техника может быть оставлена в общественном месте, сломана или украдена. Если за сотрудником ведется слежка или же он встречается с руководителями конкурирующей компании, утерянный ноутбук может стать главным источником разглашения служебной информации.

Для предотвращения подобных случаев важно использовать системы шифрования жесткого диска тех ПК, которые выдаются сотрудникам на время деловых встреч. Даже в результате кражи и несанкционированного доступа информация будет надежно защищена, и взломать ее без знания ключа будет невозможно.

Причина 4 - Сотрудничество с другими компаниями

Большинство автоматизированных систем защиты способны ограничить доступ к служебной информации только в рамках одного здания или одного предприятия (если несколько филиалов используют общий сервер хранения данных).

В процессе совместного выполнения проекта несколькими фирмами службы безопасности не могут в полной мере проследить за тем, как реализуется доступ к служебной тайне каждого из предприятий.

Как и в предыдущем случае, использование криптоконтейнеров (систем шифрования жесткого диска) позволит защитить тайную информацию от взлома.

Причина 5 - Использование сложных ИТ-инфраструктур

Крупные корпорации используют комплексные системы защиты служебных сведений. Автоматизированные системы подразумевают наличие нескольких отделов безопасности и работу более пяти системных администраторов, задача которых заключается только в поддержании сохранности коммерческой тайны.

Сложность системы тоже является риском утечки, ведь одновременная работа нескольких человек бывает недостаточно налаженной. К примеру, один администратор может внедрить или удалить правила разграничения доступа, а другой - забыть внести данные прав доступа к серверам.

При использовании сложных систем защиты информации важно грамотно разделять все обязанности и контролировать их своевременное выполнение. В противном случае созданная система может навредить компании.

В можно разграничить доступ сотрудников службы безопасности к определенным отчетам и операциям в системе. Максимальное число полномочий надежнее доверить руководителю ИБ-службы.

Причина 6 - Поломки техники

Ошибки в работе ПО

Всевозможные сбои в работе программного обеспечения возникают постоянно. В момент появления уязвимости защищаемые файлы рискуют стать перехваченными хакером. Важно вовремя выявлять все неполадки в работе установленных программных и аппаратных компонентов. За работоспособность и взаимодействие всех модулей защиты ответственен администратор безопасности.

В результате сбоя в базе данных теряется значительное количество важной документации. Восстановление жестких дисков - это сложная задача, которая не дает гарантии возврата утерянных сведений.

Сбои в работе серверного оборудования

Безопаснее хранить всю информацию с использованием облачных вычислений. Cloud-платформы повышают скорость обработки информации. С их помощью каждый сотрудник сможет получить доступ к нужному файлу с любого устройства. Система шифрования используется удаленным сервером, поэтому нет необходимости защищать каналы передачи.

Сбои на серверах поставщика услуг могут случаться из-за природных катаклизмов или из-за массивных хакерских атак. Как правило, владельцы облачных платформ всегда хранят архивированные резервные копии содержимого пользовательских аккаунтов, поэтому сбои быстро устранятся без утери важных документов.

Поломка технических средств защиты

Для сохранности коммерческой тайны рекомендуется защищать не только операционные системы и гаджеты, но и весь периметр офисного помещения, а также зону контроля уличных коммуникаций. Для этих целей используются заглушки на окна, уплотнители архитектурных конструкций (для предотвращения прослушек), устройства для экранирования и зашумления (для невозможности перехвата радиоволн) и прочие гаджеты.

Из-за поломки одного из таких устройств возникает канал утечки информации, который становится доступным злоумышленнику для перехвата секретных данных.

В случае поломки компьютеров и других средств обработки данных, их необходимо отремонтировать в сервисном центре. Вынос гаджета за пределы помещения и передача его постороннему человеку (даже если он не заинтересован в получении служебной тайны) является возможной причиной утечки. Департамент безопасности компании не может контролировать гаджеты, пока они находятся за пределами фирмы.

Причина 7 - Утечка по техническим каналам передачи

Канал утечки данных - это физическая среда, внутри которой не контролируется распространение тайной информации. На любом предприятии, которое использует компьютеры, серверные стойки, сети, есть каналы утечки. С их помощью злоумышленник может получить доступ к коммерческой тайне.

Существуют следующие каналы утечки:

• Речевой. Конкуренты часто используют прослушки и другие закладки, с помощью которых происходит кража тайны.
• Виброакустический. Этот канал утечки возникает в процессе столкновения звука с архитектурными конструкциями (стенами, полом, окнами). Вибрационные волны можно считать и перевести в речевой текст. С помощью направленных микрофонов на расстоянии до 200 метров от помещения злоумышленник может считать разговор, в котором фигурирует служебная информация.
• Электромагнитный. В результате работы всех технических средств возникает магнитное поле. Между аппаратными элементами передаются сигналы, которые можно считать специальным оборудованием на больших расстояниях и получить секретные данные.
• Визуальный. Пример появления визуального канала кражи - это проведение совещаний и конференций с неприкрытыми окнами. С соседнего здания злоумышленник может без труда просмотреть все производящее. Также возможны варианты использования видеозакладок, которые передают картинку происходящего конкурентам.

• Тепловизор. С помощью такого девайса можно просканировать все стены и части интерьера на наличие закладных устройств (жучков, видеокамер).
• Устройства, которые заглушают подачу сигнала радиочастотам.
• Средства защиты архитектурных конструкций - уплотнители для окон, дверных проемов, пола и потолка. Они изолируют звук и делают невозможным считывание вибрационных волн с поверхности здания.
• Устройства для экранирования и зашумления. Они используются для защиты электромагнитного канала утечки.

Также следует заземлить все коммуникации, которые выходят за пределы помещения и контролируемой зоны (трубы, кабели, линии связи).

Как минимизировать риск утечки?

Существует несколько действенных способов, которые помогут снизить риск утечки и разглашения информации. Предприятие может использовать все методы защиты или только несколько из них, ведь система безопасности должна быть экономически выгодной. Убытки от потери секретной информации не могут быть меньше стоимости внедрения и поддержки системы безопасности.

Шифрование

Шифрование - это простой и действенный метод защиты коммерческой тайны. Современные алгоритмы шифрования используют мировые стандарты в области криптографии (шифры AES, ГОСТ), двусторонний обмен ключами (с его помощью хакер не сможет взломать шифр даже после получения доступа к каналу передачи), эллиптические кривые для генерации защиты. Такой подход делает взлом шифрованного сообщения невозможным для стандартных компьютеров.

Преимущества использования шифрования в целях предотвращения утечки коммерческой информации:

• Простота применения. Реализация шифрования проводится специальным ПО. Программа должна быть установлена на все компьютеры и мобильные устройства, в которых циркулирует секретная информация. Работу приложения настраивает системный администратор или администратор безопасности. Таким образом, обычному пользователю АС не нужно учиться использовать систему защиты. Все файлы шифруются и дешифруются автоматически в рамках корпоративной сети.
• В случае необходимости передачи важных электронных документов за пределы коммерческой сети они будут храниться на флеш-носителе, облачном носителе или в клиентской почте исключительно в шифрованном виде. Недостаток - без специального ПО работник не сможет просмотреть содержимое файла.
• Высокая степень надежности. С использованием мощных вычислительных алгоритмов криптографии злоумышленнику сложно перехватить секретные сообщения или трафик фирмы, а расшифровка без знания открытого и закрытого ключа невозможна.

Отметим, что шифрование не является единственным вариантом защиты тайны от всех возможных атак. Работники способны без проблем прочитать содержимое электронных документов в рамках коммерческой сети, поэтому риск несанкционированного разглашения третьим лицам остается. Использование криптографии является неотъемлемой частью функционала каждой комплексной системы безопасности.

Контроль персонала

Если технические средства легко контролировать, то персонал является одним из самых опасных источников утечки. Человеческий фактор присутствует всегда, и даже сотрудники отдела безопасности не всегда могут установить, от какого работника может исходить угроза.

Как правило, поиск злоумышленника среди персонала выполняется уже тогда, когда стали известны первые случаи передачи данных конкурентам. Администраторы безопасности проверяют возможность перехвата информации по техническим каналам утечки, и, если все каналы надежно защищены, подозрение падает на работников.

Деятельность сотрудников организации контролируется с помощью систем учета рабочего времени. Это комплексное аппаратное и программное обеспечение, которое документирует точное время прибытия на работу, время ухода, деятельность персонала за компьютером, записывает переписки корпоративной почты, проводит видеонаблюдение и передает все эти данные руководству фирмы или главе отдела безопасности. Далее вся полученная информации анализируется и выявляется число работников, которые могли распространять коммерческую тайну.

Нормы документирования и передачи коммерческой тайны

Защищать следует не только электронные документы, но и всю печатную документацию, которая содержит секретные сведения. Согласно Закону о хранении и обработке ведомостей, которые содержат коммерческую тайну, следует выполнять такие требования:

• Хранить все документы с коммерческой тайной исключительно в отдельных закрытых помещениях, которые охраняются круглосуточно системами видеонаблюдения или охранниками.
• Доступ к служебной тайне могут иметь только сотрудники, которым она нужна в процессе работы.
• Запись об изъятии документа из архива вносится в регистрационный журнал. Указывается точная дата, гриф документа и инициалы человека, получившего копию файла. Аналогичные действия проводятся при возвращении объекта.
• Документ, который содержит коммерческую тайну, нельзя выносить за пределы офиса без уведомления об этом действии главы департамента безопасности.
• Для передачи тайных документов между филиалами предприятия используется фельдъегерская почта - защищенная курьерская передача документов особой важности.