Внутренняя угроза

Киберпреступники в последние годы все активнее проникают в сферу цифровой безопасности. При этом в каждой организации есть кто-то, кто ненамеренно открывает им дверь.

По данным международного исследования компании PricewaterhouseCoopers, в котором приняли участие более 10 тыс. руководителей разного уровня и ИТ-директоров из 154 стран, в 2014 году было зафиксировано 117 339 инцидентов в день, связанных с нарушением ИБ, что на 48% больше, чем в 2013 году. Важно отметить, что это только официальные данные. Характерно, что исследование показало: во многих случаях именно сотрудники компаний стали причиной подобных инцидентов. В этой связи стоит обратить особое внимание на систему контроля над теми подразделениями компании, в которых сотрудники имеют доступ к важной корпоративной информации. К таким подразделениям можно отнести, к примеру, финансовый департамент или отдел по работе с клиентами, в котором находятся личные данные большого количества людей. Безусловно, корпоративные данные нуждаются в защите и необходим контроль всех лиц, имеющих к ним доступ.

Не менее важно проводить специальное обучение по вопросам безопасности среди сотрудников, поскольку частой причиной утечек информации является именно человеческий фактор. Однако не стоит забывать и о том, что утечка во многих случаях становится следствием намеренных действий. Так, в отчете ФБР за 2014 год опубликованы сведения, что многие настоящие или бывшие сотрудники компаний уничтожают корпоративные данные, присваивают информацию о клиентах или приобретают товары через личный кабинет пользователя в режиме удаленного доступа с целью навредить своему работодателю. ФБР также отмечает, что многие из уволенных сотрудников, еще будучи в штате компании, устанавливают на своем компьютере или мобильном устройстве протокол удаленного доступа к корпоративной информации. Другим исследованием, проведенным институтом Ponemon, выявлено, что 30% организаций не могут обеспечить защиту корпоративных данных, находящихся на мобильных устройствах сотрудников, а 74% респондентов считают, что существующий уровень не способен защитить мобильное устройство от внешних угроз.

Помимо рассмотренных выше, безусловно, существует еще один тип внешних угроз, когда утечка информации происходит по вине сторонних лиц, которые также имеют к ней доступ, например сервис-провайдеров или подрядных организаций. В этой связи разумным решением является ограничение и строгий контроль над доступом к корпоративным данным извне. Эта мера необходима совсем не потому, что подрядные организации заведомо ведут нечестную игру, а потому, что только сама компания, которой принадлежат данные, должна осуществлять надлежащий контроль над ними. По данным отчета компании Verizon за 2014 год, 88% инцидентов, связанных с утечкой информации, произошли из-за неправильного обращения с ней пользователей, имеющих привелигированный или особый доступ к информации. В том же отчете говорится, что 73% организаций не смогли корректно организовать права доступа сотрудников к важным данным.

Кто имеет привилегированный доступ к информации?

Словосочетание «привилегированный доступ к информации» часто подразумевает, что только высшее звено компании имеет доступ к данным с повышенной секретностью. Но это не совсем так, точнее, совсем не так. В докладе Gemalto «О внешних угрозах» среди имеющих особый доступ к информации упоминаются также системные администраторы, специалисты по информационной безопасности, администраторы баз данных, разработчики приложений и сотрудники центров обработки данных. При этом в исследовании Privileged User Abuse & The Insider Threat института Ponemon отмечается, что 49% организаций не имеют правил и политики в отношении доступа к корпоративным данным.

Таким образом, неудивительно, что сообщения о крупных утечках довольно часто появляются на первых полосах изданий. По данным индекса Breach Level Index (BLI), в 2014 году утечки чаще всего происходили в розничной торговле и в секторе финансовых услуг. Особенно можно выделить риски хищения информации при использовании технологий виртуализации. Виртуальными машинами (ВМ) владеет кто угодно, кроме самого бизнес-пользователя. Администраторы должны иметь все необходимые права для создания, настройки параметров и т. д., но запустить ВМ и получить к ней доступ должен иметь возможность только бизнес-пользователь.

Так, недавно российский социальный сервис знакомств Topface был подвергнут хакерской атаке. Согласно официальному комментарию представителя компании, пользователи получали доступ к своему аккаунту с помощью однократной регистрации. И хотя многие считают подобную схему идентификации надежной, тот факт, что она построена на многократном использовании одних и тех же учетных данных и паролей, говорит об обратном. Классическим решением для повышения безопасности удаленного доступа является использование динамических паролей, например одноразовых: когда при каждом входе в свой аккаунт пользователь вводит новый пароль, что существенно уменьшает риск. Случай с Topface произошел сразу после атаки на социальные сети Facebook и Instagram, ответственность за которую взяла на себя хакерская группировка Lizard Squad. Связаны ли эти инциденты между собой – до сих пор остается вопросом.

Организациям рекомендуется внедрить такую систему защиты данных, в которой механизм защиты «прикреплен» непосредственно к самим данным с использованием двухфакторной аутентификации и технологии шифрования с надежными ключами шифрования. Даже в случае хищения данных такая система защиты делает их бесполезными для мошенников.

Ущерб от утечки информации внутри компании может составить от 5 тыс. до 3 млн долларов США: сюда входят стоимость самих данных и технологических сервисов, разработка схемы противодействия, плата за юридические услуги, ущерб от потери прибыли и клиентов, а также покупка мониторинговых сервисов для сотрудников и клиентов, которые подверглись хакерским атакам. Что делать, чтобы избежать столь масштабных потерь? Как правило, большинство сотрудников, имеющих привилегированный доступ к информации, для входа в систему используют традиционную пару «имя пользователя и пароль». Такой вид аутентификации является неэффективным по объективным причинам: сотрудники часто выбирают очевидные пароли и хранят их на рабочем столе или передают коллегам.

Каждый домен, сервер и удаленное соединение имеют свой ID и пароль, который в результате образует тысячи паролей – они-то и являются целью для хакеров и шпионского ПО. При этом не существует специального механизма отслеживания каждого привилегированного сотрудника. По данным института Ponemon, 64% утечек корпоративной информации происходит по вине самих сотрудников, при этом 62% опрошенных считают процесс обмена корпоративными данными за пределами компании совершенно нормальным. Таким образом, компаниям необходимо проводить обучение своих сотрудников правилам информационной безопасности, чтобы уменьшить риск компрометации данных со стороны киберпреступников.

Возможные решения

Решения, основанные на многофакторной аутентификации, на сегодняшний день считаются одними из самых надежных. Пример такого решения – аутентификация смарт-карты или токена. Использование подобных устройств дает возможность разграничивать уровни доступа в зависимости от должности сотрудника и других факторов.

Аутентификация проходит очень быстро, что особенно важно для руководящего состава компании, который не желает тратить много времени на подобные процессы. Сотрудник может совершить вход в систему с любого рабочего места. В картах установлены процессор и программное обеспечение, которое не привязано к компьютеру сотрудника, что позволяет проверить его идентификационные данные. Пользователи подобного устройства надежно защищены от внешних угроз сети или устройства конечного пользователя. Встроенная система аутентификации смарт-карты устанавливает зашифрованный защищенный сеанс, и пользователю необходимо запомнить единственный пин-код. При этом нет необходимости менять всю схему работы.

По словам Марка Брауна, директора по ИБ Ernst & Young, 96% компаний не имеют надежной защиты от киберпреступников, в результате утечки информации происходят очень часто, однако эффективные системы защиты по-прежнему не устанавливаются. Смарт-карта – недорогое решение, которое могут себе позволить многие предприятия, при этом оно не требует сложного процесса установки и управления. Использование смарт-карты в качестве второго фактора аутентификации серьезно увеличивает безопасность системы. Комбинация смарт-карты, которая должна быть физически представлена в момент входа в систему, и пина, который должен быть введен пользовалем после считывания карты, представляет собой хороший пример того, что должен иметь пользователь, и того, что он должен знать. Отсутствие любой из этих составляющих, например смарт-карты (если она украдена или скопирована), не позволит злоумышленнику получить доступ.

Чтобы пройти авторизацию с помощью смарт-карты, администратору необходимо вставить ее в специальное считывающее устройство, которое в некоторых случаях может быть интегрировано в компьютер, и ввести уникальный пин-код, после чего карта разблокируется. Идентификационные данные о пользователе поступают на удаленный сервер или в операционную систему. При изъятии карты из считывающего устройства операция завершается.

Другим примером многофакторной аутентификации является система одноразовых паролей, которые по требованию создаются на мобильном устройстве или специальном токене. Стоит отметить, что на текущий момент существует множество токенов, включая контактные USB-устройства, которые в том числе обеспечивают надежный уровень безопасности в системе «мобильного офиса», защищая электронные документы и мобильные данные.

Для обеспечения безопасности корпоративной информации организации должны применять комплексный подход, который включает в себя разные методы и уровни защиты: шифрование данных, контроль за доступом к информации, систему управления ключами шифрования, установление надежной аутентификации. Важно также учитывать человеческий фактор, который может стать причиной утечки информации.

Контроль доступа к информации. Пять основных правил*

1. Перед тем как установить систему контроля доступа к информации, следует оценить потенциальный риск для организации и возможные проблемы.

2. Доступ не может быть открыт всем администраторам. Тщательно продумайте список лиц, кому он должен быть предоставлен.

3. Доступ к информации должен быть ограничен по времени.

4. Необходимо создать систему контроля и мониторинга доступа.

5. При внедрении новых технологий и изменений необходимо вносить поправки в систему контроля доступа к информации и в регламент прав администраторов и привилегированных пользователей.

*Источник: normanmarks.wordpress.com

Журнал IT Manager

Опубликовано 06.07.2015

Безопасность

Предыдущая
ФСТЭК 2.0. Революция

Следующая
Похищение данных из Агентства персонала США: урон больше, чем казалось

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30

Игорь Лим: Передовые технологии защиты от дронов. Cloud Networks против беспилотников

Игорь Лим, руководитель группы Управления ИБ АСУ ТП Cloud Networks, который не только возглавляет проекты по защите промышленных объектов от атак беспилотников и промышленного шпионажа, но и принимает непосредственное участие в установке, настройке оборудования и обучении персонала, ответил на вопросы IT Manager.

07.04.24

Исследование российского киберландшафта: что с безопасностью?

Вчера компания BI.ZONE представила Threat Zone – годовое исследование российского сегмента. Эта работа - результат аналитической обработки данных, собранных экспертами BI.ZONE из команд реагирования на инциденты, центра мониторинга и киберразведки.

Андрей Виноградов05.04.24

«Центр расследований InfoWatch»: инновационный подход к защите данных

ГК InfoWatch представила новую собственную разработку «Центр расследований». Речь идет не просто о расширении функционала в области ИБ, уверены в компании, но и о переходе на качественно новый уровень. «Центр расследований» избавляет от необходимости консолидировать данные от различных систем ИБ, а время расследования инцидентов сокращается примерно в 3 раза.

Наталья Соловьева29.03.24

Как данные корпоративной почты утекают в сеть?

Данные корпоративной почты утекают у каждого 19-го сотрудника российских компаний. Причина этого в использовании корпоративных email-адресов для регистрации на популярных ресурсах.

21.02.24

Загрузить ещё »» Следующая →

Внутренняя угроза

Игорь Лим: Передовые технологии защиты от дронов. Cloud Networks против беспилотников

Исследование российского киберландшафта: что с безопасностью?

«Центр расследований InfoWatch»: инновационный подход к защите данных

Как данные корпоративной почты утекают в сеть?

«Безопасный трамвай» совершил наезд на пешеходов (обновлено)

Сбер займется сканированием мозга

Список банков КНР, которые перестали принимать юани из России, расширился

Выдержки из интервью Павла Дурова

Как уменьшить сложности реализации микросервисных систем при проектировании и учесть ожидания всех сторон?

Инфраструктурные проблемы нашего финансового суверенитета

«Безопасный трамвай» совершил наезд на пешеходов (обновлено)

Генеративный ИИ от МТС занял 1 первое место в рейтинге больших языковых моделей в лидерборде MERA

Спамеров начнут штрафовать по-крупному

Запрет параллельного импорта смартфонов, фейковые приложения банков в App Store, в МФЦ без паспорта

Восточный тупик. Возобновятся ли платежные потоки в Китай и Турцию? Аналитика IT News

Звезды в шоке. Рекламу будут показывать и в ночном небе

Выбираем смартфон до 6000 рублей: realme Note 50, Redmi A2+ или Tecno Spark Go 2024?

Цифровой помощник для корпорации на базе генеративного искусственного интеллекта: собственная разработка или готовое решение?

Приключения SWM в России: 7-местный кроссовер за 2.5 млн и настоящий G01F

Что такое капча, зачем нужна и как ею пользоваться?

Облака Microsoft уходят из России, правительство разрешает проверки ИТ-компаний, отечественный GitHub задерживается

CI/CD в два клика и без простоев