Как распознать инсайдера в коллективе - Интернет - Каталог статей

Информационная безопасность – это не только установка всевозможного софта и оборудования, защищающего организацию, но и работа с людьми. На самом деле, последняя даже более важна, чем любые технические средства защиты, но почему-то об этом редко вспоминают.

Сейчас мы поговорим о таком аспекте защиты организации, как защита от утечек информации. Все угрозы утечек корпоративной информации можно разделить на две большие категории: внутренние и внешние. Внешние исходят извне организации – например, от тех, кто пытается перехватить её электронную почтовую корреспонденцию.

Именно внешние угрозы, как правило, являются приоритетом в плане защиты для большинства организаций в мире. Однако есть и другая категория угроз – те, которые исходят от самих сотрудников компании. Многие совсем не против немного подзаработать, передав часть корпоративных секретов конкурентам вашей компании.

Таких людей называют инсайдерами – от английского inside (изнутри). Защитой от них многие компании почему-то пренебрегают, хотя инсайдер может принести намного больше вреда, чем, скажем, хакер, взломавший корпоративный сайт.

На первый взгляд, он работоспособный, дружелюбный и лояльный сотрудник, а на самом деле – вор, охотящийся за тайнами вашей компании. Из мести, корысти или ради собственной карьеры он, не колеблясь, принесет вас в жертву. Как распознать того, кто готов «слить» конфиденциальную информацию? Утечки информации сегодня – это серьезная угроза для бизнеса, и защита от них – одно из условий успешного функционирования практически любой организации. Однако выявление тех, кто является виновником утечек информации, – задача не всегда легко реализуемая.

Гораздо проще найти любителей «слить» информацию, если знать, каков типичный психологический портрет такого человека.

Инсайдерами принято называть сотрудников, распространяющих конфиденциальную корпоративную информацию за пределами организации, в которой они работают. Не будем останавливаться на том, чем распространение подобной информации может навредить компании, поскольку это весьма обширная тема. Вместо этого рассмотрим, что именно побуждает сотрудников «делиться» данными с окружающим миром и какие цели они при этом преследуют.

Откуда берутся инсайдеры?

Инсайдерами не рождаются, инсайдерами становятся. Причем становятся ими, как принято говорить, не от хорошей жизни. И если неожиданно обнаружилось, что в вашей организации завелся инсайдер, следует, в первую очередь, присмотреться к тем, кому может быть выгодна утечка информации в силу каких-то личных мотивов. Наиболее распространенных мотива два: личная выгода и месть работодателю. Хотя, конечно, есть и другие мотивы – но их скорее можно считать исключениями, нежели правилами.

Таким образом, главная черта инсайдера – это сильная заинтересованность в том, чтобы конфиденциальная информация проникла за пределы организации. Зачастую для того, чтобы найти виноватого, достаточно найти того, кто в недавнем времени получил какое-то взыскание, не получил обещанного повышения, не смогу уйти в отпуск тогда, когда ему хотелось и т.д.

Специалисты по безопасности также рекомендуют в первую очередь присмотреться к тем, кто пользуется доверием у руководства и у рядовых сотрудников компании – очень часто подобное доверие служит отличным прикрытием для того, чтобы получить доступ к документам, к которым инсайдер не имеет доступа по роду своих служебных обязанностей.

Впрочем, зачастую работники допускают систематические утечки информации не из-за того, что хотят заработать на данных, принадлежащих своему работодателю или отомстить ему. Нередко в инсайдерстве среди сотрудников виноваты, как то ни странно, «безопасники», которые недостаточно подробно и ясно изложили принимаемому на работу специалисту суть корпоративной политики информационной безопасности.

К примеру, нередка ситуация, когда сотрудник хочет взять какие-то важные документы с собой, чтобы поработать с ними дома. При этом пересылка таких документов по электронной почте, размещение на файлообменных сервисах или даже просто переписывание на «флэшку» закономерно расценивается специалистами по информационной безопасности как попытка организовать утечку информации, со всеми вытекающими отсюда последствиями.

Типы инсайдеров

Конечно, инсайдером может оказаться любой сотрудник – и 20-летний системный администратор, и 50-летняя сотрудница бухгалтерии. Однако исследования немецкой компании Result Group говорят о том, что все-таки наиболее часто инсайдерами становятся как раз мужчины. Наиболее типичный инсайдер – это мужчина в возрасте от 30 до 50 лет с высшим образованием, хорошо разбирающийся в информационных технологиях. Впрочем, поскольку сегодня большая часть офисных работников так или иначе работает с компьютером, практически каждому из них при благоприятных обстоятельствах хватит уровня технической подготовки для того, чтобы «слить» информацию.

Психологи давно выделили несколько основных типов сотрудников, которые готовы «слить» не принадлежащую им информацию. Пронаблюдав за членами вашего рабочего коллектива, вы наверняка узнаете некоторых из них – а, возможно, даже и всех сразу.

Наиболее распространенный тип – это «Буратино». Такой человек действует в большей степени из любопытства нежели из корыстных побуждений, и навредить может скорее из-за своей неосторожности и неумения держать язык за зубами, чем из-за желания обогатиться или кого-то подставить. К этому типу может принадлежать сотрудник любого ранга и любой компетенции, однако корпоративные политики информационной безопасности могут успешно противодействовать таким личностям.

Как уже говорилось выше, один из самых серьезных стимулов для инсайдера – это желание отомстить. Поэтому следующий по распространенности психологический тип инсайдера ‑ «неуловимый мститель». К этому типу чаще всего относятся люди, которые мстят фирме распространением инсайдерской информации за свое увольнение.

Как показали исследования, проведенные компанией SearchInform, 49,5% всех уволенных работников готовы передать конфиденциальную информацию, к которой имели доступ на своей прошлой работе, новому работодателю. Это действительно серьезная проблема, однако ее можно решить, постепенно ограничивая доступ работника, которого планируется уволить, к конфиденциальным корпоративным данным. Таким образом, можно достичь того, чтобы к моменту увольнения та информация, которой он владеет, была уже неактуальной.

Тип инсайдера, который руководствуется не столько чувством мести, сколько какими-то корыстными или, в очень редких случаях, идейными мотивами, называется «Павлик Морозов». Как правило, этот человек использует для добычи информации и людей, и компьютеры, а пути добычи сведений, в основном, легальны. Информация, которую он собирает, во многих случаях может со стороны показаться нужной ему для работы – именно поэтому данный тип инсайдера особенно опасен. Специалисты по информационной безопасности должны тщательно контролировать сотрудников, которые проявляют служебное рвение, стремясь получить повышение, заработать деньги за счет бонусов и т.д. Многие из этих людей не смогут устоять перед соблазном легкого заработка или высокой должности в конкурирующей компании, которые становятся возможными благодаря украденной им информации.

Наиболее опасный тип инсайдера – это «серый кардинал». Так психологи называют высокопоставленных инсайдеров, имеющих доступ к очень широкому спектру документов. Мотивы, которые им движут, весьма разнообразны, однако наиболее часто такие инсайдеры используют свое положение и доступную им информацию для устранения своих конкурентов и продвижения по карьерной лестнице на все более и более высокие позиции. К сожалению, нередко в компаниях действуют политики, позволяющие руководящему составу организации действовать фактически безо всякого контроля со стороны отдела безопасности, а потому противостоять «серому кардиналу», даже если его удастся выявить, очень и очень непросто.

Инсайдеры и социальная инженерия

Говоря об инсайдерстве, нельзя обойти вниманием вопрос использования приемов социальной инженерии. Зачастую именно их применение выдает замыслы инсайдера – и поэтому очень важно вовремя заметить и распознать случаи применения таких приемов.

«Классические инсайдеры – действительно технически грамотные люди, поскольку для того, чтобы получить доступ к информации, имеющей значение для компании, нужно иметь представление о том, как эта информация защищается от тех работников, которые не должны ее видеть, ‑ считает Сергей Ожегов, генеральный директор компании «Новые поисковые технологии», специализирующейся в области информационной безопасности. – Но сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы так называемой социальной инженерии, против которых бессильны пароли и схемы контроля доступа».

Для использования приемов социальной инженерии по отношению к конкретным сотрудникам инсайдеру необходима некоторая предварительная подготовка, которая позволит ему в дальнейшем сблизиться со своей будущей жертвой. Для этого ему нужна достаточно подробная информация об интересующем его обладателе доступа к конфиденциальным данным – включая информацию о семье, о предыдущих местах работы, об образовании… Проявление интереса ко всем подобным сведениям может быть свидетельством готовящейся утечки информации из организации тем работником, который подобный интерес проявляет.

Не стоит забывать и о таких средствах, близких к социальной инженерии, как банальные кейлоггеры, которые дадут злоумышленнику информацию о логинах и паролях, используемых работниками, имеющими доступ к конфиденциальной информации. Для предотвращения подобного рода ухищрений со стороны инсайдеров необходимо применять качественное антивирусное программное обеспечение, которое будет противодействовать работе кейлоггеров на пользовательских рабочих станциях.

Психология на службе безопасности

Если в вашей организации есть штатные психологи, возможно, руководство даст санкцию на привлечение их к составлению списка лиц, наиболее склонных к инсайдерской деятельности – если, конечно, в достаточно убедительной форме объяснить, для чего это нужно. Подобный список позволит установить контроль за теми, кто, наиболее вероятно, окажется в будущем виновником утечки информации, а, значит, и сэкономит затраты на безопасность, позволив грамотно распределить усилия специалистов между мониторингом действий условно надежных и условно ненадежных сотрудников.

Для более успешного составления психологического портрета каждого из сотрудников целесообразно открыть психологам доступ к переписке сотрудников, которые собираются корпоративными системами защиты от утечек данных (DLP-системами). Некоторые системы позволяют вести архив всей перехваченной информации, предоставляя тем самым чрезвычайно богатый материал для любого психолога.

При этом не нужно бояться того, что на анализ информации потребуется слишком много времени – в конечном счете, это мероприятие окупится улучшением работы службы информационной безопасности и снижением рисков утечки информации.

К сожалению, несмотря на неоспоримую важность правильного выбора технических средств защиты от утечек данных, один лишь он не может гарантировать успеха в борьбе с утечками информации в организациях. Система защиты организации от утечек данных (DLP) – всего лишь инструмент в руках специалиста по информационной безопасности. Это означает, что каким бы мощным ни был этот инструмент, без его грамотного использования успеха в работе никак не достичь.

Даже самые лояльные, на первый взгляд, сотрудники могут в итоге оказаться виновными в утечках конфиденциальных данных. Поэтому не стоит заранее составлять «белые» списки из рядовых сотрудников – отсутствие контроля оправдано только для высшего звена руководства организации, да и то с некоторыми оговорками, поскольку в некоторых, пусть и очень редких, случаях и оно может быть заинтересовано в «сливе» закрытых корпоративных данных.

Принято считать, что в основном инсайдеры действуют исключительно из-за желания заработать на продаже корпоративных секретов. К сожалению, не всё так просто – очень часто оказывается, что корпоративными секретами делятся те, кого работодатель и так не обижал в финансовом плане, не получая при этом никакой материальной выгоды. Мотивация инсайдера – один из основных ключей к его выявлению и обезвреживанию. Фактически, без понимания причин того, почему тот или иной сотрудник распространяет закрытую корпоративную информацию, достаточно трудно вывести его «на чистую воду» в сжатые сроки.

Один из основных мотивов инсайдерства – это обида на работодателя. Часто мнимая, иногда вполне обоснованная – но при этом всегда достаточно сильная. Обижаются чаще всего не ранимые сотрудники женского пола, которые, видимо, достаточно быстро забывают обиду, рассказав о ней родственникам или подругам, а мужчины, которые носят её в себе и которые гораздо серьезнее относятся, например, к обвинениям в профессиональной некомпетентности. Чем выше статус человека как профессионала, чем больше внимания он уделяет ему, чем более ответственен и скрупулезен в работе, тем больше шансов на то, что замечание руководителя, особенно сделанное в грубой форме, вызовет сильную обиду и станет причиной появления желания отомстить начальству.

Достаточно часто подоплекой утечек информации из организации становятся интриги сотрудников и кулуарная борьба между ними. Особенно актуальной эта проблема является для достаточно больших по своим размерам организаций, поскольку именно в них «боевые действия» сотрудников могут развернуться не на шутку и порождать даже столкновения целых «кланов» и подразделений в рамках организации.

Пожалуй, выявлять утечки информации, которые сделаны так, чтобы подставить кого-то из ответственных сотрудников, наиболее трудно, потому что их «авторы» старательно маскируются, и, надо сказать, что у многих это получается особенно хорошо. Свою роль в этом играет и тот факт, что службы информационной безопасности обычно, не разбираясь долго, наказывают того, чья вина лежит на поверхности, даже если тот всё отрицает и требует более тщательного расследования.

Как узнать, что потенциальный инсайдер собирается применять приёмы социальной инженерии для «обработки» кого-либо из сотрудников? Главный признак этого – активный интерес к личным сведениям будущей жертвы, которые нужны инсайдеру для установления тесного контакта с нею. Сбор данных о сотрудниках не может при грамотном использовании технических средств укрыться от сотрудников отдела информационной безопасности. Также обязательно нужно обращать внимание и на поступающие от сотрудников сообщения вида «такой-то интересовался семейной жизнью такого-то», «такой-то узнавал послужной список такого-то» и т.д.

Иногда сбор данных может и вовсе проявляться в форме внедрения злоумышленником на компьютер жертвы «кейлоггеров» и другого шпионского программного обеспечения, крадущего логины и пароли, и открывающего, таким образом, практически неограниченный доступ к любым данным этой жертвы для инсайдера.

Для чего инсайдеры применяют приёмы социальной инженерии и крадут идентификационные данные? Обычно они нужны им для получения доступа к интересующей их информации, хотя, например, в случае с теми же данными для идентификации пользователя на корпоративных информационных ресурсах, они сами могут стать достаточно востребованным информационным товаром, который инсайдер может продать, например, кому-либо из конкурентов.

Конечно, разнообразных аспектов психологии инсайдерской деятельности сотрудников намного больше, и при выявлении инсайдеров в вашей организации вы вполне можете столкнуться и с достаточно экзотическими мотивами передачи секретной информации за пределы организации. Тем не менее, предложенные распространённые варианты вполне могут служить отправной точкой и подспорьем в нелёгкой борьбе с инсайдерами, угрожающими информационной безопасности организации.