Угрозы информационной безопасности: обзор и оценка
Комплексная защита информации на предприятии

Классификация угроз информационной безопасности: внешние и внутренние

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия и осуществляется организация защиты информации, начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации. Мы остановимся на генерализированном разделении угроз информационной безопасности интеллектуальной собственности организации на две категории – внешние и внутренние угрозы. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.

В случае внешних атак, преступник ищет уязвимости в информационной структуре, которые могут дать ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. В этом случае злоумышленник пользуется широким арсеналом инструментов и вредоносного программного обеспечения (вирусы, трояны, компьютерные черви) для отключения систем защиты, шпионажа, копирования, фальсификации или уничтожения данных, нанесения вреда физическим объектам собственности и т.д. Внутренние угрозы подразумевают наличие одного или нескольких сотрудников предприятия, которые по злому умыслу или по неосторожности могут стать причиной утечки конфиденциальных данных или ценной информации. Рассмотрим эти категории рисков информационной безопасности подробнее.

Внешние угрозы информационной безопасности

Доклад Всемирного экономического форума «Глобальные риски 2012» (“Global Risks 2012”) рассматривает кибератаки как одну из основных угроз мировой экономике. По вероятности наступления, кибератаки входят в пятёрку наиболее вероятных глобальных угроз на 2012 год. Такое заключение Всемирного экономического форума свидетельствует о высокой актуальности и значительной опасности электронной преступности. В документе приводится также график роста официально признанных инцидентов киберпреступности с указанием значительного увеличения потерь от таких преступлений на примере США:

Следует отметить, что доклад Pricewaterhouse Coopers за 2011 год, в соответствии с данными которого был построен этот график, оперирует только официально признанными фактами электронных преступлений, равно как и официально объявленными цифрами убытков – реальная картина выглядит ещё более удручающей. Причём не только в США, эта тенденция является общемировой.

Итак, кибератаки сегодня – давно не голливудский миф, это реальная и серьёзная опасность информационной инфраструктуре, интеллектуальной и физической собственности государственных и коммерческих объектов. Наиболее распространённой и разнообразной по методам исполнения формой киберпреступности является использование вредоносного ПО. Такие угрозы представляют прямую опасность конфиденциальности и целостности информационных ресурсов организации. В атаках с использованием вредоносных кодов и приложений используются уязвимости информационных систем для осуществления несанкционированного доступа к базам данных, файловой системе локальной корпоративной сети, информации на рабочих компьютерах сотрудников. Спектр угроз информационной безопасности, вызванных использованием вредоносного программного обеспечения чрезвычайно широк. Вот некоторые примеры таких угроз защиты информации:

• Внедрение вирусов и других разрушающих программных воздействий;
• Анализ и модификация/уничтожение установленного программного обеспечения;
• Внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений;
• Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности;
• Раскрытие, перехват и хищение секретных кодов и паролей;
• Чтение остаточной информации в памяти компьютеров и на внешних носителях;
• Блокирование работы пользователей системы программными средствами

и т.д.

Внутренние угрозы информационной безопасности

Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз – утечки и кражи информации, утечки коммерческой тайны и персональных данных клиентов организации, ущерб информационной системе связаны, как правило, с действиями сотрудников этой организации. В классификации внутренних угроз в первую очередь можно выделить две большие группы – совершаемые из корыстных или других злонамеренных соображений, и совершаемые без злого умысла, по неосторожности или технической некомпетентности.

Итак, преступления сотрудников, способных причинить вред сохранности интеллектуальной и коммерческой собственности организации (их принято называть «инсайдерами») можно разделить на категории злонамеренного инсайда и непредумышленного инсайда. Злоумышленным инсайдером могут стать:

• Сотрудники, затаившие злобу на компанию-работодателя («обиженные»). Такие инсайдеры действуют исходя из мотивов личной мести, причин для которой может быть масса – от увольнения/понижения в должности до отказа компании предоставить статусные атрибуты, например, ноутбук или расширенный соцпакет.
• Нечистые на руку сотрудники, стремящиеся подзаработать за счёт компании-работодателя. Такими инсайдерами становятся сотрудники, использующие секретные информационные ресурсы компании для собственной выгоды. Базы данных клиентов, интеллектуальная собственность компании, состав коммерческой тайны – такая информация может использоваться инсайдером в личных интересах, либо продаваться конкурентам.
• Внедрённые и завербованные инсайдеры. Самый опасный и самый трудно-идентифицируемый тип внутренних злоумышленников. Как правило, являются звеном преступной цепочки или членом организованной преступной группы. Такие сотрудники имеют достаточно высокий уровень доступа к конфиденциальной информации, ущерб от их действий может стать фатальным для компании.

Злонамеренные инсайдеры представляют определённую опасность для информационной системы и конфиденциальных данных, однако вероятность злоумышленных инцидентов ничтожно мала по сравнению с утечками информации, совершаемыми по неосторожности или вследствие технической безграмотности сотрудников. Да, увы, это так – львиная доля всех инцидентов информационной безопасности на объекте любой сложности является следствием непредумышленных действий сотрудников. Возможностей для таких утечек информации множество: от ошибок ввода данных при работе с локальными сетями или интернетом до утери носителя информации (ноутбук, USB-накопитель, оптический диск); от пересылки данных по незащищённым каналам связи до непредумышленной загрузки вирусов с развлекательных веб-сайтов.

Информационная безопасность и защита информации на предприятии: комплексный подход

Традиционные средства защиты (антивирусы, фаерволы и т.д.) на сегодняшний день не способны эффективно противостоять современным киберпреступникам. Для защиты информационной системы организации требуется комплексный подход, сочетающий несколько рубежей защиты с применением разных технологий безопасности.

Для защиты от внешних интернет угроз информационной безопасности отлично зарекомендовали себя системы предотвращения вторжений на уровне хоста (HIPS). Правильно настроенная система даёт беспрецедентный уровень защищённости, близкий к 100%. Грамотно выработанная политика безопасности, применение совместно с HIPS других программных средств защиты информации (например, антивирусного пакета) предоставляют очень высокий уровень безопасности. Организация получает защиту практически от всех типов вредоносного ПО, значительно затрудняет работу хакера, решившего попробовать пробить информационную защиту предприятия, сохраняет интеллектуальную собственность и важные данные организации.

Защита от внутренних угроз также требует комплексного подхода. Он выражается в выработке должных политик информационной безопасности, введением чёткой организационной структуры ответственных за информационную безопасность сотрудников, контроле документооборота, контроле и мониторинге пользователей, введении продвинутых механизмов аутентификации для доступа к информации разной степени важности. Степень такой защиты зависит от объективных потребностей организации в защите информации. Далеко не всем объектам требуется дорогостоящая DLP-система, дающая неплохие результаты по защите данных предприятия от утечек, но требующая сложнейшей процедуры внедрения и пересмотра текущих механизмов документооборота. Оптимальным выбором для большинства компаний станет введение функционала защиты от утечек данных, контроле документооборота и мониторинг действий пользователей локальной сети организации. Такое решение является недорогим, простым в развёртывании и эксплуатации, но весьма эффективным инструментом информационной безопасности.