Teabe kaitsmine siseringi isikute eest tarkvara abil. Insaideridega suhtlemise meetodid

Hiljutised infoturbe uuringud, nagu iga-aastane CSI/FBI ComputerCrimeAndSecuritySurvey, on näidanud, et enamiku ohtude tõttu ettevõtetele saadav rahaline kahju väheneb aasta-aastalt. Siiski on mitmeid riske, millest tulenevad kahjud suurenevad. Üks neist on konfidentsiaalse teabe tahtlik vargus või selle käitlemise reeglite rikkumine nende töötajate poolt, kelle juurdepääs äriandmetele on vajalik ametiülesannete täitmiseks. Neid nimetatakse insaideriteks.

Enamikul juhtudel toimub konfidentsiaalse teabe vargus mobiilse meedia abil: CD-d ja DVD-d, ZIP-seadmed ja mis kõige tähtsam - kõikvõimalikud USB-draivid. See oli nende massiline levik, mis viis siseringi õitsenguni kogu maailmas. Enamiku pankade juhid teavad hästi, millised ohud võivad olla näiteks nende klientide isikuandmetega andmebaasi või pealegi nende kontodel tehtud tehingute sattumisel kuritegelike struktuuride kätte. Ja nad püüavad võidelda võimaliku teabevarguse vastu, kasutades neile kättesaadavaid organisatsioonilisi meetodeid.

Organisatsioonimeetodid on sel juhul aga ebaefektiivsed. Tänapäeval saab arvutite vahel teabe edastamist korraldada miniatuurse mälupulga, mobiiltelefoni, mp3-mängija, digikaamera abil... Muidugi võite proovida keelata kõigi nende seadmete kontorisse toomise, kuid see, esiteks, mõjutab negatiivselt suhteid töötajatega ja teiseks on inimeste üle tõeliselt tõhusa kontrolli loomine endiselt väga keeruline - pank pole "postkast". Ja isegi kõigi seadmete keelamine arvutites, millega saab kirjutada teavet välisele andmekandjale (FDD- ja ZIP-kettad, CD- ja DVD-draivid jne) ja USB-porti, ei aita. Esimesi on ju tööks vaja ja teised on ühendatud erinevate välisseadmetega: printerid, skannerid jne. Ja keegi ei saa keelata inimest minutikski printerit välja lülitamast, mälupulka vabasse porti sisestamast ja olulist infot sinna kopeerimast. Loomulikult võite leida originaalseid viise enda kaitsmiseks. Näiteks proovis üks pank seda probleemi lahendamise meetodit: nad täitsid USB-pordi ja kaabli ühenduskoha epoksüvaiguga, sidudes viimase tihedalt arvuti külge. Kuid õnneks on tänapäeval olemas kaasaegsemad, usaldusväärsemad ja paindlikumad kontrollimeetodid.

Kõige tõhusam vahend siseringi inimestega seotud riskide minimeerimiseks on spetsiaalne tarkvara, mis haldab dünaamiliselt kõiki seadmeid ja arvutiporte, mida saab kasutada teabe kopeerimiseks. Nende töö põhimõte on järgmine. Erinevate portide ja seadmete kasutamise õigused määratakse igale kasutajarühmale või igale kasutajale eraldi. Sellise tarkvara suurim eelis on paindlikkus. Saate sisestada piirangud teatud tüüpi seadmetele, nende mudelitele ja üksikutele eksemplaridele. See võimaldab teil rakendada väga keerulisi juurdepääsuõiguste levitamispoliitikaid.

Näiteks võite lubada mõnel töötajal kasutada USB-porti ühendatud printereid või skannereid. Kõik teised sellesse porti sisestatud seadmed jäävad aga kättesaamatuks. Kui pank kasutab žetoonidel põhinevat kasutaja autentimise süsteemi, siis seadetes saab määrata kasutatava võtmemudeli. Siis saavad kasutajad kasutada ainult ettevõtte ostetud seadmeid ja kõik teised on kasutud.

Eespool kirjeldatud kaitsesüsteemide tööpõhimõtte põhjal saate aru, millised punktid on olulised salvestusseadmete ja arvutiportide dünaamilist blokeerimist rakendavate programmide valimisel. Esiteks on see mitmekülgsus. Kaitsesüsteem peab hõlmama kogu võimalike portide ja sisend-/väljundseadmete valikut. Vastasel juhul püsib äriteabe varguse oht lubamatult kõrge. Teiseks peab kõnealune tarkvara olema paindlik ja võimaldama luua reegleid, kasutades suurt hulka erinevat teavet seadmete kohta: nende tüübid, mudelitootjad, igal eksemplaril olevad kordumatud numbrid jne. Ja kolmandaks peab siseringikaitse süsteem suutma integreeruda panga infosüsteemiga, eelkõige ActiveDirectoryga. Vastasel juhul peab administraator või turvaametnik haldama kahte kasutajate ja arvutite andmebaasi, mis pole mitte ainult ebamugav, vaid suurendab ka vigade ohtu.

Erinevate analüütiliste ettevõtete hinnangul ei toimu teabe lekkimine sageli mitte selle varguse tõttu väljastpoolt, vaid konfidentsiaalse teabe edastamise tõttu oma töötajate poolt konkureerivate organisatsioonide esindajatele. Tänapäeval on palju erinevaid seadmeid, kuhu saab kopeerida organisatsiooni kohalikku võrku salvestatud dokumente. Ja see pole ainult välised USB-draivid või CD-/DVD-draivid. Samuti saate teavet kopeerida mp3-mängijatesse, mobiiltelefonidesse, mis ei pruugi olla otse arvutiga ühendatud, välisseadmetesse, mis saavad ühenduda kohaliku võrguga Wi-Fi ja muude meetodite kaudu. Lisaks hõlmab see saatmist e-posti, kiirsuhtlusprogrammide, foorumite, ajaveebi ja vestluste kaudu. Võimalusi on palju, kas on võimalik end nende eest kaitsta?

Sest andmekaitse siseringi isikute eest Nad kasutavad erinevaid meetodeid, sealhulgas välisseadmete kasutamise kontrollimiseks mõeldud spetsiaalsete programmide kasutamist. Selles artiklis vaatleme mitmeid nii välis- kui ka kodumaiseid programme ning proovime kindlaks teha, kus ja millal neid kasutada.

Programm on mõeldud juurdepääsupiirangud erinevatele välisseadmetele, võimalusega luua valgeid nimekirju, jälgida kasutajate tööd, varikopeerida faile, mis on kopeeritud kontrollitavatesse seadmetesse või seadmetest. Jälgimisdraivereid on võimalik installida kas tsentraalselt või lokaalselt.

Programmi saab installida kas tsentraalselt või lokaalselt, kui juurdepääs kaitstud arvutile võrgu kaudu on piiratud või võimatu. Üks jaotuskomplekt sisaldab mitut moodulit: serverimoodul, mis on paigaldatud kontori kohtvõrgu serverisse, lubab/keelab teatud toiminguid, salvestab info andmebaasi; klient, rakendatud jälgimisdraiverina; administraator ja andmebaas, mis kasutab SQLite'i.

Jälgimisdraiverid pakuvad kontroll erinevad sadamad, sealhulgas USB, CIM, LPT, WiFi, IR ja teised. Olenevalt pordi tüübist saate juurdepääsu täielikult keelata, lubada lugemist või lubada täielikku juurdepääsu seadmele. Juurdepääsu ajaline jaotus puudub. Samuti märgiti, et kirjutuskaitstud juurdepääsu lubamisel sellistele seadmetele nagu USB-mälupulgad säilib võimalus redigeerida tavalisi tekstifaile nendes seadmetes koos võimalusega salvestada need samale andmekandjale.

Näitab arvutitega ühendatud USB-seadmeid ja peab kasutaja toimingute logi väliste salvestusseadmetega. Andmebaasi salvestatakse teave seadmete ühendamise/lahtiühendamise aja ja selle kohta, milliseid faile loeti või kirjutati ning millal. USB-seadmetele loetud või kirjutatud failide varikopeerimine. Printeritesse või muudesse seadmetesse saadetud faile ei kopeerita, need ainult logitakse.

On olemas "valge nimekirja" kontseptsioon, mis hõlmab USB-seadmeid, millele juurdepääs peab olema alati avatud kõigis arvutites (näiteks USB-võtmed). See loend on kõigi arvutite jaoks sama, üksikute kasutajate jaoks pole individuaalseid loendeid.

pakub juurdepääsu konfigureerimist erinevatele välisseadmetele, kuid ei erista nende portidega ühendatud printereid USB-seadmete üldisest loendist. Samal ajal eristab see irdkandjaid ja saab määrata neile erinevat tüüpi juurdepääsu. Irdkandjad sisestatakse automaatselt seadmete andmebaasi (programm sisestab andmebaasi kõik USB-draivid, mis on kunagi konkreetse arvutiga ühendatud), mis võimaldab rakendada neile määratud juurdepääsuõigusi kõikidele programmiga kaitstud arvutitele.

Sellel on võimalus kasutada Active Directory rühmapoliitika abil kliendiosade tsentraliseeritud installimist. Samal ajal on endiselt võimalik neid kohapeal ja programmi administraatori paneeli kaudu installida. Juurdepääsuõigusi eristatakse juurdepääsukontrolli poliitikate alusel, kuid on võimalik luua mitu poliitikat, mida saab erinevatele arvutitele eraldi rakendada. Lisaks juurdepääsukontrolli funktsioonile võimaldab see logida seadmete kasutust kohalikus arvutis.

Programm toetab varikoopia funktsiooni – võimalust salvestada täpne koopia kasutaja poolt kopeeritud failidest välistele salvestusseadmetele. Kõigi failide täpsed koopiad salvestatakse spetsiaalsesse salvestusruumi ja neid saab hiljem sisseehitatud analüüsisüsteemi abil analüüsida. Varjukopeerimist saab määrata üksikutele kasutajatele ja kasutajarühmadele. Kui lubate funktsiooni "hoida ainult logi", salvestatakse failide kopeerimisel ainult nende kohta käiv teave (ilma täpset faili koopiat salvestamata).

Programmil ei ole seadmete valge nimekirja kontseptsiooni. Selle asemel saate üldises poliitikas määrata irdkandja ja lubada sellele juurdepääsu mis tahes arvutist. Pange tähele, et see ei võimalda teil rakendada samu sätteid üksikutele CD/DVD-draividele.

Ettevõtte programm GFIületab oluliselt oma võimaluste ja , ja - sellel on näiteks palju rohkem juhitavaid seadmeid kui varasematel programmidel (iPod-meediumipleierid, Creative Zen, mobiiltelefonid, digikaamerad, arhiveerimisvahendid magnetlintidele ja Zip-ketastele, veebikaamerad, skannerid) .

Programm pakub kolme standardset juurdepääsuõiguste seadistust - serverite, tööjaamade ja sülearvutite jaoks. Lisaks blokeerivad seadmed, on programmil võimalus juurdepääsu blokeerimine failidele sõltuvalt nende tüübist. Näiteks saate lubada lugemisõiguse dokumendifailidele, kuid keelata juurdepääsu täitmisfailidele. Samuti on võimalik blokeerida juurdepääsu seadmetele mitte ainult nende tüübi, vaid ka füüsilise pordi järgi, millega välisseadmed on ühendatud. Veel üks juurdepääsuõiguste määramine hooldatakse kordumatute seadmeidentifikaatorite abil.

Programmi administraator saab pidada kahte tüüpi seadmete loendeid – neid, millele juurdepääs on vaikimisi lubatud ("valge nimekiri") ja neid, millele juurdepääs on keelatud ("must nimekiri"). IT-spetsialist saab anda ajutisi õigusi juurdepääsuks seadmetele või seadmerühmadele ühes arvutis (teostatakse spetsiaalse koodi genereerimisega, mida saab kasutajale edastada ka siis, kui tema arvuti on võrgust lahti ühendatud ja programmiagent ei saa ühendust luua serverisse).

Programm toetab uut krüpteerimisfunktsiooni, mida kasutatakse operatsioonisüsteemis Windows 7, nimega BitLocker To Go. Seda funktsiooni kasutatakse andmete kaitsmiseks ja krüpteerimiseks irdseadmetes. GFI EndPointSecurity suudab sellised seadmed ära tunda ja nende tüübi alusel juurdepääsu neile salvestatud failidele.

Annab administraatorile võimsa aruandlussüsteemi. Statistika alamsüsteem (GFI EndPointSecurity ReportPack) näitab (tekstilisel ja graafilisel kujul) igapäevast kokkuvõtet seadme kasutamisest nii valitud arvutite kui ka üldiselt kõigi arvutite kohta. Samuti saate statistilisi andmeid kasutajate aktiivsuse kohta päeva, nädala, kuu lõikes, jaotatuna kasutatud rakenduste, seadmete ja failide juurdepääsuteede järgi.

Üks levinumaid programme info kaitsmiseks siseringi täna Venemaal. avaldati Venemaal kaubamärgi "1C: Distribution" all

Programm pakub kontroll mitte ainult Windows Mobile'i töötavaid seadmeid, vaid ka iPhone OS-i ja Palm OS-i kasutavaid seadmeid. Ühtlasi on tagatud kõigi ülekirjutatud failide ja andmete varikopeerimine, olenemata sellest, millise pordiga need seadmed on ühendatud kontrollitavasse võrku. Varjukopeerimist saab konfigureerida mitte ainult seadme, vaid ka failitüübi järgi ning tüüp määratakse mitte laiendite, vaid nende sisu järgi.

Irdkandjale, sealhulgas lindiseadmetele, on võimalik seadistada kirjutuskaitstud juurdepääs. Lisavõimalusena - meediumi kaitsmine juhusliku või tahtliku vormindamise eest. Samuti saate pidada logi kõigist kasutajatoimingutest nii seadmete kui failidega (mitte ainult kopeerimine või lugemine, vaid ka kustutamine, ümbernimetamine jne).

Voo tihendamist saab kasutada võrgu koormuse vähendamiseks agentidelt saadud andmete ja varikoopiafailide edastamisel. Suurte võrkude varikoopiaandmeid võidakse salvestada mitmesse serverisse. Programm valib automaatselt optimaalse serveri, võttes arvesse võrgu ribalaiust ja serveri koormust.

Andmete kaitsmiseks kasutavad paljud organisatsioonid spetsiaalsete krüpteerimisprogrammidega kaitstud kettaid – ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt ja TrueCrypt. Selliste ketaste jaoks saab programm määrata spetsiaalsed "krüpteerimispoliitikad", mis võimaldab teil lubada irdseadmetesse kirjutada ainult krüptitud andmeid. Samuti toetab see tööd Lexar JumpDrive SAFE S3000 ja Lexar SAFE PSD-mälupulgadega, mis toetavad riistvaraandmete krüptimist. Järgmine versioon toetab ka töötamist BitLocker To Go-ga, Windows 7-sse sisseehitatud tööriistaga irdkandjal andmete krüptimiseks.

Varjukopeerimine on mõeldud mitte ainult failide koopiate salvestamiseks, vaid ka teisaldatud teabe analüüsimiseks. suudab teostada faili sisu täistekstiotsingut, tuvastades ja indekseerides automaatselt erinevates vormingutes dokumente.

Juba teatati programmi uue versiooni väljaandmisest, milles lisaks täielikule otsingule rakendatakse mis tahes tüüpi irdmäluseadmetele kopeeritud failide sisu filtreerimist ja andmete sisu kontrollimist. võrgusuhtluskanalite kaudu arvutist edastatavad objektid, sealhulgas e-posti rakendused, interaktiivsed veebiteenused, sotsiaalvõrgustikud, foorumid ja konverentsid, populaarseimad kiirsuhtlusteenused (Instant Messengers), failivahetus FTP kaudu, aga ka Telneti seansid

Uues versioonis on ainulaadne tehnoloogia tekstiandmete filtreerimiseks võrgus ja lokaalses dokumentide printimise kanalis PCL- ja PostScript-vormingus tööde jaoks, mis võimaldab blokeerida või lubada dokumentide printimist sõltuvalt nende infosisust.

järeldused


Kliendi kaughaldus
Haldamine MMC lisandmooduli kaudu
Tsentraliseeritud poliitika paigaldamine, jälgimine ja taastamine
Väliste seadmete juhtimine	Ainult USB
WiFi adapteri juhtimine
Palm OS-i seadmete juhtimine. iPhone/iPod			Piiratud	Piiratud
Tehnoloogia tugi valgesse nimekirja
Meediumilubade lisamise tehnoloogia tugi
Väliste krüptitud draivide tugi
Klahvilogijate blokeerimine
Kopeeritavate andmete mahu piiramine
Andmete juhtimine tüübi järgi
Tsentraliseeritud metsaraie
Varikoopia	Ainult USB	Ainult USB	Osaliselt
Prindiandmete varikopeerimine
Graafilised logi- ja varikoopiaaruanded
Täistekstiotsing varjuandmetes

Arutatud programmidest saab kasutada kahte esimest teabe kaitse vargustest, kuid nende võimalused on piiratud. Need "sulgevad" erineval määral standardseid välisseadmeid, kuid nende võimalused on piiratud – nii seadete kui ka kasutaja jõudluse analüüsi osas. Neid programme võib soovitada "testimiseks", et mõista kaitseprotsessi ennast. Suurte organisatsioonide jaoks, mis kasutavad mitmesuguseid välisseadmeid ja nõuavad kasutajate tegevuse analüüsi, on ülaltoodud programmid selgelt ebapiisavad.

Nende jaoks on parem pöörata tähelepanu programmidele - ja. Tegemist on professionaalsete lahendustega, mida saab kasutada ettevõtetes, kus on nii väikese kui ka suure arvu arvuteid. Mõlemad programmid pakuvad erinevate välisseadmete ja -portide jälgimist ning neil on võimsad analüüsi- ja aruandlussüsteemid. Kuid nende vahel on olulisi erinevusi, nii et ettevõtte programm GFI sel juhul võib seda võtta kui põhilist. saab juhtida mitte ainult seadmeid ja andmetöötlust, vaid ka tarkvara kasutamist. See võimalus "tõmbab" selle nišist "Seadme juhtimine" segmenti "Content-Aware Endpoint DLP". Uued, väljakuulutatud võimalused võimaldavad tal konkurentidest järsult lahku lüüa, kuna tekib võimalus sisu analüüsida ajal, mil kasutaja teeb andmetega mitmesuguseid toiminguid, sealhulgas voogesitust, ning jälgib mitmeid konteksti parameetreid. võrgusuhtlus, sealhulgas e-posti aadressid, IP-aadressid, kasutajatunnused ja võrgurakenduste ressursid jne. Saadaval 1Soft partneritelt.

Mihhail Abramzon

Kõik õigused kaitstud. Selle artikli kasutamisega seotud küsimuste korral võtke ühendust saidi administraatorid

Viimasel ajal on sisemiste ohtude eest kaitsmise probleem muutunud tõeliseks väljakutseks mõistetavale ja väljakujunenud ettevõtte infoturbemaailmale. Ajakirjanduses räägitakse siseringist, teadlased ja analüütikud hoiatavad võimalike kaotuste ja hädade eest ning uudistevood on täis teateid järjekordsest juhtumist, mis viis sadade tuhandete kliendikirjete lekkimiseni töötaja vea või ettevaatamatuse tõttu. Proovime välja mõelda, kas see probleem on nii tõsine, kas sellega tuleb tegeleda ning millised on selle lahendamiseks saadaolevad tööriistad ja tehnoloogiad.

Kõigepealt tasub kindlaks teha, et oht andmete konfidentsiaalsusele on sisemine, kui selle allikaks on ettevõtte töötaja või mõni muu isik, kellel on nendele andmetele seaduslik juurdepääs. Seega, kui me räägime siseringi ohtudest, siis me räägime seaduslike kasutajate võimalikest tahtlikest või juhuslikest tegevustest, mis võivad viia konfidentsiaalse teabe lekkimiseni väljapoole ettevõtte korporatiivset võrku. Pildi täiendamiseks tasub lisada, et selliseid kasutajaid nimetatakse sageli insaideriteks, kuigi sellel terminil on ka teisi tähendusi.

Siseohtude probleemi aktuaalsust kinnitavad hiljutiste uuringute tulemused. Eelkõige avalikustati 2008. aasta oktoobris Compuware'i ja Ponemon Institue'i ühisuuringu tulemused, mille kohaselt on insaiderid kõige levinum andmelekete põhjus (75% intsidentidest USA-s), samas kui häkkerid olid alles viiendal kohal. koht. Arvutiturbeinstituudi (CSI) 2008. aasta uuringus on siseringi ohujuhtumite arvud järgmised:

Juhtumite arv protsentides tähendab, et vastanute koguarvust leidus seda tüüpi intsidente määratud protsendis organisatsioonidest. Nagu nendest arvudest näha, on peaaegu igal organisatsioonil oht kannatada sisemiste ohtude käes. Võrdluseks, sama aruande kohaselt mõjutasid viirused 50% küsitletud organisatsioonidest ja ainult 13% kohtas häkkereid, kes tungisid nende kohalikku võrku.

Seega on sisemised ohud tänapäeva reaalsus, mitte analüütikute ja müüjate väljamõeldud müüt. Nii et need, kes vanamoodsalt usuvad, et ettevõtete infoturve on tulemüür ja viirusetõrje, peavad probleemile võimalikult kiiresti laiemalt otsa vaatama.

Pinget suurendab ka «Isikuandmete seadus», mille kohaselt peavad organisatsioonid ja ametnikud isikuandmete ebaõige käitlemise eest vastutama mitte ainult oma juhtkonnale, vaid ka oma klientidele ja seadusele.

Sissetungija mudel

Traditsiooniliselt tuleks ohtude ja nende vastu kaitsmise kaalumisel alustada vastase mudeli analüüsist. Nagu juba mainitud, räägime insaideridest - organisatsiooni töötajatest ja teistest kasutajatest, kellel on seaduslik juurdepääs konfidentsiaalsele teabele. Reeglina peavad kõik nende sõnadega arvutis töötavat kontoritöötajat ettevõtte võrgu osaks, kes ei lahku töötamise ajal organisatsiooni kontorist. Selline esitus on aga puudulik. Seda on vaja laiendada, et hõlmata muud tüüpi isikud, kellel on seaduslik juurdepääs teabele ja kes võivad organisatsiooni kontorist lahkuda. Need võivad olla sülearvutiga ärireisijad või nii kontoris kui ka kodus töötavad kullerid, kes veavad meediumit infoga, eelkõige varukoopiaga magnetlinte jne.

Selline laiendatud sissetungija mudeli käsitlemine sobib esiteks kontseptsiooniga, kuna ka nende sissetungijate ohud on sisemised, teiseks võimaldab see probleemi laiemalt analüüsida, kaaludes kõiki võimalikke võimalusi nende ohtudega võitlemiseks.

Eristada saab järgmisi peamisi sisemiste rikkujate tüüpe:

Ebalojaalne/nördinud töötaja.Sellesse kategooriasse kuuluvad rikkujad võivad tegutseda sihikindlalt, näiteks vahetades töökohta ja soovides haarata konfidentsiaalset infot, et huvi pakkuda uuele tööandjale, või emotsionaalselt, kui nad pidasid end solvatuks, soovides seeläbi kätte maksta. Nad on ohtlikud, kuna nad on kõige rohkem motiveeritud tekitama kahju organisatsioonile, kus nad praegu töötavad. Ebalojaalsete töötajatega seotud juhtumite arv on reeglina väike, kuid see võib suureneda ebasoodsate majandustingimuste ja massilise personali vähendamise korral.
Sisse imbunud, altkäemaksu saanud või manipuleeritud töötaja.Sel juhul räägime mis tahes suunatud tegevusest, tavaliselt tööstusspionaaži eesmärgil tiheda konkurentsi tingimustes. Konfidentsiaalse teabe kogumiseks tutvustavad nad teatud eesmärkidel oma inimest konkureerivasse ettevõttesse või leiavad vähem lojaalse töötaja ja annavad talle altkäemaksu või sunnivad lojaalset, kuid hoolimatut töötajat sotsiaalse manipuleerimise teel konfidentsiaalset teavet üle andma. Seda tüüpi intsidentide arv on tavaliselt veelgi väiksem kui varasematel, kuna enamikus Venemaa Föderatsiooni majandussegmentides ei ole konkurents eriti arenenud või seda rakendatakse muul viisil.
Hooletu töötaja.Seda tüüpi rikkuja on lojaalne, kuid tähelepanematu või hooletu töötaja, kes võib teadmatuse või unustamise tõttu rikkuda ettevõtte siseturvalisuse poliitikat. Selline töötaja võib ekslikult saata meili tundliku failiga, mis on lisatud valele inimesele, või viia koju konfidentsiaalset teavet sisaldava mälupulga, millega nädalavahetusel tööd teha, ja selle kaotada. Sellesse tüüpi kuuluvad ka töötajad, kes kaotavad sülearvutid ja magnetlintid. Paljude ekspertide arvates on seda tüüpi insaider vastutav enamiku konfidentsiaalse teabe lekete eest.

Seega võivad potentsiaalsete rikkujate motiivid ja sellest tulenevalt ka tegevussuund oluliselt erineda. Sõltuvalt sellest peaksite lähenema organisatsiooni siseturvalisuse tagamise ülesandele.

Tehnoloogiad siseohtude eest kaitsmiseks

Vaatamata selle turusegmendi suhtelisele noorusele on klientidel juba praegu palju valida, sõltuvalt nende eesmärkidest ja rahalistest võimalustest. Väärib märkimist, et praegu pole turul praktiliselt ühtegi müüjat, kes oleks spetsialiseerunud ainult siseohtudele. Selline olukord on tekkinud mitte ainult selle segmendi ebaküpsuse tõttu, vaid ka traditsiooniliste turvatoodete tootjate ja teiste selles segmendis osalemisest huvitatud müüjate agressiivse ja mõnikord kaootilise ühinemis- ja ülevõtmispoliitika tõttu. Tasub meenutada 2006. aastal EMC divisjoniks saanud ettevõtet RSA Data Security, 2005. aastal serverisalvestuse ja varukoopiate kaitsmise süsteeme välja töötanud startup Decru ostu NetAppi poolt, DLP müüja Vontu ostu Symanteci poolt. aastal 2007 jne.

Vaatamata asjaolule, et suur hulk selliseid tehinguid viitab selle segmendi headele väljavaadetele, ei too need alati kasu suurettevõtete tiiva alla kuuluvate toodete kvaliteedile. Tooted hakkavad arenema aeglasemalt ja arendajad ei reageeri turu nõudmistele nii kiiresti kui kõrgelt spetsialiseerunud ettevõte. See on tuntud suurettevõtete haigus, mis, nagu me teame, kaotab mobiilsuse ja efektiivsuse oma väiksematele vendadele. Teisalt paraneb teeninduse kvaliteet ja toodete kättesaadavus klientidele erinevates maailma paikades tänu nende teenindus- ja müügivõrgu arengule.

Vaatleme praegu sisemiste ohtude neutraliseerimiseks kasutatavaid peamisi tehnoloogiaid, nende eeliseid ja puudusi.

Dokumentide kontroll

Dokumendihaldustehnoloogia on kaasatud kaasaegsetesse õiguste haldustoodetesse, nagu Microsoft Windowsi õiguste haldusteenused, Adobe LiveCycle Rights Management ES ja Oracle Information Rights Management.

Nende süsteemide tööpõhimõte on määrata igale dokumendile kasutusreeglid ja juhtida neid õigusi rakendustes, mis töötavad seda tüüpi dokumentidega. Näiteks saate luua Microsoft Wordi dokumendi ja määrata reeglid selle kohta, kes saab seda vaadata, kes saab redigeerida ja salvestada muudatusi ning kes saab printida. Neid reegleid nimetatakse Windows RMS-i tingimustes litsentsiks ja need salvestatakse koos failiga. Faili sisu on krüpteeritud, et volitamata kasutajad seda ei näeks.

Nüüd, kui mõni kasutaja proovib sellist kaitstud faili avada, võtab rakendus ühendust spetsiaalse RMS-serveriga, kinnitab kasutaja õigused ja kui sellele kasutajale on juurdepääs lubatud, edastab server rakendusele võtme selle faili ja teabe dekrüpteerimiseks. selle kasutaja õiguste kohta. Selle teabe põhjal teeb rakendus kasutajale kättesaadavaks ainult need funktsioonid, mille jaoks tal on õigused. Näiteks kui kasutajal ei ole lubatud faili printida, pole rakenduse printimisfunktsioon saadaval.

Selgub, et sellises failis olev teave on turvaline ka siis, kui fail satub väljapoole ettevõtte võrku – see on krüpteeritud. RMS-funktsioonid on juba Microsoft Office 2003 Professional Editioni rakendustesse sisse ehitatud. RMS-i funktsioonide manustamiseks teiste arendajate rakendustesse pakub Microsoft spetsiaalset SDK-d.

Adobe'i dokumendihaldussüsteem on üles ehitatud sarnaselt, kuid on keskendunud PDF-vormingus dokumentidele. Oracle IRM installitakse klientarvutitesse agendina ja integreerub rakendustega käitusajal.

Dokumendikontroll on siseringi ohukaitse üldise kontseptsiooni oluline osa, kuid arvesse tuleb võtta selle tehnoloogia olemuslikke piiranguid. Esiteks on see mõeldud ainult dokumendifailide jälgimiseks. Kui me räägime struktureerimata failidest või andmebaasidest, siis see tehnoloogia ei tööta. Teiseks, kui ründaja loob selle süsteemi SDK-d kasutades lihtsa rakenduse, mis suhtleb RMS-serveriga, saab sealt krüpteerimisvõtme ja salvestab dokumendi selge tekstina ning käivitab selle rakenduse kasutaja nimel, dokumendile juurdepääsu miinimumtase, siis jääb see süsteem mööda. Lisaks tuleks arvestada raskustega dokumendikontrollisüsteemi juurutamisel, kui organisatsioonil on juba palju dokumente loodud – dokumentide esmane salastamine ja nende kasutusõiguste määramine võib nõuda märkimisväärset pingutust.

See ei tähenda, et dokumendikontrollisüsteemid oma ülesannet ei täidaks, tuleb vaid meeles pidada, et infoturve on kompleksne probleem ning reeglina pole seda võimalik ühe tööriista abil lahendada.

Lekkekaitse

Mõiste andmekao vältimine (DLP) ilmus infoturbe spetsialistide sõnavarasse suhteliselt hiljuti ja on juba liialdamata muutunud viimaste aastate kuumimaks teemaks. Lühend DLP tähistab reeglina süsteeme, mis jälgivad võimalikke lekkekanaleid ja blokeerivad need, kui nende kanalite kaudu üritatakse saata mingit konfidentsiaalset infot. Lisaks hõlmavad selliste süsteemide funktsioonid sageli võimalust arhiveerida neid läbivat teavet järgnevate auditite, intsidentide uurimise ja võimalike riskide retrospektiivse analüüsi jaoks.

DLP-süsteeme on kahte tüüpi: võrgu DLP ja hosti DLP.

Võrgu DLP töötavad võrgulüüsi põhimõttel, mis filtreerib kõik seda läbivad andmed. Ilmselgelt, lähtudes sisemiste ohtudega võitlemise ülesandest, seisneb sellise filtreerimise peamine huvi võimalus kontrollida väljaspool ettevõtte võrku Internetti edastatavaid andmeid. Võrgu-DLP-d võimaldavad teil jälgida väljaminevat e-posti, http- ja ftp-liiklust, kiirsõnumiteenuseid jne. Tundliku teabe tuvastamisel võivad võrgu DLP-d edastatud faili blokeerida. Samuti on valikud kahtlaste failide käsitsi töötlemiseks. Kahtlased failid asetatakse karantiini, mille turvaametnik vaatab perioodiliselt üle ja kas lubab või keelab failiedastuse. Protokolli olemuse tõttu on selline töötlemine aga võimalik ainult meili puhul. Täiendavaid võimalusi auditeerimiseks ja intsidentide uurimiseks pakub kogu lüüsi läbiva teabe arhiveerimine eeldusel, et seda arhiivi vaadatakse perioodiliselt üle ja analüüsitakse selle sisu, et tuvastada tekkinud lekked.

Üks peamisi probleeme DLP-süsteemide juurutamisel ja juurutamisel on konfidentsiaalse teabe tuvastamise meetod, st edastatava teabe konfidentsiaalsuse üle otsustamise hetk ja põhjused, mida sellise otsuse tegemisel arvesse võetakse. . Reeglina hõlmab see edastatud dokumentide sisu analüüsimist, mida nimetatakse ka sisuanalüüsiks. Vaatleme peamisi lähenemisviise konfidentsiaalse teabe tuvastamiseks.

Sildid. See meetod sarnaneb eespool käsitletud dokumendikontrollisüsteemidega. Sildid on manustatud dokumentidele, mis kirjeldavad teabe konfidentsiaalsuse astet, mida selle dokumendiga teha saab ja kellele see saata. Siltide analüüsi tulemuste põhjal otsustab DLP-süsteem, kas antud dokumenti saab väljapoole saata või mitte. Mõned DLP-süsteemid on algselt muudetud õiguste haldussüsteemidega ühilduvaks, et kasutada nende süsteemide installitud silte; teised süsteemid kasutavad oma sildivormingut.
Allkirjad. See meetod seisneb ühe või mitme märgijada määramises, mille olemasolu edastatava faili tekstis peaks DLP-süsteemile teatama, et see fail sisaldab konfidentsiaalset teavet. Suure hulga allkirju saab korraldada sõnaraamatutesse.
Bayesi meetod. Seda meetodit, mida kasutatakse rämpsposti vastu võitlemiseks, saab edukalt kasutada ka DLP-süsteemides. Selle meetodi rakendamiseks luuakse kategooriate loend ja näidatakse sõnade loendit tõenäosusega, et kui sõna esineb failis, siis antud tõenäosusega fail kuulub või ei kuulu määratud kategooriasse.
Morfoloogiline analüüs.Morfoloogilise analüüsi meetod sarnaneb signatuuriga, erinevus seisneb selles, et ei analüüsita 100% vastet signatuuriga, vaid arvesse võetakse ka sarnaseid tüvisõnu.
Digitrükid.Selle meetodi olemus seisneb selles, et kõikidele konfidentsiaalsetele dokumentidele arvutatakse räsifunktsioon selliselt, et kui dokumenti veidi muuta, jääb räsifunktsioon samaks või muutub ka veidi. Seega on konfidentsiaalsete dokumentide tuvastamise protsess oluliselt lihtsustatud. Vaatamata paljude müüjate ja mõnede analüütikute entusiastlikele kiitustele selle tehnoloogia kohta, jätab selle töökindlus palju soovida ning arvestades asjaolu, et müüjad eelistavad erinevatel ettekäänetel jätta digitaalse sõrmejälje algoritmi rakendamise üksikasjad varju, usaldada. selles ei suurene.
Regulaaravaldised.Kõigile programmeerimisega tegelenutele teadaolevad regulaaravaldised võimaldavad hõlpsasti leida tekstist malliandmeid, näiteks telefoninumbreid, passiandmeid, pangakontonumbreid, sotsiaalkindlustuse numbreid jne.

Ülaltoodud loetelust on hästi näha, et tuvastamismeetodid kas ei taga konfidentsiaalse teabe 100% tuvastamist, kuna nii esimest kui teist tüüpi vigade tase on neis üsna kõrge, või nõuavad turvateenistuse pidevat valvsust ajakohastada ja hallata konfidentsiaalsete dokumentide allkirjade või määramise siltide ajakohastatud loendit.

Lisaks võib liikluse krüpteerimine tekitada teatud probleeme võrgu DLP töös. Kui turvanõuded nõuavad meilisõnumite krüptimist või SSL-i kasutamist mis tahes veebiressurssidega ühenduse loomisel, võib ülekantud failides konfidentsiaalse teabe olemasolu tuvastamise probleemi olla väga raske lahendada. Ärge unustage, et mõnel kiirsuhtlusteenusel, nagu Skype, on vaikimisi sisseehitatud krüpteerimine. Peate keelduma selliste teenuste kasutamisest või kasutama nende juhtimiseks hosti DLP-d.

Kuid hoolimata kõigist keerukustest võib võrgu DLP õigesti seadistatuna ja tõsiselt võetuna oluliselt vähendada konfidentsiaalse teabe lekkimise ohtu ja pakkuda organisatsioonile mugavaid sisekontrollivahendeid.

Host DLP on installitud igasse võrgu hosti (klienditööjaamadesse ja vajadusel serveritesse) ning neid saab kasutada ka Interneti-liikluse juhtimiseks. Kuid hostipõhised DLP-d on selles võimsuses vähem levinud ja neid kasutatakse praegu peamiselt välisseadmete ja printerite jälgimiseks. Teatavasti ohustab töötaja, kes toob tööle mälupulga või MP3-mängija, ettevõtte infoturbele palju suuremat ohtu kui kõik häkkerid kokku. Neid süsteeme nimetatakse ka lõpp-punkti turbetööriistadeks, kuigi sageli kasutatakse seda terminit laiemalt, näiteks nimetatakse mõnikord nii viirusetõrjevahendeid.

Teatavasti saab välisseadmete kasutamise probleemi lahendada ilma vahendeid kasutamata, kui pordid kas füüsiliselt või operatsioonisüsteemi kasutades keelata või administratiivselt keelata töötajatel kontorisse mistahes andmekandjaid tuua. Enamasti on “odav ja rõõmsameelne” lähenemine siiski vastuvõetamatu, kuna äriprotsessides nõutavat infoteenuste paindlikkust ei pakuta.

Seetõttu on tekkinud teatud nõudlus spetsiaalsete tööriistade järele, millega saaks paindlikumalt lahendada ettevõtte töötajate välisseadmete ja printerite kasutamise probleemi. Sellised tööriistad võimaldavad konfigureerida kasutajate juurdepääsuõigusi erinevat tüüpi seadmetele, näiteks ühe kasutajarühma jaoks keelata töö kandjaga ja lubada neil töötada printeritega ning teisele - lubada meediumiga töötamist kirjutuskaitstud kujul. režiimis. Kui on vaja salvestada infot välisseadmetele üksikute kasutajate jaoks, saab kasutada varikoopiatehnoloogiat, mis tagab, et kogu info, mis välisseadmele salvestatakse, kopeeritakse serverisse. Kopeeritud teavet saab hiljem analüüsida, et analüüsida kasutaja toiminguid. See tehnoloogia kopeerib kõike ja praegu puuduvad süsteemid, mis võimaldaksid salvestatud failide sisu analüüsi, et blokeerida töö ja vältida lekkeid, nagu seda teevad võrgu DLP-d. Varikoopiate arhiiv võimaldab aga intsidentide uurimist ja võrgu sündmuste retrospektiivset analüüsi ning sellise arhiivi olemasolu tähendab, et potentsiaalse siseringi saab tabada ja oma tegude eest karistada. See võib osutuda tema jaoks oluliseks takistuseks ja oluliseks põhjuseks vaenulikust tegevusest loobumiseks.

Märkimist väärib ka kontroll printerite kasutamise üle – lekkeallikaks võivad saada ka dokumentide paberkoopiad. Hostitud DLP võimaldab teil juhtida kasutajate juurdepääsu printeritele samamoodi nagu teistele välisseadmetele ja salvestada prinditud dokumentide koopiad graafilises vormingus hilisemaks analüüsiks. Lisaks on mõnevõrra levinud vesimärkide tehnoloogia, mis prindib igale dokumendilehele unikaalse koodi, mille abil saab täpselt kindlaks teha, kes, millal ja kus selle dokumendi trükkis.

Hoolimata hostipõhise DLP vaieldamatutest eelistest on neil mitmeid puudusi, mis on seotud vajadusega installida agenditarkvara igasse arvutisse, mida peaks jälgima. Esiteks võib see tekitada teatud raskusi selliste süsteemide juurutamisel ja haldamisel. Teiseks võib administraatoriõigustega kasutaja proovida seda tarkvara keelata, et teha mis tahes toiminguid, mida turbepoliitika ei luba.

Väliste seadmete usaldusväärseks juhtimiseks on aga hostipõhine DLP asendamatu ning mainitud probleemid pole lahendamatud. Seega võime järeldada, et DLP kontseptsioon on nüüdseks täisväärtuslik tööriist ettevõtete turvateenuste arsenalis, pidades silmas neile üha suurenevat survet, et tagada sisekontroll ja kaitse lekete eest.

IPC kontseptsioon

Siseohtude vastu võitlemise uute vahendite leiutamise protsessis ei peatu tänapäeva ühiskonna teaduslik ja insenerlik mõtlemine ning võttes arvesse eespool käsitletud vahendite teatud puudusi, on teabelekkekaitsesüsteemide turg jõudnud IPC (infokaitse ja kontroll) kontseptsioon. See termin ilmus suhteliselt hiljuti; arvatakse, et seda kasutati esmakordselt analüüsifirma IDC ülevaates 2007. aastal.

Selle kontseptsiooni põhiolemus on ühendada DLP ja krüpteerimismeetodid. Selles kontseptsioonis juhitakse DLP abil ettevõtte võrgust tehniliste kanalite kaudu väljuvat infot ning krüptimist kasutatakse andmekandjate kaitsmiseks, mis füüsiliselt langevad või võivad sattuda volitamata isikute kätte.

Vaatame kõige levinumaid krüpteerimistehnoloogiaid, mida saab IPC kontseptsioonis kasutada.

Magnetlintide krüpteerimine.Vaatamata seda tüüpi meediumide arhailisusele kasutatakse seda jätkuvalt aktiivselt varundamiseks ja suurte teabemahtude edastamiseks, kuna salvestatud megabaidi ühikuhinna osas pole sellel endiselt võrdset. Sellest tulenevalt rõõmustavad lintide lekked jätkuvalt uudistekanalite toimetajaid, kes need esilehel avaldasid, ning valmistavad meelehärmi ettevõtete CIO-dele ja turvameeskondadele, kellest saavad selliste aruannete kangelased. Olukorda raskendab asjaolu, et sellised lindid sisaldavad väga suuri andmemahtusid ja seetõttu võib suur hulk inimesi sattuda petturite ohvriks.
Serverisalvestuste krüpteerimine.Hoolimata sellest, et serverisalvestust transporditakse väga harva ja selle kadumise oht on magnetlindi omast mõõtmatult väiksem, võib salvestusruumist eraldiseisev kõvaketas sattuda ründajate kätte. Remont, utiliseerimine, uuendamine – need sündmused toimuvad piisava sagedusega, et see risk maha kanda. Ja volitamata isikute kabinetti sisenemise olukord pole päris võimatu sündmus.

Siinkohal tasub teha väike kõrvalepõige ja mainida levinud eksiarvamust, et kui ketas on osa RAID-massiivist, siis väidetavalt ei pea muretsema selle valedesse kätesse sattumise pärast. Näib, et kirjalike andmete põimimine mitmele kõvakettale, mida teevad RAID-kontrollerid, annab ühel kõvakettal asuvatele andmetele loetamatu välimuse. Kahjuks pole see täiesti tõsi. Interleaving toimub, kuid enamikus kaasaegsetes seadmetes tehakse seda 512-baidise ploki tasemel. See tähendab, et vaatamata failistruktuuri ja vormingute rikkumisele saab selliselt kõvakettalt siiski välja võtta konfidentsiaalset teavet. Seega, kui on nõue tagada RAID-massiivis salvestatud teabe konfidentsiaalsus, jääb krüptimine ainsaks usaldusväärseks võimaluseks.

Sülearvutite krüpteerimine.Seda on juba lugematuid kordi öeldud, kuid sellegipoolest pole konfidentsiaalse teabega sülearvutite kadumine juba aastaid intsidentide hittparaadi esiviisikust välja jäänud.
Irdkandjate krüpteerimine.Sel juhul räägime kaasaskantavatest USB-seadmetest ja mõnikord ka salvestatavatest CD-dest ja DVD-dest, kui neid kasutatakse ettevõtte äriprotsessides. Sellised süsteemid, nagu ka ülalmainitud sülearvutite kõvaketta krüpteerimissüsteemid, võivad sageli toimida hosti DLP-süsteemide komponentidena. Sel juhul räägitakse mingist krüptograafilisest perimeetrist, mis tagab sees olevate meediumite automaatse läbipaistva krüptimise ja võimetusest väljaspool seda andmeid dekrüpteerida.

Seega võib krüpteerimine oluliselt laiendada DLP-süsteemide võimalusi ja vähendada konfidentsiaalsete andmete lekkimise ohtu. Hoolimata asjaolust, et IPC kontseptsioon kujunes suhteliselt hiljuti ja keeruliste IPC lahenduste valik turul ei ole kuigi lai, uurib tööstus seda valdkonda aktiivselt ja on täiesti võimalik, et mõne aja pärast muutub see kontseptsioon sisejulgeoleku ja sisejulgeoleku probleemide lahendamise faktistandard.kontroll.

järeldused

Nagu käesolevast ülevaatest nähtub, on sisemised ohud infoturbe vallas üsna uus valdkond, mis sellegipoolest areneb aktiivselt ja nõuab suuremat tähelepanu. Kaalutud dokumendikontrolli tehnoloogiad, DLP ja IPC võimaldavad ehitada üsna töökindla sisekontrollisüsteemi ja vähendada lekkeohtu vastuvõetava tasemeni. Kahtlemata see infoturbe valdkond areneb edasi, hakatakse pakkuma uuemaid ja arenenumaid tehnoloogiaid, kuid tänapäeval valivad paljud organisatsioonid ühe või teise lahenduse, kuna hoolimatus infoturbe küsimustes võib olla liiga kulukas.

Aleksei Raevski
SecurITi tegevjuht

Et tõhusalt kaitsta siseringi, on esmalt vaja tagada kontroll kõigi sidekanalite üle – alates tavalisest kontoriprinterist kuni tavalise mälupulga ja mobiiltelefoni kaamerani.

Insaiderite eest kaitsmise meetodid:

* töötajate riistvaraline autentimine (näiteks USB-võtme või kiipkaardi abil);
* kõigi võrgu kasutajate (sh administraatorite) kõigi toimingute audit;
* võimsa tarkvara ja riistvara kasutamine konfidentsiaalse teabe kaitsmiseks siseringi eest;
* infoturbe eest vastutavate töötajate koolitus;
* töötajate isikliku vastutuse suurendamine;
* pidev töö personaliga, kellel on juurdepääs konfidentsiaalsele teabele (briifing, koolitus, infoturbe järgimise reeglite tundmise ja vastutuse testimine jne);
* palgataseme vastavus info konfidentsiaalsuse tasemele (mõistlikes piirides!);
* konfidentsiaalsete andmete krüpteerimine;
* Aga kõige tähtsam on muidugi inimfaktor: kuigi inimene on turvasüsteemi nõrgim lüli, on ta ka kõige olulisem! Võitlus insaiderite vastu ei tohiks muutuda kõigi totaalseks jälgimiseks. Ettevõttes peab valitsema terve moraalne kliima, mis soodustab ettevõtte aukoodeksi järgimist!

Arvutiturbe instituudi (CSI, Computer Security Institute) iga-aastase uuringu tulemuste kohaselt tuvastasid turbeeksperdid 2007. aastal kolm peamist probleemi, millega aasta jooksul silmitsi tuli: 59% tunnistas siseringi ohuks nr 1, 52 % - viirused ja 50 % - mobiilse meedia (sülearvuti, mälupulk) kadu. Nii hakkas kodumaiste ründajate probleem Ameerikas esimest korda viiruste probleemi üle ülekaalu saama. Kahjuks puudub meil Venemaa kohta selline teave, kuid on põhjust väita, et meie riigis on olukord vähemalt sarnane. Nii avalikustati oktoobris Aladdini aastakonverentsil siseringi tegevusest tingitud infolekke probleemi käsitlenud ümarlaual valitsusasutuste süsteemiadministraatorite küsitluse tulemused, mis teatavasti on madala tasemega. tuludest, esitati. Küsimusele, kui palju neilt konfidentsiaalseid andmeid saab, vastas vaid 10% vastajatest, et nad ei teeks sellist pahategu kunagi, umbes pooled küsitletutest on valmis riskima suure raha eest ja ligikaudu 40% on valmis seda tegema. seda mis tahes tasu eest. Nagu öeldakse, kommentaarid pole vajalikud. Peamine raskus siseringi eest kaitsmise korraldamisel on see, et ta on süsteemi legitiimne kasutaja ja tal on oma kohustusest tulenevalt juurdepääs konfidentsiaalsele teabele. Väga raske on jälgida, kuidas töötaja seda juurdepääsu haldab avaliku võimu piires või väljaspool seda. Vaatleme sisemiste rikkujate vastu võitlemise peamisi ülesandeid (vt tabelit).

Mida rohkem edu saavutab inimkond võitluses väliste küberohtudega, seda otsustavamalt tõusevad esile sisemised ohud, mida statistika järgi seostatakse enam kui 70% kõigist turvaintsidentidest. See artikkel võtab kokku Venemaa integraatorfirma kogemused konfidentsiaalse teabe lekkimise tõkestamiseks keerukate süsteemide loomise valdkonnas. Sellised keerulised süsteemid on paljude kaasaegsete ettevõtete ja organisatsioonide toimimiseks üliolulised. Ettevõtted kasutavad töötajate jälgimiseks tervet arsenali võimalusi: vaadatakse üle meilikirjavahetus, kuulatakse telefonivestlusi, paigaldatakse valvekaamerad ja jälgitakse veebilehtede liiklust. Kas sellised tegevused on seaduslikud? Praegu töödeldakse konfidentsiaalset teavet ja isikuandmeid peaaegu iga ettevõtte automatiseeritud süsteemides. Loomulikult tuleb sellist teavet kaitsta. Kuidas seda aga kaitsta, mille poolest erinevad koduarvuti ja arvutite kaitsevahendid ettevõtte rakendustes, millised infokaitseülesanded ja kuidas tuleks neid terviklikult lahendada, et tagada konfidentsiaalse teabe tõhus kaitse? Keegi pole kaitstud IT-infrastruktuuri sabotaaži eest. Iga töötaja võib isegi kõige tühisematel põhjustel solvuda juhtkonna või kolleegide peale ja seejärel sooritada tõelist sabotaaži: hävitada ettevõtte jaoks äärmiselt olulist teavet, saata ettevõtte klientidele nilbeid kirju jne. Ilmselgelt võib sellisel juhul tekitatud kahju varieeruda rikutud töökliimist kuni otsese mitme miljoni dollari suuruse kahjuni. Juhtivate organisatsioonide uuringud kinnitavad pidevalt ettevõtete muret IT siseturvalisuse ja nende infovarade kaitse pärast. 2006. aasta jaanuaris avaldatud FBI 2005. aasta arvutikuritegude uuringu kohaselt kannatas 44% Ameerika ettevõtetest aasta jooksul tõsiseid IT-turbe intsidente, kus siseringi isikud varastasid konfidentsiaalseid tööandja dokumente ja üritasid kontoriseadmetest finantspettuse eesmärgil teavet valesti esitada. , jne. Praegu on konfidentsiaalse teabe lekete (DLP) eest kaitsmiseks mõeldud süsteemide turul mitu põhilist tuvastamistehnoloogiat, sealhulgas keeleline ja kontekstuaalne analüüs, samuti digitaalsed sõrmejäljed ja sildid. Paljud äriorganisatsioonide töötajad tunnevad sellist ettevõtte kontrolli ilmingut nagu kontoritelefonide pealtkuulamine. Tavaliselt viivad seda juhtkonna nimel läbi suurte ja keskmise suurusega organisatsioonide turvatöötajad ning pealtkuulamine võib olla nii avalik kui ka salajane. Kuidas teha kindlaks, kes organisatsiooni töötajatest ja tööle kandideerijatest põhjustavad või võivad kahjustada selle huve? Kuidas tuvastada potentsiaalseid alkohoolikuid, vargustele kalduvaid inimesi ja neid, kes kunagi tootlikult ei tööta? Lõppude lõpuks võivad nad kõik saada teie ettevõtte töötajateks. Selle õige mõistmine ei ole lihtne ülesanne. See artikkel räägib inimfaktori rollist organisatsiooni turvalisuse tagamisel, mõningatest võimalikest personaliriski allikatest ja meetmetest organisatsiooni nende eest kaitsmiseks. Ettevõtteteabe kaitsmine sisemiste ohtude eest on viimastel aastatel kasvanud valitud ettevõtete moest trendist täiesti iseseisvaks infoturbe valdkonnaks. Tippjuhid hakkavad tasapisi oma suhtumist rahastamisse üle vaatama ning pidama andmekaitset sisemiste ohtude eest mitte ainult kuluallikaks, vaid ka ettevõtte konkurentsieeliseks. Paljud organisatsioonid on moodustanud ärisaladuste, isikuandmete ja muu konfidentsiaalse teabe kaitsmiseks spetsiaalsed rühmad ja osakonnad. Teabe kui äritegevuse ühe komponendi väärtust on vaevalt võimalik üle hinnata: ekspertide hinnangul viib vaid veerandi organisatsiooni ärisaladuseks tunnistatud teabest mõne kuuga kadumine pooled neist pankrotti. samad organisatsioonid, kes sellist teavet lekitasid. Infotehnoloogia valdkonnas põhineb ettevõtte edu sageli rohkem kui üheski teises valdkonnas täielikult edukal oskusteabel, tehnoloogilisel käigul, turundusstrateegial või isegi lihtsalt originaalsel ideel. Veelgi enam, kõige väärtuslikum teave nende otsuste, käikude ja ideede kohta on ettevõtte töötajate meeles. Ei saa nõustuda sellega, et hoidla ei ole kaugeltki kõige usaldusväärsem konfidentsiaalse teabe kaitsmisel kolmandate isikute ebaseadusliku või soovimatu juurdepääsu eest või töötaja enda ebaausa kasutamise eest, näiteks enda konkurentsivõimelise arengu loomiseks. Allpool räägime sellest, kuidas saab tööandja kontrollida äriliselt olulise teabe levitamist ettevõtte sees ja väljaspool seda, kuidas saab austada töötaja õigusi ning millist hüvitist peaks ta saama nende õiguste teadaoleva piiramise eest. Ja ka seda, kuidas töötaja vastutab oma tööandja salajase teabe avalikustamise eest. "Las see karikas minust möödub!" Ajades endast eemale kõige ebameeldivamad mõtted, hääldame seda salaja loitsu erinevatel eluhetkedel. Olgu selleks siis reis taskuvarastest nakatunud rõivaturule või hiline koju naasmine. Mõnikord ei tunne me end turvaliselt isegi oma korteris. Politseiraportid meenutavad sõjaliste operatsioonide kroonikat. Statistika järgi toimub Venemaal sissemurdmine iga 3,5 minuti järel. Reeglina pole sissetungijaid võimalik tuvastada. Kuid kas sellist ebameeldivust saab ära hoida? Ettevõtte Promet, juhtiva kodumaiste seifide ja metallmööbli tarnija ja tootja spetsialistid vastavad sellele küsimusele üsna kindlalt: seif tagab teie säästudele usaldusväärse kaitse. Viimasel ajal on sisemiste ohtude eest kaitsmise probleem muutunud tõeliseks väljakutseks mõistetavale ja väljakujunenud ettevõtte infoturbemaailmale. Ajakirjanduses räägitakse siseringist, teadlased ja analüütikud hoiatavad võimalike kaotuste ja hädade eest ning uudistevood on täis teateid järjekordsest juhtumist, mis viis sadade tuhandete kliendikirjete lekkimiseni töötaja vea või ettevaatamatuse tõttu. Proovime välja mõelda, kas see probleem on nii tõsine, kas sellega tuleb tegeleda ning millised on selle lahendamiseks saadaolevad tööriistad ja tehnoloogiad. Tänapäeval kasutab üha enam organisatsioone ettevõtte teabe kaitsmiseks lekete eest DLP (Data Loss Prevention) lahendusi. Enne DLP rakendamist hindab iga ettevõte riske ja koostab ohumudeli, mis määrab kaitstud teabe klassid, andmete kasutamise stsenaariumid ja nendega seotud ohud. Enamasti peetakse väliseid draive, printereid, ettevõtte e-posti ja mitmesuguseid veebiteenuseid potentsiaalseteks andmelekkekanaliteks ning vähesed inimesed mõtlevad magnetlintidele või muudele varukoopiakandjatele salvestatud andmete kaitsmisele, mis lõpuks salvestatakse ja transporditakse kaitsmata kujul. . Uurides praegu pankade ettevõtete infosüsteemides (CIS) rakendatavate ettevõtete infoturvet ja seda tagavate meetmete tõhusust, tõmbab paratamatult tähelepanu Sailpoint Technologiesi 2011. aastal läbiviidud küsitlus definitsioonidest mõnevõrra eemaldunud aspektis. "arvuti kaitsmine volitamata juurdepääsu eest" ja "volitamata juurdepääs arvutiteabele" (USD) – analüütikud hindasid piiratud teabega töötamise osas ettevõtte töötajate lojaalsust ettevõtte eetika suhtes. Tänapäeval on siseringi oht ettevõtete turvateenuste jaoks pakiline probleem. Organisatsioonid tagavad oma ajutistele ja alalistele töötajatele juurdepääsu kriitilisele teabele, mis kujutab endast tõsist ohtu organisatsiooni turvalisusele. Ettevõtte töötajatel on lihtsam varastada või kuritarvitada olemasolevat teavet kui kellelgi teisel, kuna neil on otsene juurdepääs organisatsiooni teabevaradele. Trustwave’i uuringu kohaselt toimub 80% infoturbeintsidentidest nõrkade paroolide kasutamise tagajärjel. Insaiderid on saanud USA Utah' ja Lõuna-Carolina osariikide tervishoiuministeeriumis hiljuti toimunud intsidentide peamiseks põhjuseks. Parooliga autentimise kasutamine ettevõtete ja organisatsioonide infosüsteemides on vananenud. Jätkates selle traditsioonilise juurdepääsu metoodika rakendamist oma teaberessurssidele, seavad ettevõtted tegelikult ohtu kasumlikkuse ja võib-olla ka ettevõtte olemasolu. Ühel päeval hakkavad peaaegu kõik organisatsioonid mõistma, et nad vajavad ettevõtte teabe usaldusväärset kaitset. Üks tõhusamaid viise oma andmete kaitsmiseks on DLP-süsteemi paigaldamine oma ettevõttesse. Enamikul juhtudel motiveerib organisatsioon oma otsust sellega, et need süsteemid kaitsevad usaldusväärselt konfidentsiaalset teavet ja võimaldavad neil täita reguleerivate asutuste nõudeid. Kui palju koopiaid on purustatud arutelus selle üle, kas siseringid kujutavad ärile reaalset ohtu või mitte. Kaasaegsete tehnoloogiate esirinnas olev pangandussektor on alati olnud üks esimesi, kes on testinud IT-maailma ja eelkõige infoturbe valdkonna uusimaid uuendusi. Kahefaktoriline autentimine, biomeetrilised süsteemid ja palju muud. Kõik see kõlas seal, kus praktilised inimesed eelistavad hoida oma sääste. Kuid nii toimib meie slaavi mentaliteet: "kuni äike lööb". Seetõttu lükkame ümber peamised müüdid, mida pangandussektoris ikka veel kohtab. Viimase paari aasta jooksul on Suure Kolmiku operaatorid SMS-sõnumite pärast suuri skandaale kannatanud juba kaks korda. Esimest korda “aitas” Yandex ja põhimõtteliselt võib lekke liigitada “hooletuleks” lekkeks. Aga seekord... Föderaalne julgeolekuteenistus teatas, et avastati ründajate rühm, kes oli saanud MTS-i ja VimpelComi töötajatelt kolme kõrge Moskva ametniku SMS-i kirjavahetuse arhiivid, misjärel VimpelCom kinnitas teabelekke fakti, ja MTS, vastupidi, lükkasid ümber. Jätkem süüdlaste otsimine uurimise hooleks ja pöörakem tähelepanu juhtumi materjalidele: mobiilsideoperaatorite tehniliste keskuste tuvastamata töötajad edastasid konfidentsiaalset teavet kolmandatele isikutele. Turvaekspertide keeles siseringi aktsioonid toimusid. Infolekete ja volitamata juurdepääsu tõkestamine on iga organisatsiooni infoturbeteenistuse üks olulisemaid ülesandeid. Kui on konfidentsiaalset infot (riik, ärisaladused, isikuandmed), siis on probleem ka selle kaitsmisel varguse, kustutamise, muutmise, vaatamise eest. Ettevõtte kasvades suureneb infovarguste risk, sh töötajate poolt, suurenevad finants- ja maineriskid, mis toob kaasa karmimad poliitikad ja kontrollisüsteemid. Tänapäeval on teabel suur väärtus. Selle omamine pakub tohutuid võimalusi äris, majanduses, poliitikas ja muudes valdkondades. Ega asjata öeldakse, et see, kellele kuulub teave, omab maailm ja see, kes omab teiste inimeste teavet, on konkurentsiks palju paremini ette valmistatud kui tema konkurendid. Tekstiteabe salvestamiseks on palju erinevaid failivorminguid, sealhulgas TXT, RTF, DOC, DOCX, HTML, PDF ja paljud teised. jne. Siiski ei pakkunud ükski ettevõte ei meie riigis ega kogu maailmas XML-dokumentatsiooni kaitset. Vaatame lähemalt, mis on XML-failid, miks neid tuleb kaitsta ja kuidas selle vormingu kaitse esmakordselt loodi.