USD 97.55 ЕВРО 106.14

Шпион, выйди вон!

Аналитика

Шпион, выйди вон!

За последние пару лет операторы «большой тройки» уже дважды крупно оскандалились на SMS-сообщениях.

В первый раз «помог» Яндекс и в принципе утечку можно относить к разряду
утечек «по неосторожности». Но на этот раз… Федеральная служба безопасности
сообщила о том, что была обнаружена группа злоумышленников, получивших от
сотрудников МТС и «Вымпелкома» архивы SMS-переписки трёх высокопоставленных
московских чиновников, после чего «Вымпелком» подтвердил факт утечки
информации, а МТС, напротив, опроверг. Оставим поиск виновных на долю следствия
и обратим внимание на материалы дела: неустановленные сотрудники технических
центров мобильных операторов передавали конфиденциальную информацию третьим
лицам. Говоря языком «безопасников», имело место действия инсайдеров.

Появлению подобных личностей послужило несколько причин. Во-первых, размеры
компании. При федеральных масштабах деятельности «Билайна» не удивительно, что
«левая рука не знает, что делает правая», или, говоря корпоративными терминами,
обозначилась «проблема роста». Во-вторых, очевидна недоработка службы
информационной безопасности, позволившей действовать злоумышленникам на
протяжении почти трёх лет. И, в-третьих, возможно была забыта прописная истина
ИБ – сотрудник должен иметь доступ только к той информации, которая ему
необходима для работы. Кроме того всегда вкупе с этими причинами присутствуют
несколько классических. Перефразируя известное выражение, инсайдерами не
рождаются, инсайдерами становятся. Причиной к действию может стать конфликт с
начальством или желание побыть «народным мстителем»; или «прощальный аккорд»
перед увольнением. Но самая популярная, конечно же, деньги.

Но вернёмся к инсайдерам. В связи с особенностями работы SMS-серверов
(тексты сообщений на них хранятся не более 3 дней), «кроты» должны были
извлекать и переправлять интересующею их информацию с завидной регулярностью.
Разберём вероятные сценарии.

Чтобы не привлекать внимание службы ИБ, необходимо варьировать каналы
передачи информации. Почта, внешние носители, передача файлов через
мессенджеры, FTP и т.д. Для дополнительной защиты тексты сообщений можно
«заливать» на общедоступный файлообменный ресурс в запароленном архиве. Пароль
же передаётся по другому каналу (звонок, смс, при личной встрече и т.д.). Для
отведения подозрений файлы также можно переименовать и сменить расширение.
Кроме того, «матёрый» инсайдер наверняка сначала «прощупает почву» на
какой-нибудь некритичной информации. Пробный успешный «слив» даст основание
полагать, что канал чист. Здесь же как нельзя лучше работает принцип
«предупреждён, значит, вооружён». С помощью нескольких поисковых запросов можно
выяснить, чем защищена компания. Ну а обойти защиту – дело техники. Ведь
идеальных систем не бывает.

По статистике более 80% утечек происходит по вине сотрудников. Однако
львиная доля приходится на утечки по неосторожности. Промышленный шпионаж,
подкупы и инсайд больше присущи крупным корпорациям, чем большинству компаний.
А значит, не стоит придумывать себе лишних проблем, стараясь предусмотреть все
варианты. Помните, что стоимость замка, охраняющего склад, не должна превышать
стоимость самого склада. В большинстве случаев к утечкам информации приводит
банальное любопытство, когда у сотрудника есть доступ к конфиденциальным
данным. Поэтому организовывать защиту информации в компании следует с азов, а
именно, с грамотного разграничения прав доступа.

Этот простой и очевидный шаг поможет избежать большего числа неприятностей,
чем вы думаете. Как сказал бы современный последователь товарища Сталина, «нет
лишней информации – нет проблемы». Но сегодня реализовать даже это базовое
требование порой проблематично. Всему виной издержки администрирования систем,
состоящих из нескольких десятков приложений. Для новых сотрудников к каждому из
них необходимо настроить доступ с соответствующими правами. С другой стороны,
учётные записи увольняющихся должны быть своевременно остановлены и удалены.
Простые действия, помноженные на количество приложений и сотрудников компании,
становятся настоящей головной болью для ИТ-отдела. И это даже если не касаться
самой проблемы «пользователи-пароли». Порой сложно объяснить, что «qwerty» и
«12345» в мире парольной аутентификации подобны Иванову Ивану Ивановичу на
образцах заявлений. Тоже самое и с записанными комбинациями, заботливо
сложенными под клавиатурой или прикреплёнными к монитору на ярких стикерах.

Тем не менее, выход есть. Если пользователь не в состоянии запомнить десяток
бессмысленных цифробуквенных комбинаций со спецсимволами (а большинство не в
состоянии, чего скрывать), нужно подумать, как облегчить ему жизнь. Одним из
вариантов является использование IAM-системы (Identity&Access Control
Management). По сути она представляет собой некое единое хранилище информации о
пользователях. Главная же цель заключается в том, чтобы во всех необходимых
пользователю приложениях вовремя появлялись учетные записи, наделённые
необходимыми правами. Таким образом, сотруднику понадобится помнить всего один
стойкий «мастер-пароль». Всё остальное в идеале будет делать автоматика. На
самом деле, позволить пользователю аутентифицироваться во всех приложениях при
помощи одного набора учетных данных — задача далеко не такая простая, какой
она, возможно, кажется на первый взгляд: прикладные системы поддерживают
ограниченный и часто не пересекающийся набор способов аутентификации. Но совсем
другая история.

Подготовлено компанией «Индид»