Защита информации от утечек в ИТ-сети предприятия

В статье определяются виды угроз, исходящих от внутренних нарушителей, и предлагаются меры для выстраивания защиты, а также – что очень важно – рассматриваются правовые и морально-этические коллизии, которые могут возникнуть при организации контроля, и пути их разрешения.

В отличие от угроз¹ информационной безопасности, реализуемых внешним злоумышленником, угрозы утечки информации, исходящие от сотрудников организации, менее прогнозируемы. С другой же стороны, риски утечки значительно труднее поддаются митигированию. Предлагаю подробнее разобраться в проблеме, а также поразмышлять о путях ее решения.

Виды утечек информации

Фактически утечка – неправомерное разглашение конфиденциальной информации, представляющее собой:

• устное разглашение (намеренное или случайное);
• копирование конфиденциальной информации на внешние носители;
• публикацию конфиденциальной информации в Интернете (намеренную или случайную);
• утерю/кражу носителей информации (флешек, бумаг, ноутбуков и т.п.) и др.

Система контроля должна быть построена исходя из того факта, что угрозы утечки конфиденциальной информации реализуются внутренними нарушителями, имеющими непосредственный доступ к такому виду информации.

Таким образом, для минимизации угроз утечек необходимо, очевидно, установить контроль над действиями сотрудников. Кому это необходимо? С точки зрения информационной безопасности наблюдение за сотрудниками необходимо всем компаниям, и более того, оно почти во всех присутствует в том или ином виде. Особенно остро вопрос контроля встает в компаниях со стремительно растущей численностью сотрудников, а также с усложняющимися производственными операциями.

Ошибки и злонамеренные действия сотрудников

Итак, мы определились с видом угроз, нарушителей и направлением для построения системы контроля. Далее нам необходимо проанализировать работу нашей компании и определить те действия, при совершении сотрудником которых в результате ошибки или же в результате его злонамеренных действий мы теоретически можем понести несравнимо бóльшие убытки.

Перечень таких действий может быть следующим:

1. Воровство материальных и интеллектуальных ценностей.
2. Нецелесообразное использование ресурсов (например, рабочего времени).
3. Вандализм в отношении производственных процессов.
4. Непреднамеренные ошибки (в том числе утечки данных, компрометация защищаемой информации и т.п.).

А теперь задумаемся: как же отнесутся сотрудники компании к тому, что их действия контролируют?

Контроль сотрудников: взгляд с обратной стороны

Очевидно, что самой распространенной реакцией на контроль будет резкое непринятие, негатив (не всегда, о чем мы поговорим ниже), ведь мы не любим, когда нам очерчивают рамки и следят за каждым шагом. Поэтому после установления контроля мы, как правило, встречаем противодействие.

Поэтому одним из ключевых моментов при организации контроля, позволяющих избежать негативной реакции, является доведение мысли о необходимости этого контроля до самих сотрудников. Возникает вопрос: как это сделать? Вариантов множество. Например, можно объяснить сотрудникам, что контроль за выносом материальных ценностей поможет выполнить производственный план и получить премиальные.

Чуть сложнее донести мысль о необходимости контроля до сотрудников, работающих в информационной сфере. Информацию необязательно выносить в кармане через проходную, а ущерб от некоторых утечек может на годы превысить ущерб от воровства материальных ресурсов. Для человека может быть неочевидна мысль о неправильности поступка при краже или утере информации, поскольку информация нематериальна. А раз нематериальна – значит, ничего не украл и не потерял.

Где же найти решение проблемы? Оно очевидное, однако, к сожалению, не всегда реализуемое: сотрудники положительно или, по крайней мере, равнодушно реагируют на контроль в тех компаниях, в которых их устраивают график работы, уровень заработной платы, способ поощрений и т.д. Таким образом, можно сделать следующий вывод: довольный сотрудник согласен с установлением контроля над его действиями. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, уважать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем.

Информировать сотрудников о слежке обязывает законодательство

Итак, контроль за действиями сотрудников установлен. Возникает вопрос: сообщать ли сотрудникам о слежке или нет?

Ответ один: сообщать. При выборе второго варианта мы рискуем узнать подробности ст. 137 Уголовного кодекса РФ "Нарушение неприкосновенности частной жизни" и ст. 138 этого же кодекса "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений". Данные статьи – это дамоклов меч любого безопасника. Практика их применения большая и всегда не в пользу работодателя.

Таким образом, сотрудников так или иначе необходимо информировать о контроле. Это не очень сложно: внесите упоминание о контроле в трудовой договор или приложение к нему.

Вам помогут следующие нормы трудового законодательства:

• ст. 21 Трудового кодекса РФ (далее ТК РФ), обязывающая сотрудника качественно выполнять работу ("…работник обязан: добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка…");
• ст. 22 ТК РФ, дающая работодателю право контролировать работу;
• ст. 189 ТК РФ, определяющая правила внутреннего трудового распорядка.

Теперь обратимся к вопросу о средствах для реализации контроля.

Технические средства контроля утечки информации

При решении вопроса о достижении целей контроля утечек и укрепления дисциплины не обойтись без технических средств. Разумеется, прежде чем выбирать меры слежения, необходимо составить модель нарушителя и определить каналы утечки информации. Меры могут быть организационные (например, отключение доступа к Интернету) и программно-аппаратные.
Кратко рассмотрим основные программно-аппаратные меры, которые помогут, в порядке необходимости.

1. Подсистема идентификации и аутентификации пользователей. Это основа основ. Если мы не можем однозначно идентифицировать пользователя, то нет возможности его контролировать. И разумеется, никаких локальных администраторов на рабочих машинах.
2. Подсистема доступа в Интернет (proxy). Proxy выступает первым эшелоном контроля, ограничивая каналы утечки через Интернет.
3. Подсистема контроля приложений (программной среды) – осуществление контроля установки приложений на рабочих компьютерах.
4. Подсистема контроля подключаемых устройств. Логическое продолжение предыдущего пункта: если мы не можем подключить флешку, то сюрпризов у нас будет гораздо меньше. Этот инструмент также позволяет ограничить утечки класса "поработаю дома".
5. Подсистема контроля утечек конфиденциальной информации (DLP-системы). Если мы все же разрешаем использовать Интернет и подключать флешки, необходимо знать, что именно передается.
6. Подсистема IRM (Information Rights Management). Это уже глобальный уровень отслеживания перемещения документов и действий сотрудников с ними в рамках всей организации и за ее пределами.

Эти средства позволят контролировать все основные каналы утечки. Однако всегда найдутся каналы и способы, которые трудно отследить (к примеру, фотографирование). В этом случае для эффективного контроля должен использоваться комплекс мер (в приведенном примере с фотографированием необходимы средства поведенческого анализа и организационные методы).

Измеряем эффективность

Как же работодателю оценить, эффективен ли его контроль над действиями сотрудников? Измерение эффективности слежения прямо связано с поставленными целями. Если цель, например, заключается в уменьшении непродуктивно используемого времени, проведенного в Интернете, то мерой эффективности слежения будет уменьшение случаев непродуктивного использования (с учетом вышеназванных ограничений). Чем меньше инцидентов, тем лучше.

Какой бы ни была цель контроля, стоимость организации контроля не должна превышать совокупную сумму ущерба. Для всестороннего расчета суммы ущерба необходимо использовать специальные методы, описание которых займет не одну статью. Эмпирически можно вывести правило: чем ближе контролируемая цель к производственному процессу, тем эффективней должен быть контроль над действиями пользователей.

Следить за действиями сотрудников необходимо. Главное – соблюсти баланс интересов бизнеса и сотрудников.

¹ Подробнее в статье: Д. Дудко. Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7 // Системы безопасности. 2021. № 2.

Опубликовано в журнале "Системы безопасности" № 1/2023

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: ru.freepik.com