К.т.н. Пархоменко І.І., Гордієнко
О.С.
Національний авіаційний
університет (НАУ), Україна
Особливості та характеристики
інсайдерів
Інсайдер -
ключова фігура в ситуації, пов'язаної з витоком інформації. Є кілька підходів
до класифікації інсайдерів: за мотиваційним ознаками (ненавмисні і навмисні) і
за сценаріями діяльності. Кожен клас інсайдерів вимагає своєчасної
ідентифікації, особливого виду протистояння та індивідуального підходу навіть
всередині окремого класу. Звернемо увагу на те, які види інсайдерів можна
виділити.
1) халатність
інсайдера
Цей вид
інсайдерів є самим численним серед інших. Зазвичай це рядовий внутрішній
співробітник, який порушив вимоги про конфіденційність інформації через свою
неуважність. Таким чином, у діях даного виду інсайдера не можна знайти ні
користі, ні наміру, ні будь-яких цілей. Він порушує вимоги про конфіденційність
інформації невмотивовано. Відбувається таке порушення внаслідок порушення, без
злого умислу, працівником правил зберігання конфіденційної інформації. Іншими словами,
такі порушники можуть виносити інформацію з офісу компанії для того, щоб
працювати з нею вдома або під час відрядження. Надалі носій інформації
втрачаються або до нього отримують доступ члени сім'ї інсайдера. У результаті
добрі наміри такого співробітника рішуче не відіграють жодної ролі - адже
збитки від витоку інформації від цього нітрохи не менше, ніж у випадку
промислових шпигунів.
Для захисту
від таких інсайдерів досить простих технічних засобів із запобігання каналів
витоку: менеджери пристрої введення-виводу і контентна фільтрація вихідного
трафіка.
2)
маніпульований інсайдер
В цьому
випадку використовують такий термін, як «соціальна інженерія». Він
використовується головним чином для того, щоб описати різні засоби шахрайських
операцій в соціальній мережі. По суті, соціальна інженерія є справжнім лихом
для інформаційних систем. При цьому маніпулюють в соціальній інженерії не
тільки з метою отримання персональних даних (пін-кодів, паролів, адрес і
номерів кредитних карт) обманним шляхом, але й іншими способами. Так, звичайний
секретар, сумлінно виконує свою роботу,
може допомогти зловмисникам. Схема дій у даному випадку така: в офіс
компанії дзвонить нібито директор нібито існуючого філіалу та, впевнено і
спокійно представившись, правдоподібно
розповідає про те, що трапились непередбачені події - а саме, розповідає про
те, що пошта тимчасово не може бути доставлена в мережу філіалів у зв'язку з
тимчасовими технічними складнощами. Тому даний громадянин переконливо просить
переслати йому інформацію на його особисту поштову скриньку, що знаходиться в
публічній поштової служби. Cекретар, ні на секунду не сумнівається в правдивості слів
«директора» (настільки переконливо він викладав свою проблему), пересилає на
вказану адресу конфіденційну інформацію. Природно, що використана вона буде
таким псевдо директором зовсім не з благими намірами.
Найкращий
захист від таких інсайдерів - це створення такої ситуації, в якій вони не могли
б порушити регламенти зберігання і поширення інформації, натрапивши на технічне
блокування подібного роду спроб. У такій ситуації, як недбале, так і
маніпульованим інсайдери швидше за все звернуться по допомогу до колег або до
системного адміністратора, які і вкажуть їм на неможливість і заборона
здійснення задуманих ними дій.
3) ображений
інсайдер
Усі наступні
групи інсайдерів - ображені, нелояльні, що підробляють і впроваджені -
відносяться до зловмисних інсайдерам, які діють переконливо й усвідомлено,
знаючи про негативні наслідки своєї діяльності. Їх відмінність здійснюється
залежно від мотивів ворожих дій, здійснюваних ними. Так, ображений інсайдер -
це співробітник компанії, що розкриває конфіденційну інформацію для того, щоб
здійснити помсту компанії з особистих мотивів. А ці мотиви можуть бути
найрізноманітнішими - від образи на директора компанії, до елементарної
відсутності моральної мотивації працювати на благо компанії.
Скривдженого
інсайдера можна виявити за наступними двома ознаками: 1) у його наміри не
входить залишити компанію; 2) його метою є нанесення шкоди, а не викрадення
інформації як такої. Таким чином, дані інсайдери діють так, щоб керівництво
компанії не здогадалася про те, що інформація була викрадена саме ним. Тому
натрапивши на технічний бар'єр, що перешкоджає викрадення інформації, такий
інсайдер, як правило, направить свою руйнівну силу на будь-який інший об'єкт,
наприклад, на викрадення майна компанії або на фальсифікацію чи знищення
наявної інформації. Важливим є й те, що ображений інсайдер при викраденні
інформації виходить з власних міркувань про її важливість і значущість для
компанії. У визначенні адресата, якому слід передати викрадену інформацію,
скривджені інсайдери найчастіше зупиняють свій вибір на пресі або будь-яких
тіньових структурах. При цьому оголошення і подальший шантаж - головна мета,
яка ставилася ними.
4) нелояльний
інсайдер
Нелояльний
інсайдер - це співробітник, що вирішив звільнитися або ж відкрити власний
бізнес. Як правило, саме на таких людей падає перша підозра керівників компанії
в разі викрадення інформації. Адже часто так і виходить, що звільняється
співробітник з комерційного відділу прихоплює з собою копію бази клієнтів, а
співробітник відділу фінансів - копію бази фінансів. Тимчасові стажисти також
можуть бути віднесені до даної категорії. Головною особливістю є те, що загроза
даних інсайдерів є ненаправленою, тобто такі порушники часто не підозрюють про
конкретну цінність викраденої ними інформації, а також іноді не мають уявлення
про те, як вони збираються використовувати її у подальшому. Імітація виробничої
необхідності - улюблений спосіб, що дозволяє скопіювати конфіденційну
інформацію даними співробітниками. При цьому, їх досить часто помічають за
такою роботою.
Їх головна
відмінність від скривджених інсайдерів полягає в тому, що нелояльні
співробітники не приховують сам факт викрадення інформації. Таким чином,
скривджені і нелояльні інсайдери є менш небезпечним типом з зловмисних
співробітників, оскільки вони самі вибирають об'єкт викрадення, а також адресата, якому збираються даний об'єкт передати. Так, який звільнився
комерційний директор компанії, забравши із собою базу даних клієнтів, не
обов'язково влаштується в компанії, яка конкурує з його минулим роботодавцем.
Викрав цінні креслення стажер, може надалі не знайти їм застосування, а
розголошення засобам масової інформації «сенсація» зовсім може і не виявитися
такої. У таких випадках викрадена інформація не завдасть шкоди її власникові і
викрадення являє собою непряму загрозу. Також важливо знати і те, що нелояльні
і ображені інсайдери навряд чи будуть шукати будь-які технічні шляхи, що
дозволяють їм усунути неможливість викрадення інформації, оскільки найчастіше
вони не володіють достатніми знаннями в технічній галузі.
5) інсайдер,
що підробленні
Проте,
ситуація з нелояльними і скривдженими інсайдерами змінюється корінним чином,
якщо вони попередньо вийшли на зв'язок з покупцем інформації, передбачуваної до
викрадення. Головна відмінність буде полягати в цілях: у інсайдерів, що
підроблені і впроваджених, це буде прагнення заробити гроші за передачу
інформації. Підроблені і впроваджені інсайдери не визначають мету викрадення
інформації самостійно, це робить за них потенційний замовник. Також як і у
випадку з ображеними співробітниками, підробляє інсайдер буде прагнути якомога
надійніше приховати свої дії від сторонніх спостерігачів, однак при цьому цілі
скривджених і підроблених кардинально різняться. Мотивувати підробляти
інсайдерів можуть різні причини: від бажання заробити суму, якої бракує їм для
довгоочікуваної покупки, до дії з примусу, коли такі співробітники шантажують
тими чи іншими структурами і вже не мають іншого вибору, як викрасти
конфіденційну інформацію, тому що в протилежному випадку на кону стоїть їх
власне життя чи здоров'я або життя і здоров'я членів їх сім'ї. З цієї причини,
підроблений інсайдер не зупинить своїх спроб у разі технічних бар'єрів, що
перешкоджають отриманню інформації. У самих крайніх випадках такі співробітники
можуть піти навіть на підкуп інших співробітників компанії.
6) впроваджений
інсайдер
Шпигунство
сьогодні використовується не тільки для одержання секретів державної ваги, але
також і в промисловій сфері. Для того, щоб
краще зрозуміти, що таке впроваджений співробітник, наведемо такий
приклад. Системному адміністратору однією з процвітаючих компаній раптово
надходить пропозиція перейти на нову роботу. Пропозиція така приваблива, що відмовитися від неї
просто неможливо, оскільки і заробітна плата, і соціальні гарантії, і графік
роботи такі найкращі. У той же самий час, поки системний адміністратор збирається
на нове робоче місце, у відділ кадрів надходить блискуче резюме не менш
блискучого співробітника такого ж профілю та спеціальності. Від цього фахівця
відмовитися також не можливо, тим більше що він як раз вчасно - на місце
системного адміністратора, що раптово вирішив
піти. Таким чином, новоявлений співробітник без праці і за короткий час
отримує доступ до конфіденційної інформації і передає її своєму замовникові, після
чого такий системний адміністратор, зрозуміло, зникає. В результаті, компанія
позбавляється своїх корпоративних секретів, а справжній системний
адміністратор, що пішов на привабливу пропозицію, залишається взагалі без
роботи. Головна небезпека, що виходить від впроваджених інсайдерів, полягає в
тому, що вони забезпечені необхідними технічними навичками, що дозволяють їм
подолати всі технічні бар'єри на шляху до отримання конфіденційної інформації.
Для успішного
протистояння обов'язково необхідно знати портрет зловмисника і володіти
арсеналом, для успішної боротьби з ним.