Как предупредить и предотвратить действия инсайдера

Применение следующих практических советов позволит организациям сориентироваться в разнообразных методах упреждения кражи данных и смягчить риск утечки информации:

1. Периодически проводите аудит рисков ИТ-безопасности

Для компаний крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Компания должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками:

• первоначально нужно оценить имеющуюся инфраструктуру, определить критические информационные активы;
• установить текущие возможные угрозы и уязвимости, т.е. создать модель угроз для компании;
• оценить возможные денежные убытки вследствие утечки;
• выработать стратегию управления, продумать план немедленного реагирования.

Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.

2. Обучайте ваших сотрудников основам информационной безопасности

В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. Сотрудники должны понимать, что такое политики, процедуры и зачем их надо соблюдать при работе, какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники.

3. Разграничивайте должностные обязанности и привилегии доступа к данным

Если все сотрудники компании достаточно хорошо обучены принципам безопасности, и ответственность за критические функции распределена между сотрудниками, вероятность сговора между людьми с целью кражи ценных сведений резко снижается. Таким образом, эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией приводит к тому, что каждый работает только с теми документами, с которыми должен. Не забывайте, что максимальное количество процедур должно быть автоматизировано.

4. Введите строгие политики управления учетными записями и паролями

Несмотря на то, что все сотрудники компании лояльны и крайне бдительны, если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные и, при этом, не засветиться.

5. Усильте аутентификацию и авторизацию в сетях

Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Не пренебрегайте простыми и старыми способами защиты информации, но также внедряйте все более совершенные средства, особенно анти-инсайдерские средства «последнего эшелона».

6. Аккуратно деактивируйте несуществующих пользователей

Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам, чтобы пресечь естественное желание человека скопировать свой жесткий диск, закатать несколько CD со своими рабочим документами и более того, оставить за собой, к примеру, удаленный доступ к почтовому серверу, чего нельзя допустить ни в коем случае.

7. Проводите мониторинг и сбор логов действий сотрудников в режиме реального времени

Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей. К примеру, сильно увеличился внутренний сетевой трафик, возросло количество запросов к корпоративной базе данных, сильно увеличился расход тонера или бумаги. Эти и многие другие события должны фиксироваться и разбираться, так как за ними также может скрываться атака или подготовка к атаке на чувствительные данные.

8. Внимательно проводите внешний мониторинг системных администраторов и привилегированных пользователей

Обычно в компаниях производят выборочный мониторинг пользователей, используя средства удаленного рабочего стола, URL-фильтрации и систем подсчета трафика, но также важно не забывать, что и ответственный может быть в сговоре и осуществлять кражу данных. Поэтому эффективная защита от инсайдера должна находиться выше привилегированных пользователей и системных администраторов.

Помимо этих простых практических советов, следует:

9. Активно защищаться от вредоносного кода хорошими антивирусными продуктами, использующими не только реактивные (сигнатурные) методы, но и предупреждающие проактивные технологии.
10. Использовать защиту от удаленных атак и попыток взлома. Желательно, чтобы защита была многоуровневая: хотя- бы на уровне контроля пользовательских приложений и на уровне сетевых пакетов.
11. Внедрять резервное копирование и процедуры восстановления данных. В случае компрометации данных, всегда есть возможность восстановить исходные данные.

Особенно важно использовать защиту с помощью средств «последнего эшелона»:

12. Осуществляйте контентную фильтрацию исходящего сетевого трафик. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных.
13. Установите политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). Важно не забыть и беспроводные сети (IrDA, Bluetooth, WiFi).
14. Проверяйте поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии.
15. Фильтруйте все запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы.
16. Шифруйте критическую информацию на блочных устройствах и на ноутбуках.