Способы борьбы малого предпринимательства с инсайдерскими атаками баз данных в Российской Федерации

Задолго до того, как организации перешли на цифровые носители файлов, атаки на различные данные и систему организации осуществлялись в основном инсайдерами – текущим или бывшим сотрудником, подрядчиком или деловым партнером. В конечном итоге почти каждое рабочее место стало оборудовано компьютерами и мобильными устройствами, причем большинство из этих устройств подключено к внутренним сетям и к ресурсу сети интернет, что позволило наносить атаки, находясь за пределами организации [1,с. 299]. С тех пор отделы ИТ-компании потратили много денег и времени, пытаясь оградить активы от вредоносных программ и злоумышленников (хакеров), не обращая внимания на значительную опасность, про которую многие забыли, которая все время присутствовала: угроза изнутри.

Сущность инсайдерской угрозы

Угроза изнутри (по мнению ИТ – промышленности), или инсайдерская угроза – это лицо, имеющее авторизованный доступ к сети, системам и/или данным организации, которое намеренно или небрежно эксплуатируют этот доступ, что приводит к краже, удалению данных, уничтожению систем, а также продажи данных конкурентам [5, с. 11].

Согласно отчету «Стоимость от инсайдерских угроз в 2016 году», проведенной Dtex Systems, средняя стоимость одного инцидента ущерба от небрежного сотрудника или подрядчика составляет 207933долл. США. Ущерб от вредоносных программ составляет в среднем $ 347130, а кража учетных данных увеличивает ущерб до $ 483093. В докладе отмечается, что причиной большинства инцидентов является халатность – 588 из 864 зарегистрированных случаев по зарегистрированным данным по США на 2016 год [6].

Такого рода инсайдерские инциденты, связанные с безопасностью, приводят к потере частной и конфиденциальной информации и могут нанести значительный ущерб репутации организации, но в большинстве случаев это может быть предотвращено. Существуют нетехнологичные решения и высокотехнологичные решения данной проблемы.

Нетехнологичные решения

Предотвращение угроз, связанные с инсайдерской угрозой, можно осуществить путем реализации следующих мер:

– создание новой или модернизация старой политики использования и хранения данных;

– обучение сотрудников;

– регулярно просматривание привилегии сотрудников;

– создание новых формы подотчетности с менеджерами [2, с. 177].

Политика использования данных, обычно являющаяся частью политики допустимого использования (AUP: Accepta- ble Use Policy), разъясняет, какие действия могут осуществлять сотрудники, а какие не могут с информацией, принадлежащей или доверенной организации, в которой они работают, ссылаясь на безопасность и конфиденциальность [3, с. 35]. Сотрудники должны быть ознакомлены с политикой использования данных и проинформированы о целях защиты данных и конфиденциальности, а также о последствиях нарушения правил.

Что касается привилегий пользователей, Майк Чапл (Mike Chapple), старший директор по ИТ технологиям в Университете Нотр-Дама, говорит, что «один из самых важных – и чаще всего пропускаемых – контроль – это частые проверки учетных записей пользователей». Это иногда помогает находить «проблемных сотрудников» и предотвращать инсайдерские атаки [4, с. 83].

По словам Джеффа Дженкинса (Jeff Jenkins), вице-президента и главного специалиста по интернет-безопасности компании First Advantage, еще одним эффек- тивным нетехнологичным решением является установление культуры подотчетности менеджерам с помощью аттестаций (или других экзаменов), для того, чтобы менеджеры понимали, что они несут ответственность за действия своих сотрудников.

Высокотехнологичные решения

В случае если организация обладает высоким бюджетом, то можно предпринять следующие методы для предотвращения инсайдерских угроз:

– предотвращение потери данных (утечек) (Data Leak Prevention);

– идентификация и управление доступом (Identity and Access Management);

– мониторинг активности пользователей (UAM);

– аналитика поведения пользователей (User and Entity Behavior Analytics) [2, с. 180].

Метод DLP. С помощью данного метода становится возможным захватывать данные, которые соответствуют очевидным шаблонам, таким как номера кредитных карт или номера социального страхования, а также может идентифицировать некоторые выборочные файлы.

Метод IAM. ИТ-администраторы используют IAM для контроля доступа пользователей к защищенным системам, приложениям и документам, как правило, с помощью единого входа (SSO). С помощью SSO пользователь может войти в сис- тему и получить доступ к различным приложениям в сети.

Метод UAM. UAM отслеживает ИТ-среду организации и собирает данные об активности пользователей в реальном времени.

Метод UEBA. UEBA проскальзывает через большие объемы данных, чтобы найти шаблоны ненормального «поведе- ния», которые могут указывать на угрозу внутри компании. Этот тип решения относительно дорогой и требует некоторой экспертизы от имени ИТ-персонала, который должен расшифровывать возможные предупреждения и отчеты.

Заключение

Подытожив все вышесказанное, можно сделать вывод, что даже не обладая высокими показатели финансовых средств, можно огораживать свою организацию от инсайдерских атак, или даже полностью искоренить их. В случае, когда финансовые результаты компании высоки, а следственно и риски инсайдерских атак выше и будут более затратными для организации, то тут уже стоит задуматься о высокотехнологичных решениях.