Organizacija: kaip įveikti iš vidaus kylančius pavojus?
Pastaraisiais metais Internetas daugeliui kompanijų tapo pagrindine informacijos perdavimo priemone. Tokių kompanijų darbas dažnai taip priklauso nuo Interneto prieigos, kad net trumpalaikės techninės problemos sukelia jei ne prestižo sumenkėjimą, tai iškart juntamus finansinius nuostolius – arba abu iškart. Bet kurie į vartotojų kompiuterius iš Interneto peržiūrai ar redagavimui atsisiunčiami dokumentai taip pat gali būti potencialiai pavojingais. Išaugo ne tik dėl naudojimosi internetiniais resursais kylančių pavojų skaičius, bet ir kompanijų priklausomybė nuo internetinių resursų, todėl daug kalbama apie tai, kad šiuolaikinių apsaugos priemonių naudojimas tampa objektyvia būtinybe.
Deja, dauguma kompanijų, realizuodamos savo informaciniam saugumui užtikrinti skirtus projektus, apsiriboja tik tarptinkliniais ekranais ir antivirusinėmis programomis. Žinoma, tarptinkliniai ekranai ir antivirusinės priemonės – absoliuti būtinybė, tačiau tai negali pakeisti kitų, ne mažiau svarbių apsaugos instrumentų, pvz., web ir el. pašto trafiko filtravimo, įsibrovimų aptikimo priemonių ir tinkamo konfidencialių duomenų šifravimo. Dar daugiau – tarptinkliniai ekranai labiau orientuoti į apsaugą nuo išorinių pavojų, o juk šiuo metu kompanijoms tenkančių vidinių grėsmių skaičius – žymiai didesnis.
Darbuotojų elgesys
Šiandien kompanijoms kyla ne vienas pavojus, susiję su darbuotojų elgesiu. Jų sąmoningi ar netyčiniai veiksmai vis dažniau pažeidžia tinklo saugumą, įgalindami nutekėti konfidencialią informaciją. Vidiniai pavojai dažniau žymiai labiau tikėtini už išorinius, tačiau dėl to, kad nedidelė nukentėjusių kompanijų dalis noriai dalijasi informacija su visuomene – taip jos bando išsaugoti savo prestižą – tokių incidentų statistika – tikrai nepilna.
Tai, kad prieš kelerius metus į vieną ar kitą informacinės saugos faktorių buvo galima užmerkti akis, šiandien – visiškai nepriimtinas elgesys, pvz., darbuotojams lankantis etikos požiūriu abejotino turinio svetainėse, jose esanti informacija kolektyvui gali daryti neigiamą poveikį, o priėjimas prie pornografinių resursų gali baigtis kompanijai pareikštais teisminiais ieškiniais ir gero firmos vardo praradimu.
Šiandien labai populiarūs informaciniai portalai, siūlantys nemokamas el. pašto dėžutes, taip pat gali tapti problemų šaltiniu. Jūsų korporacinis pašto serveris gali turėti įdiegtas antivirusines programas, tačiau neatliks savo funkcijos, jei paštą darbuotojai skaitys, naudamiesi naršyklės sąsaja ir nemokamomis kitur esančiomis pašto dėžutėmis.
Įvairios programinės įrangos atsisiuntimas ir tolesnis savarankiškas įdiegimas kompiuteryje kelia pavojų ir pačiam kompiuteriui, ir visam tinklui. Užkrėstos programos gali turėti šnipinėjimo [spyware] funkcijų, be pertraukos rodyti reklamą [adware] arba turėti kitų žalą darančių funkcijų [malware]. Aišku, kenkėjiško kodo turėjimo atžvilgiu netgi „švari“ PĮ gali turėti skylių, atveriančių spragas sistemos saugume (tai taikytina ICQ ir kitoms greito keitimosi pranešimais programomis). Programinė įranga gali užimti šimtus megabaitų, ir tokių duomenų kiekių atsisiuntimas atsiliepia Internetui tenkančių išlaidų augimu bei padidėjusiai ryšių kanalų apkrovai.
Kompiuteriai ir Internetas – tai darbo našumo padidinimo įrankis, tačiau, kaip ir bet kuris kitas instrumentas, naudojant neteisingai, jis duoda visai priešingą rezultatą. Pramogų svetainių lankymas darbo metu, jumoristinių pranešimų ar „laimės laiškų“ siuntinėjimas biuro bendradarbiams ir kiti piktnaudžiavimai prieiga prie Interneto mažina našumą ir skatina betikslį darbo laiko švaistymą.
Elektroninis paštas – ypatingai patogi apsikeitimo informacija priemonė. Taip pat ir konfidencialia. Taip pat – ir ta, kuri visiškai neturėtų išeiti už biuro ribų. Tokiai informacijai priskiriamos klientų duomenų bazės, finansinės atskaitos, tyrimų rezultatai, sutartys ir t.t. Kuriant apsaugos nuo vidinių pavojų sistemą, svarbu nustatyti dokumentus, kurie neturi būti persiunčiami elektroniniu paštu už kompanijos vidinio tinklo [intraneto] ribų. Tai atlikus, šią politiką galima realizuoti jau techniniu lygiu, pasitelkus tokias priemones, kaip, pvz., SurfControl E-mail Filter PĮ.
Įvertinkite esamą riziką
Bendraujant privačiai, dauguma kompanijų atstovų pripažįsta, kad jų informacinios saugumo lygis ne toks aukštas, koks jis turėtų būti. Saugumo politikos priėmimas, instrukcijos vartotojams ir IT personalo kvalifikacija dažnai atsilieka nuo techninės programinės ir aparatinės įrangos plėtotės. To rezultatas – saugumo politika ir visos apsaugos sistemos auditas atnaujinama ir atliekama jau „po viskam“.
Prieš tai, kai imsitės ką nors apsaugoti, būtina išsiaiškinti, kam būtent gręsia pavojus. Neįmanoma planuoti apsaugos, nežinant, ko reikėtų saugotis. Esamų pavojų analizė – tai procesas, kurio metu nustatomi saugotini objektai (pavyzdžiui, kurios nors rūšies dokumentai). Pavojų analizės procesą sąlyginai galima suskaidyti į kelias dalis:
1.Saugotinų objektų identifikacija;
2.Objekto reikšmės nustatymas, įskaitant nuostolius, kuriuos kompanija patirtų dėl nesankcionuotos prieigos;
3.Saugotinam objektui tenkančių pavojų įvertinimas;
4.Pavojų įvardinimas;
5.Apsaugos prioritetų paskirstymas atitinkamai kiekvieno objekto svarbumui.
Laikydamiesi tokio plano, Jūs galite nustatyti potencialiai neapsaugotas Jūsų informacinės sistemos dalis ir paruošti jų apsaugos planą. Neverta numoti ranka į pavojus, Jūsų kompanijai tenkančius iš vidaus. Labai dažnai kompanijos susitelkia ties išoriniais pavojais ir imasi priemonių prieš įsilaužėlius ir virusus, įgnoruodamos labiau tikėtinus vidinius incidentus, o juk didžioji problemų dalis vienaip ar kitaip susijusi su tikslingais ar netyčiniais kompanijos informacinės sistemos vartotojų veiksmais.
Vidiniai pavojai
Naujausi tyrimai rodo, kad iki 80% incidentų, susijusių su informacinio saugumo pažeidimais, sudaro vieni ar kiti kompanijos informacinės sistemos ar techninio personalo veiksmai. Tų pačių tyrimų išvadose sakoma apie tai, kad, jei kompanijos kompiuterinių tinklų ataka iš išorės pridaro maždaug 60000 dolerių žalos, tai kompanijoms iš vidaus atliekamos atakos – per 2.7 milijardo dolerių nuostolių!
Iš vidaus kylančios grėsmės pagal pavojų viršija netgi išorines didelio masto įsilaužėlių atakas. Kompanijoje dirbantis piktavalis turi motyvą, žinių ir galimybę padaryti žymiai daugiau žalos, negu bet kas už kompanijos ribų, nes išankstinės informacijos apie gerai apsaugotą sistemą rinkimui prireikia daug jėgų ir laiko. Firmos darbuotojas dažniausiai jau turi žinių, gautų dirbant kompanijoje, todėl didelę žalą gali padaryti net po to, kai paranda fizinę prieigą prie saugojamos sistemos.
Realizuotų vidinių atakų pavyzdžiai
1996 m. liepos 31 d. Omega kompanijos gamyklos centriniame failų serveryje buvo aktyvuota programinė „laikrodinė bomba“. Suveikusi, programa iš serverio negrįžtamai ištrynė duomenis ir programas, kurie buvo kritiškai būtini esamų kompanijos gamybinių operacijų atlikimui. Kompanija buvo padaryta 10 mln. JAV dolerių žala. Tai iš esmės pakeitė ilgalaikius kompanijos planus, be to, buvo atleista dalis darbuotojų. Programą parašė Timas Loidas, sistemų administratorius, Omega kompanijoje pradirbęs daugiau, kaip vienuolika metų. Per šį laikotarpį Timas sukaupė pakankamai žinių ir darbinės patirties, tačiau, augant kompanijai, jis po truputį ėmė prarasti įtaką ir galiausiai buvo atleistas. Kaip bebūtų, įgytos žinios ir patirtis įgalino jį sukurti ir paleisti „Trojos arklio“ tipo programą.
Konfidencialaus elektroninio pranešimo „nutekėjimas“ ilgam laikui pablogino amerikiečių ir Japonijos vyriausybės tarpusavio santykius. Tuo metu buvo kilęs konfliktas tarp Okinavos salyno gyventojų ir jame savo karines bazes turinčio JAV Karinio Jūrų Laivyno – buvo užfiksuoti keli amerikiečių fizinio susidorojimo su japonų darbininkais atvejai, tačiau jis dar paštrėjo po to, kai į vietinę spaudą pateko Okinavoje tarnaujančio amerikiečių leitenanto Hailstono el. laiško kopija, iš kurios tapo aišku, kad šis ypatingai nepagarbiai atsiliepia apie ne vieną populiarų salos visuomeninį veikėją, taigi, atsitiktinis ar tikslingas šio laiško persiuntimas spaudai sukėlė rimtų padarinių.