Инсайдер - портрет на фоне банка
Повторяющиеся скандалы вокруг продажи на российском нелегальном рынке закрытых информационных баз, потеря данных о клиентах то в одном, то в другом крупном зарубежном банке, торговля инсайдерской информацией - все это реалии сегодняшнего дня. И вряд ли они объясняются только возросшей активностью и мастерством хакеров. Специалисты считают, что главная причина носит "внутренний" характер.
Немного о дефинициях
Страшилки недавнего прошлого о хакерских атаках на системы организаций для подавляющего числа систем неактуальны - обычно внешние физические и логические границы организаций хорошо защищены. Чего часто не скажешь о внутренней информационной инфраструктуре. Нередко доступ к любым информационным активам имеют едва ли не все сотрудники банка, в том числе и те, кому по роду деятельности они не нужны. Что касается порядка работы с этими активами, то в лучшем случае он хоть как-то формализован, во всех же остальных - отсутствует как таковой.
Поэтому в банковский язык все активнее входит понятие "инсайдер" (от англ. "inside" - "внутри"), до сих пор относившееся преимущественно к сфере рынков ценных бумаг (в США определено в 1933 году, в Европе - с 90-х годов прошлого века). "Виновата" в этом технологическая революция. Если прежде служебная информация занимала множество шкафов и стеллажей, теперь она умещается на нескольких дисках, так что "скачать" ее на электронный носитель и вынести за пределы банка - почти минутное дело.
Нормативными документами Банка России понятие "инсайдер" определено еще в Инструкции N 1 "О порядке регулирования деятельности банков", где инсайдерами названы "физические лица: члены Совета директоров банка (Наблюдательного совета), лица, выполняющие функции единоличного исполнительного органа (директора, президенты, председатели) и их заместители, члены коллегиального исполнительного органа, члены кредитного совета (комитета), руководители материнских обществ и другие лица, которые могут повлиять на решение о выдаче кредита (сотрудники банка, которые обладают реальными возможностями воздействовать на характер принимаемого решения (например, в функциональные обязанности которых входит подготовка предложений о выдаче кредитов, подготовка и оформление договоров о выдаче кредитов и т.д.), а также руководители дочерних обществ, родственники инсайдеров (к категории родственников инсайдеров относятся лица, определенные статьей 20 Кодекса законов о труде Российской Федерации) и лица, ранее соответствовавшие критериям, определенным для инсайдеров".
В более поздней Инструкции N 110-И "Об обязательных нормативах банков" об инсайдерах сказано лаконично: "физические лица, способные воздействовать на принятие решения о выдаче кредита банком". Но сегодня даже это широкое определение, пожалуй, оказывается узковатым.
Как считает Владимир Тарачев, заместитель председателя Комитета по кредитным организациям и финансовым рынкам Государственной Думы РФ*(1) "в российском законодательстве вообще отсутствует адекватное определение инсайдерской информации. Однако существуют невнятные определения служебной, внутренней, конфиденциальной, коммерческой информации".
За рубежом, где автоматизация и информатизация развивались более быстрыми темпами, чем в России, соответственно раньше встала и проблема инсайдерских угроз. Причем столкнулись с ней не только в "мирных" сферах. Министерство обороны США еще в 1998 году учредило специальную комиссию для борьбы с этим злом. Инсайдера квалифицировали как "любое лицо, которому разрешен или был разрешен доступ к информационной системе Министерства обороны, будь это военнослужащий, гражданский служащий Министерства обороны или служащий другого федерального агентства или частного сектора".
Американцы выделили несколько категорий инсайдеров:
служащий - гражданский или военный, подрядчики (например, при привлечении внешних организаций), работающий на полную ставку, работающий на неполную ставку, временный;
пользователи, имеющие доступ через сети - другие федеральные агентства (исполнительные, законодательные), подрядчики (например, использующие системы участия в конкурсах), коллеги/университеты, зарубежные партнеры, агентства штатов и местные;
провайдеры средств, систем и услуг информационных технологий.
Видимо, решению интересующей нас проблемы отвечает в большей степени именно подобный подход (он учитывает возникающие отношения). Поскольку термин "инсайдер" используется за пределами таких традиционных областей, как рынки ценных бумаг, логично трактовать и понятие "инсайдерской информации" более широко - информация служебная, внутренняя, конфиденциальная, коммерческая.
К сожалению, нет российской статистики фактов злоумышленной инсайдерской деятельности в банковской и финансовой сферах, позволяющей сформировать "портрет" внутреннего нарушителя. Однако за рубежом эти факты отслеживают и накапливают специализированные службы. Исследования*(2) показали, что ситуации в банковской сфере имеют свои особенности.
Утечка - дело "нехитрое"
Большинство инцидентов, исследованных в банковском и финансовом секторах, не были технически тонкими или сложными. Обычно использовались не уязвимость информационных систем или сетей, а правила бизнеса или политика организации. Виновниками же оказывались лица, не имеющие отношения к технике или разбирающиеся в ней на уровне рядового пользователя.
В 87% случаев инсайдеры использовали простые команды зарегистрированных пользователей. Лишь иногда применялись специфические технические знания о мерах безопасности систем. Нет свидетельств того, что какой-либо инсайдер сканировал компьютерные системы для обнаружения уязвимостей для их последующего использования.
В 70% случаев инсайдеры использовали или пытались использовать системные уязвимости в финансовых программах, процессах или процедурах (например, в проверке бизнес-правил). В 61% случаев использовали уязвимости, оставленные разработчиками в конструкции аппаратных средств, программном обеспечении или сетевой инфраструктуре.
В 78% случаев инсайдерами были авторизованные пользователи. В 43% случаев инсайдер использовал свое имя и пароль, а в 26% - имя и пароль других сотрудников. Использовались и необслуживаемый терминал, имеющий подключение к системе, и методы социального инжиниринга (например, получение доступа путем манипуляции персоной или персонами, которые могут разрешить или облегчить доступ к системе или данным).
Только 23% инсайдеров использовали специфические технические знания*(3), а 17% обладали уровнем доступа системного администратора.
И, наконец, 39% инсайдеров не знали о существовании технических мер безопасности в организации.
Цифры красноречивы. Для большинства инцидентов в банковском секторе не нужно особенного технического мастерства, и они совершаются персоналом не техническим, а "ИТ-малограмотными" сотрудниками функциональных подразделений.
Вывод напрашивается сам собой. Банку важно обеспечить безопасность своих информационных активов от любых авторизованных пользователей: от лиц, ответственных за ввод данных, до системных администраторов и руководителей среднего и более высокого звена. Это в принципе вполне прогнозируемо. Например, в положениях введенного в действие стандарта Банка России СТО БР ИББС-1.0-2004*(4) отмечается, что "наиболее актуальные источники угроз - на уровнях операционных систем, систем управления базами данных, банковских технологических процессов".
Проведенные исследования показали, что требуется четкое разделение ролей, прав и обязанностей персонала и контроль их соблюдения. Например, в одном из зафиксированных случаев инсайдер, работавший на терминале с кредитными картами, использовал методы социального инжиниринга, чтобы заполучить аутентификационную информацию от персонала, выпускающего кредитные карты. Для этого оказалось достаточно изобразить (подкрепив обман поддельным удостоверением) представителя авторизованного клиента, которому нужна помощь в ремонте терминала. Получив нужную информацию, инсайдер просто перепрограммировал терминал и стал... кредитовать свою кредитную карту.
Все идет по плану...
Большинство инцидентов обдумывалось и планировалось заранее. Как правило, имелись лица, знавшие о намерениях или планах злоумышленника - они часто были либо прямо вовлечены в планирование инцидента, либо получали выгоду от его результата.
В 81% инцидентов инсайдеры заранее планировали свои действия.
В 85% инцидентов был кто-то, кроме инсайдера, кто имел полные или частичные знания о намерениях инсайдера, его планах и/или деятельностях: лица, вовлеченные в инцидент и/или имеющие от него пользу (74%); сотрудники (22%); друзья (13%); члены семьи (9%).
В 61% случаев лица, знакомые с инсайдером, что-то знали о его намерениях, планах или его даже о его деятельности.
В 31% инцидентов присутствовали признаки того, что инсайдер что-то планирует: хищение паролей административного уровня, копирование информации с домашнего компьютера в систему организации, встречи с бывшими сотрудниками для помощи в изменении финансовых данных.
В 35% инцидентов инсайдер вел подготовительную работу.
В 65% инцидентов инсайдеры не рассматривали возможных негативных последствий.
Итак, большинство инцидентов планировалось заранее, причем о намерениях инсайдера знали другие. А это означает, что злоумышленника можно схватить за руку еще на стадии подготовки. Профессионалы, работающие в службах корпоративной безопасности или в правоохранительных органах, располагают методами, позволяющими раскрыть умысел на самых ранних стадиях: при желании (и умении) всегда можно обнаружить определенные свидетельства планирования, подготовки или уже ведущейся деятельности.
Можно перечислить целый ряд фактов, которые должны насторожить тех, кто отвечает за информационную безопасность банка. Это, например, попытки организовать для нескольких сотрудников общий пароль или создать необязательную общую учетную запись (логин/пароль). Или, скажем, кто-то стремится получить авторизованный доступ к информационным активам за пределами ответственности, пытается обойти технические средства защиты или попросту игнорирует правила информационной безопасности...
Люди гибнут за металл
Отдельно хотелось бы выделить еще один аспект проблемы, который явно просматривается в итоговых материалах исследований. Впрочем, результат этот вполне предсказуем - большинство инсайдеров, 81%, пошли на должностное преступление ради финансовой выгоды, хотя лишь 27% испытывали в этот момент материальные затруднения. Однако никто из них, как оказалось, не хотел нанести ущерб родной компании или вред - информационной системе.
Были, тем не менее, и "этические" мотивы: реванш (23%), недовольство руководством организации, внутренними культурой или политикой (15%) и, наконец - желание заслужить уважение (15%).
Нетипичный инсайдер
Если и можно выделить какие-то типичные черты банковских и финансовых инсайдеров, то роднит их, пожалуй, лишь то, что в своих организациях они не работали на технических должностях, никогда не занимались атаками на уровне техники или хакерством и не подозревались как проблемные служащие.
Возраст инсайдеров колебался в широком диапазоне: от 18 до 59 лет. "Одиночек" больше, чем семейных (54% против 31%).
Служебное положение самое разное: в обслуживании работали 31% инсайдеров, в администрации - 23%, в профильных подразделениях 19% и 23% - в технических службах.
По мнению руководителей и коллег, очень немногие из инсайдеров были трудно управляемыми или не внушающими доверия (15 и 4%).
Правда, 19% инсайдеров коллеги воспринимали как людей "не в настроении".
Необычное поведение перед инцидентом, обратившее на себя внимание начальства или коллег, продемонстрировали 27% инсайдеров. Кто-то жаловался на маленькую зарплату, другой слишком часто звонил из офиса по сотовому. Были случаи отказа работать под началом нового руководителя или вспышки недовольства по отношению к коллегам, а то и некоторая "самоизоляция".
Более четверти инсайдеров (27%) имели в прошлом неприятности, закончившиеся арестом.
О пользе бдительности
Любопытно, что инсайдерские инциденты были обнаружены не только сотрудниками службы безопасности, но порой и людьми, не работавшими в организации. Помогали же выявить их различные процедуры, как ручные, так и автоматизированные.
В 61% случаев инсайдеры были обнаружены лицами, не отвечающими за безопасность: потребителями - 35%, контролерами - 13%, прочим персоналом - 13%.
Среди служб, выявивших инсайдеров, оказались: департамент корпоративной безопасности - в 4% случаев, службы информационной безопасности или системных администраторов - в 13% и ответственные за информационные системы (данные) - в 17% эпизодов.
По крайней мере, в 61% случаев инсайдеров поймали с помощью неавтоматизированных процедур, обратив внимание на затруднения во входе в системы и жалобы потребителей. Помогли также ручная проверка счетов и информация из внешних источников.
26% инсайдеров выявлены через аварии или сбои систем.
В 22% случаев инсайдеров выявили через аудит или мониторинг.
В 74% случаев после обнаружения личность инсайдера установили по системным записям в журналах регистрации. В 30% его личность помог установить внешний анализ сетей, систем или данных, оборудования инсайдера на работе и дома.
Как бороться с инсайдерством?
Меры, в общем-то, известны. Во-первых, неукоснительное следование принципам "знай своего клиента" и "знай своего служащего", нашедшим отражение и в международных, и в отечественных стандартах безопасности банковской деятельности*(5). Во-вторых, строгая регламентация и контроль деятельности персонала, а также - закрепленная в контрактах и трудовых договорах ответственность за возможные нарушения. В-третьих, работа с персоналом и повышение корпоративной культуры.
Понятно, что лучше не доводить ситуацию до инцидентов, а применять превентивные меры, о чем сказано выше. В цепочке событий по разбору инцидентов: "выявление - расследование - реагирование" - наиболее сложным является последний этап. Практика расследований подобных инцидентов обсуждалась в рамках IV межрегионального форума специалистов по информационной безопасности. В частности, один из выступающих сказал, что "как показывает ряд "широко известных в узких кругах" примеров, сотрудники, продавшие секретные данные конкурентам, часто избегают серьезных санкций. Даже те, чья вина в утечке секретной информации была доказана, обычно просто увольняются "по собственному желанию" без каких-либо дополнительных взысканий со стороны руководства".
Мотивов такого разрешения конфликта множество, но чаще всего имеет место банальный шантаж. Так что и с этой точки зрения желательно выявлять опасность на ранних стадиях.
А. Курило,
заместитель начальника Главного управления
безопасности и защиты информации Банка России, к.т.н.
В. Голованов,
заместитель научного директора ООО НПФ "Кристалл"
"Банковское дело в Москве", N 1, январь 2006 г.
-------------------------------------------------------------------------
*(1) В.А. Тарачев "Инсайдеры и аутсайдеры", "Индикатор", ММВБ, Ежемесячный журнал по российскому рынку капиталов. N 1(39), январь 2001 г.
*(2) "Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", National Threat Assessment Center United States Secret Service, CERTR Coordination Center Software Engineering Institute Carnegie Mellon University, August 2004.
*(3) Требовалось специальное мастерство в ИТ: программирование, создание скриптов, работа в сети, информационная безопасность, архитектура и конфигурация систем.
*(4) Опубликован в "Вестнике Банка России" N 68 от 2004 года, уточнения N 72 от 2004 года.
*(5) Принципы информационной безопасности стандарта Банка России СТО БР ИББС-1.0-2004.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Журнал "Банковское дело в Москве"
Журнал зарегистрирован в Комитете Российской Федерации по печати. Регистрационное свидетельство N 013197
Издается с 1995 г.
Учредитель: издательство "Русский салон периодики"
Адрес редакции: 109382, Москва, Люблинская ул., 127/1.
e-mail: info@bdm.ru
Телефон и факс: (495) 351-4981, 351-8862, 351-5150
Оформить подписку на журнал можно в редакции или через каталоги
Роспечати - индекс 79521
Моспочтамта - индекс 42625