Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 29

Пример: почтовый архив против инсайдера

Партнерство InfoWatch и LETA IT-company

Причины внедрения

Последствия внедрения

Итоги

Глава 29. Пример: почтовый архив против инсайдера

ЗОЇ

LETA 1Т-сотрапу является многопрофильной сервисной компанией. Она решает задачи своих клиентов с помощью передовых информационных технологий и являет­ся оператором ИТ-услуг. Компания специализируется на защите информационной среды заказчика, управлении ИТ-активами предприятия, веб-интеграции бизнес-процессов.

Цель деятельности LETA IT-company на рынке — оказание помощи своим клиентам в уменьшении рисков, снижении издержек и повышении конкурентоспособности ИХ бизнеса с помощью внедрения наиболее современных ИТ-решений, в наиболее пол­ной мере соответствующих задачам конкретного клиента, будь то крупная коммер­ческая или государственная организация или средняя компания.

Постоянными клиентами LETA IT-company являются: АК «Алроса», МТС, банк «Уралсиб», ОАО «СУАЛ-холдинг», банк «Русский Стандарт», Высший арбитраж­ный суд РФ, Государственный кремлевский дворец, Госдума РФ, ФГУП «Гознак*, ОАО «Московский индустриальный банк», ОАО «Мосэнерго», ОАО «Метро-гипротранс», «Номос-Банк», «Сумитомо Корпорэйшен», ООО «Уренгойгазпромж

Одним из основных направлений системной интеграции LETA IT-company явля­ется поставка и внедрение продуктов для защитыот утечек и инсайдеров. Именно поэтому компания имеет статус бизнес-партнера InfoWatch и предлагает своим клиентам комплексное решение InfoWatch Enterprise Solution.

Партнерство InfoWatch и LETA IT-company

В марте 2005 г. компания InfoWatch присвоила LETA IT-company статус офици­ального партнера уровня InfoWatch Security Integrator. В частности, сотрудниче­ство InfoWatch и компании LETA подразумевает совместное проведение работ по аудиту ИТ-безопасности, консультаций по улучшению защищенности информа­ционных систем, совместное продвижение продуктов и услуг компаний.

Статус InfoWatch Security Integrator (IWSI) обеспечивает ряд преимуществ для эффективных продаж и внедрения комплексных решений для внутренней И Б. Партнер получает право самостоятельно проводить работы по обследованию информационной системы заказчика и интеграции необходимых технологий InfoWatch. При этом IWSI имеет возможность пользоваться ресурсами консал­тинга и технической поддержкой разработчика и других партнеров InfoWatch, про­граммой рекламно-маркетинговой поддержки, готовыми программами обучения для собственных партнеров и заказчиков. С другой стороны, InfoWatch гаранти­рует заказчику высокий уровень качества услуг партнера и результативность вне­дренных проектов.

В соответствии с условиями соглашения компания LETA выполнила требоимпия по сертификации сотрудников. В конце февраля в учебном центре InfoWuU'h от компании LETA прошли обучение четыре специалиста но продажам, ОДИН техни­ческий консультант и один инженер по внедрению решений InfoWatch, Н настои* щий момент компании уже приступили к внедрению системы иаїЦИТМ конфидм* циалыюй информации па нескольких крупных российских предприятиях,

Причины внедрения

Как добросовестный поставщик наиболее сложных решений ИБ, компания LETA в первую очередь «обкатывает» поставляемые продукты на своей собственной ИТ-инфраструктуре. Кроме того, статус бизнес-партнера Info Watch позволяет систем­ному интегратору совершенно бесплатно внедрять комплексное решение Info Watch Enterprise Solution для защиты собственной конфиденциальной информации от инсайдеров. Таким образом, руководство компании LETA ставило своей целью про­верить продукты Info Watch в действии и убедиться в их эффективности.

В результате было принято решение о внедрении всех модулей, входящих в состав комплексного решения Info Watch Enterprise Solution.

Info Watch Traffic Monitor — программный модуль, позволяющий выявить и пред­отвратить утечку через почтовый канал и Интернет. Продукт фильтрует НТТР-и SMTP-трафик, не позволяя переслать конфиденциальные документы через корпоративную и веб-почту, форумы, чаты и т. д. Модуль в масштабе реального времени блокирует пересылку классифицированных сведений, ведет подробный отчет о произведенных операциях и сообщает офицеру ИТ-безопасности обо всех нарушениях политики.

Info Watch Net Monitor — программный продукт для контроля за обращением кон­фиденциальной информации на рабочих станциях и файловых серверах. Модуль в масштабе реального времени отслеживает операции с файлами (чтение, измене­ние, копирование, копирование в буфер обмена, печать и др.) и сообщает офицеру ИТ-безопасности о тех из них, которые не соответствуют принятой политике ин­формационной безопасности. Кроме того, в состав продукта входит Info Watch Device Monitor, позволяющий обеспечить контроль над доступом пользователей к коммуникационным портам и устройствам ввода-вывода рабочей станции (при­воды, съемные накопители, COM-, LPT-, USB-, IrDA-порты, Bluetooth, Fire Wire, Wi-Fi). Продукт ведет подробное протоколирование всех действий с файлами и сообщает ответственным лицам о случаях нарушения.

і Info Watch *Storage — программный продукт для создания архива электронной корреспонденции в рамках корпоративной почтовой системы с возможностью дальнейшего анализа. Кроме того, модуль позволяет архивировать абсолютно весь трафик, пересылаемый через канал Интернета.

Іоследствия внедрения

лагодаря грамотному подходу к внутренней ИБ и использованию комплексного мнения Info Watch Enterprise Solution, компания LETA смогла уже в течение пер-.IX нескольких месяцев эксплуатации продукта выявить и обезвредить инсайдера.

ж показали результаты внутреннего расследования, один из менеджеров по ра-•те с клиентами пытался проводить контракты на поставку программного обес-чения не через своего законного работодателя, а через им же созданную под-авиую компанию. Если бы инсайдеру удалось привести свой план в действие,

Глава 29. Пример: почтовый архив против инсайдера

303

то LETA понесла бы серьезные финансовые потери, связанные с недополучением прибыли и утечкой сведений о заказчиках. Возможно, что удар по репутации и пло­хое паблисити причинили бы фирме еще больший ущерб.

Между тем злоупотребление было оперативно и заблаговременно выявлено с помо­щью комплексной системы предотвращения утечек Info Watch Enterprise Solution. Совместное использование модулей Info Watch Traffic Monitor и Info Watch * Storage позволило вначале определить подозрительную активность инсайдера, а потом со­брать необходимые доказательства его вины.

Вначале офицер И Б компании LETA получил предупреждение о подозрительной активности сотрудника от Info Watch Traffic Monitor. Отметим, что система фильт­рации почтового и веб-трафика не зафиксировала утечки конфиденциальной ин­формации, так как инсайдер и не пытался выслать ее за пределы ИТ-инфраструкту­ры. Между тем он вел подозрительные переговоры по электронной почте, поэтому Info Watch Traffic Monitor просигнализировал офицеру ИТ-безопасности.

Однако доказать вину инсайдера помогло лишь изучение почтовых сообщений, ко­торыми он обменивался с потенциальными заказчиками. Для этих целей пришлось сделать несколько аналитических выборок из Info Watch * Storage. Правда, уже пос­ле первых отсортированных сообщений стало ясно, что в компании завелся нечис­тый на руку менеджер по продажам. Как только подозрения оправдались — об ин­циденте тут же было сообщено начальству.

Таким образом, организации удалось защитить свой самый ценный информацион­ный актив — клиентскую базу. Уличенный в нарушении корпоративной этики и трудового договора, который предусматривал положение о конфиденциальности, инсайдер возместил ущерб и был уволен. При этом руководство LETA решило не замалчивать инцидент, а проинформировать общественность и другие компании, чтобы инсайдер не смог найти себе новую жертву.

Итоги

Важно отметить, что технические средства мониторинга почты были удачно дополне­ны необходимыми организационными мерами. В компании была внедрена политика ИБ и Положение о конфиденциальности. Каждый сотрудник в трудовом договоре обязался хранить коммерческую тайну работодателя и документально передать все данные, созданные на рабочем месте в собственность компании.

«Клиентская база — один из активов любой коммерческой компании, который служит благодатной почвой для злоупотреблений и нечестной конкуренции. Другое дело, на­сколько надежно этот актив защищен, — комментирует Сергей І Іильцоп, генераль­ный директор LETA IT-company. — Этот случай тпиыал, что современные достиже­ния технологий по обеспечтию информационной безопасности гюжишют эффективно оградить бизнес от инсайдеров при долитом внимании со стороны руководства*.

Проблема умышленных действий служащих, наносящих пред государственным и коммерческим организациям, далеш не нона. Иа an недостатки контроля во многих федеральных министерствах и ведомствах в свободной продаже находятся десят­ки баз данных, по которым можно составить полный цифровой портрет любого гражданина РФ. Нередки и случаи утечки данных из коммерческих компаний. Однако ранее в России не было ни одного публичного случая выявления винов­ных и предотвращения утечки.

«Инцидент в компании LET А примечателен тем, что руководство успешно преду­предило действия инсайдера и честно, открыто заявило о выявленном нарушении. Нечестные сотрудники есть в каждой компании, но далеко не каждый в состоянии их выявлять и защищать свои информационные активы, — комментирует Евгений Преображенский, генеральный директор InfoWatch. — Многие компании предпочи­тают просто умалчивать и забывать о подобных инцидентах. Однако бездействие не латает дыры, но гарантирует рецидивы».