Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Портрет в интерьере - инциденты информационной безопасности

заметки на полях

При анализе различных случаев нарушений ИБ складывается вполне определенный портрет нарушителя, зачастую не соответствующий построенной модели. Самое удивительное то, что "создатели" моделей руководствуются собственным представлениям о порядочности и корысти и просто недооценивают причины и; обстоятельства действий нарушителя. Но сейчас речь пойдет не о национальных традициях и культуре, а лишь о том, как, не загружая читателя теоретическими соображениями об идеологии построения информационной безопасности, попытаться определить соотношение специфических рисков бизнеса и необходимыми мерами обеспечения защиты бизнеса с целью минимизации возможного ущерба.

Оставим на время понятия порядочности в стороне и вернемся к практике. Представим себя в роли злоумышленника, в любых обстоятельствах движимого исключительно меркантильными интересами - в транспорте - "заяц", на работе - "несун", в супермаркете - мелкий воришка. Как клиент компании мобильной связи будем искать возможность звонить бесплатно, клиент интернет-провайдера, естественно, при возможности красть трафик. А если на работе материальные ценности с неопределенной ответственностью или в своем управлении бюджет компании, как не упустить такую возможность? Примеры? Скандалы в корпорациях национального масштаба с топ-менеджерами, махинирующими с отчетностью и за короткое время ставшими миллиардерами, появление и рост конкурирующих компаний, паразитирующих на несовершенном учете "доноров" путем вывода средств за их бюджет, или всеобщая известная бесконечная череда мелких потерь, по умолчанию списываемых на накладные расходы.

Зависимость между размером ущерба и частотой повторения инцидентов

 

1 – хищение средств топ-менеджерами и/или руководством компании

2 – ошибки управления, мошенничество сотрудников среднего звена, клиентов и партнеров

3 – массовое мошенничество, ( кардеры, хакеры, спамеры, клиенты компаний и т.д.), безответственность сотрудников, физическая утрата активов и т.д.

Первых мало по причине их относительно малой численности, но ущерб, ими нанесенный, даже если не фатальный для компании и бизнеса в целом, достоин самых "тяжелых" статей уголовных кодексов. Естественно, и преследование достойное.

Вторых значительно больше. У наемных сотрудников ответственность, как правило, пропорциональна величине возможного ущерба. Случайные инциденты в этой группе - редкость, т.к. возможности ограничены при контролируемом доступе к существенным ресурсам, но, как исключение, всегда есть высокая вероятность ошибки управления, в том числе и неумышленной, результатом которой является вполне ощутимый ущерб.

И последняя группа, самая многочисленная и глубоко эшелонированная. Это и многочисленные клиенты компаний, и партнеры, и рядовые сотрудники, и даже совершенно случайные люди, вовремя оказавшиеся в подходящем месте. И, конечно, целый фронт умышленных "тружеников", крадущих помалу, но постоянно - та же вереница хакеров, кардеров, дроперов и прочих, поставивших освоение технологических уязвимостей и брешей, как успешный бизнес. Вряд ли какое полицейское ведомство будет искать пропавшие со счета десяток-другой баксов, пока не установит систему в потерях такого рода. Клиенты телекоммуникационной компании, вычислившие ошибку биллинговой системы, скорее всего, также останутся вне досягаемости закона.

Естественно, анализ мелких и многочисленных потерь начинается с анализа программно-технических средств, архитектуры информационной системы и процессов, причастных к потерям. Ошибки конфигурирования, исторически неграмотно построенные корпоративные сети и практически полное отсутствие инструкций и регламентов - наиболее распространенные причины возникновения проблем в компаниях мелкого и среднего бизнеса. Их решение, при условии реализации разработанных рекомендаций, позволяет надолго снизить уровень мелких массовых потерь и мошенничества и уменьшить неоправданные расходы бюджета компании при сохранении достигнутого уровня защищенности бизнеса. Расходы, как правило, составляют ничтожный процент от текущих потерь.

Расследование серьезных инцидентов, носящих единичный характер, приводит к необходимости создания системы информационной безопасности, включая разработку политику ИБ с детально проработанными документами, регламентирующих деятельность персонала всех уровней с четко обозначенной ответственностью в рамках возложенных обязанностей. Должностные инструкции, правила, регламенты с четко определенными правами [доступа] и обязанностями персонала, увязанные с текущими бизнес-процессами, позволяют хорошо прогнозировать последствия и разработать надежные превентивные меры для предотвращения повторения таких инцидентов.

Каждое новое расследование инцидента информационной безопасности лишь добавляет новые оттенки к известному портрету, но для пострадавшей компании такой "гром среди ясного неба" всегда открытие. Материалы расследования и разработанные детальные рекомендации помогают определить успешную стратегию в организации ИБ и не распылять силы и средства на несущественные угрозы. Понятно, для сохранения информационных активов, находящихся в управлении рядового персонала, важны как технические средства, так и организационные мероприятия, в то время, как мотивация управленческого персонала - мера исключительно организационная.

В.Б.

© Центр Сетевой Безопасности Арнис, 2008

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница