Інсайдер: ворог всередині системи

Інсайдер: ворог всередині системи

Стаття “Інсайдер: ворог всередині системи”. (Надруковано у журналі “Бизнес и безопасность” №4/2013 (96), с.19-21, текст наведено мовою оригіналу).

Понятие инсайда

Эффективность любой защиты, прежде всего, зависит от того, насколько полно защищающаяся сторона смогла предугадать все возможные на неё атаки.

С древних времён защита эволюционировала вместе с человеком, обретая новые формы и требования к её обеспечению.

Уже в средние века мудрые военачальники понимали – недостаточно оборонять крепость с помощью рвов с острыми кольями и выливая на атакующего соперника расплавленную смолу. Все эти средства теряли смысл, если внутри самой крепости появлялся некто, кто мог не только открыть врагу ворота изнутри, но и сообщить ему важную информацию – например, наличие скрытых подземных ходов, по которым крепость получает провизию и оружие, тем самым обеспечивая возможность длительного противостояния натискам противника.

Уже тогда существовали инсайдеры.

Украинский сегмент Википедии утверждает: «Инсайдер – лицо (юридическое или физическое), которое имеет доступ к конфиденциальной информации о делах банка благодаря своему служебному положению, участию в капитале банка, родственным связям и имеет возможность использовать своё положение в собственных интересах.»

Поскольку Википедию пишут пользователи интернета, делаем вывод – перед нами общепринятое представление об инсайдерах.

Однако, а не сами ли инсайдеры написали эту статью в Википедию, дабы собственники ресурсов спали спокойно?

На сегодняшний день абсолютное большинство собственников ресурсов – финансовых, информационных, материальных – исповедуют два способа борьбы с «внутренним врагом»: либо пресекать, либо компенсировать его враждебную деятельность.

Первый способ обычно реализуется посредством выявления (но не предупреждения) собственными службами безопасности случаев хищений материальных средств, после чего составляется некий служебный документ, выводы которого (наказать, усилить, обновить и т.п.) чаще всего пылятся в архивах.

Второй способ обычно используют с целью экономии средств на работу служб безопасности – дескать, наши потери минимальны и нам проще их компенсировать из прибыли.

И всё было бы неплохо, если б не одно НО: инсайдеры и расхитители – это совершенно разные вещи.

Прежде всего, инсайдер – это человек внутри некой системы, который имеет определённый доступ к тем или иным её элементам и может их модифицировать, копировать, блокировать и т.д. с целью получения материальной выгоды как для себя, так и для третьих лиц.

Объектом инсайда является исключительно информация.

Такая позиция также подтверждается положениями ст.232-1 УК Украины, которая объектом инсайда устанавливает исключительно информацию, но об этом ниже.

Сотрудник банка, который подсмотрел клиентский пароль и похитил с карточного счёта клиента некую сумму денег для собственных нужд – не инсайдер. Инсайдером он становится в том случае, когда он информацию о способе хранения клиентских паролей передал третьим лицам – конкурентам либо банальным ворам. Это – вариант активного инсайда, когда лицо внутри системы своими целенаправленными действиями в пользу третьих лиц раскрывает особенности построения системы защиты.

Но существует также пассивный инсайд – когда лицо внутри системы используется внешними злоумышленниками без его ведома. Например – если секретные ключи сотрудники хранят на флеш-накопителях, которые выносят с рабочего места в силу слабой системы информационной безопасности, – получить доступ к такому носителю за пределами системы очень легко. Далее на такой носитель записывается некая программа, которая способна мониторить действия пользователя с ключом, и после нескольких описанных манипуляций фактически можно получить доступ извне к мощной системе банковской защиты.

Выявить инсайдера очень непросто – для этого необходим целый комплекс организационно-технических мероприятий с привлечением целого ряда специалистов в сферах финансов, ІТ, кадров, оперативно-розыскной деятельности и т.д. Ведь далеко не каждая служба безопасности может выявить инсайдера на этапе его внедрения или начальной фазы деятельности – обычно его выявляют по результатам, когда уже есть потери.

Такие меры фиксируются в специальных методиках, разработка которых на сегодняшний очень перспективна.

Нормативно-правовые аспекты пресечения инсайда

Законом Украины от 23.02.2006 №3480-IV (с последующими изменениями) в Уголовный Кодекс Украины внесена статья 232-1 «Незаконное использование инсайдерской информации».

Объектом предусмотренного частью первой указанной статьи преступления является «умышленное незаконное разглашение, передача или предоставление доступа к инсайдерской информации».

При этом, само определение «инсайдерская информация» законом не раскрывается, что делает данную статью мертворождённой – по данной статье нельзя привлечь к уголовной ответственности какое-либо лицо, поскольку невозможно квалифицировать его деяние без нормативного определения объекта преступления.

Также, ст.232-1 УК Украины устанавливает, что преступным разглашение инсайдерской информации будет только в том случае, если оно приведёт к получению «необоснованной прибыли» тем лицом, которое осуществило деяние, либо в интересах третьих лиц.

Опять-таки – как отличить необоснованную прибыль от обоснованной?

Дальше – ещё больше. Если участник фондового рынка избежал убытков благодаря инсайдерской информации – это оказывается преступление. Но ведь на этом построена вся деятельность субъектов хозяйствования. Не говоря уже о том, что на биржевых торгах цены на активы сейчас устанавливаются исходя из прогнозов их роста или падения, основанных именно на информации внутри определённого сегмента рынка. Вся аналитика рынка строится на информации.

Если предприниматель узнал, что его контрагент находится в близком к банкротству положении, и отказался от сделки с ним дабы не получить убытки – это нормальная практика. Почему же для фондового рынка закон считает это преступлением?

Примечанием 3 к указанной статье УК Украины, кроме всего, указывается, что субъектом предусмотренного статьёй преступления является должностное лицо, имеющее доступ к инсайдерской информации, а также лицо, которое получило к ней доступ неправомерным путём.

Неправомерный путь – это с нарушением закона. В данном случае речь может идти не только о нарушении банковской, коммерческой или государственной тайны. Путь может быть разным – от банального нарушения неприкосновенности жилища до более сложного вмешательства в работу автоматизированных систем и до вымогательства. Всё это УК Украины трактует как преступления.

Но ведь инсайдерскую информацию можно получить через пассивного инсайдера без нарушения закона – сотрудник банка может элементарно проговориться. И тогда постороннее лицо может использовать данную информацию, не будучи объектом преступления, предусмотренного ст. 232-1 УК Украины.

Для тех, кто не очень сведущ в юриспруденции, поясню – не всякое деяние, внешне кажущееся нам преступным, является таковым с точки зрения закона.

Статьёй 11 УК Украины чётко установлено понятие преступления – это предусмотренное УК общественно опасное виновное деяние (действие ли бездействие), осуществлённое субъектом преступления.

Буквально это значит, что для того, чтоб деяние стало преступлением, оно должно:

  1. Быть предусмотренным Уголовным кодексом. Т.е. такое деяние можно чётко квалифицировать по определённой статье УК Украины без проведения каких-либо аналогий.
  2. Представлять из себя общественную опасность независимо от того, было ли оно совершено или доведено до конца. Т.е. должен быть исчисляемый ущерб в какой-либо фиксированной форме.
  3. Быть осуществлено исключительно тем лицом, которое указано в соответствующей статье УК Украины или примечаниям к ней.

Тут следует добавить, что согласно ч.2 УК Украины специальным субъектом преступления является физическое осудное лицо, совершившее преступление, субъектом которого может быть только определённое лицо.

Таким образом, на нашем примере чётко видно – как избежать уголовной ответственности за инсайд. Для этого достаточно не быть специальным субъектом такого преступления и/или не совершать деяний, прямо указанных в ст. 232-1 УК Украины.

Что же касается самого термина «инсайдерская информация» – отсутствие его нормативного определения вообще исключает само понятие объекта данного преступления, что косвенно подтверждается статистикой из Единого государственного реестра судебных решений: ни одного приговора по ст. 232-1 УК Украины не вынесено.

Такие «дыры» в законодательстве позволяют инсайдерам избегать уголовной ответственности, а безнаказанность, как известно, порождает вседозволенность.

Единственный способ привлечь инсайдера к уголовной ответственности – собрать доказательную базу для квалификации его действий по другим статьям УК Украины (раскрытие банковской/коммерческой тайны, присвоение или растрата вверенного имущества, умышленное нанесение материального вреда, вмешательство в работу автоматизированных систем и т.п.).

Например, ст. 361-2 УК Украины «Несанкционированные сбыт или распространение информации с ограниченным доступом, которая хранится в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации» предусматривает уголовную ответственность за указанные деяния только при условии, что эта информация создана и защищена в соответствии действующему законодательству.

То есть, такая информация должна быть:

  • создана и защищена согласно требованиям Закона Украины «О защите информации в информационно-телекоммуникационных системах»;
  • соответствовать требованиям ст.21 Закона Украины «Об информации» (информацией  с ограниченным доступом является конфиденциальная,  секретная и служебная информация)

Также, ст. 362 УК Украины «Несанкционированные действия с информацией, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или сохраняется на носителях такой информации, совершённые лицом, которое имеет право доступа к ней» предусматривает уголовную ответственность за:

  • Несанкционированные изменение, уничтожение или блокирование информации, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах или компьютерных сетях  или хранится на носителях такой информации, совершённые лицом, которое имеет право доступа к ней
  • Несанкционированные перехват или копирование информации, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, если это привело к её утечке, совершённые лицом, которое имеет право доступа к такой информации.

Важный нюанс – специальным субъектом данного преступления является лицо, имеющее не просто доступ к информации, а право доступа к ней. Это означает, что не имеющий права доступа к информации злоумышленник не является субъектом данной статьи УК Украины и не может быть привлечён к уголовной ответственности по этой статье кодекса.

Поэтому более общей нормой является статья 361 УК Украины «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи», которая предусматривает уголовную ответственность за указанные действия, которые привели к утечке,   утере,  подделке,  блокированию  информации,  искажения  процесса обработки информации или к нарушению установленного  порядка  её маршрутизации.

По данной статье правоохранительными органами наработана большая практика уголовных производств и уже ушли в историю времена, когда в общих местных судах не имели опыта в рассмотрении подобных дел.

Превентивные меры

Нельзя гарантированно выявить инсайдера на этапе приёма на работу – человек может им стать через несколько лет в силу получения новых навыков, знаний о системе.

Нет смысла подозревать каждого программиста в том, что рано или поздно он взломает код банковской защиты и получит доступ к системе.

Глупо обвинять сотрудника, который недавно приобрёл дорогой гаджет или автомобиль в том, что он получил средства с помощью инсайда.

Вся эта информация подлежит тщательному сбору, анализу и проверке в конкретных обстоятельствах.

Но далеко не каждый собственник готов вкладывать большие и даже очень большие деньги в создание подразделения информационной безопасности, деятельность которого узко направлена на выявление инсайдеров и минимизацию угроз от их деятельности.

Таким образом, для эффективной борьбы с внутренним врагом необходимо:

  • понимать его наличие и оценивать возможный ущерб;
  • определить один из способов поведения: пресекать либо компенсировать;
  • создавать специальные подразделения служб информационной безопасности либо пользоваться услугами специалистов извне;
  • владеть специальными методиками комплексного выявления инсайдеров либо разрабатывать собственные;

Очень часто собственники бизнеса сознательно избегают вмешательства служб безопасности для поиска инсайдеров, поскольку не желают, чтоб кто-либо узнал реальную картину внутри системы. Ведь в наших сегодняшних реалиях существуют специально прокручиваемые схемы вывода средств и искажения финансового состояния, которые показывать очень нежелательно. И на их фоне небольшие утечки через инсайдеров – это капля в море.

Но даже на тех предприятиях, где создана комплексная система защиты информации, которая соответствует всем требованиям законодательства и отраслевым стандартам – спать спокойно не приходится. Ведь там, где есть стык электронного и бумажного документооборота – всегда есть лазейка для злоупотребления.

Рассмотрим такой пример.

Работает некое предприятие с большим количеством клиентов и объёмными заказами. Нанят специалист по компьютерам – для обеспечения систематизации заказов виде некой базы данных, которая позволяет одновременно вести учёт заказов, параметры их выполнения, клиентской базы, формирования отчётов и т.п. Такая база данных обычно стыкуется с бухгалтерией предприятия в целях всё той же автоматизации документооборота.

В процессе своей работы специалист встраивает в работу системы «окно» – возможность вручную изменять данные в базе.

Например, клиенту выставляется счёт за услуги на сумму 1000 грн. После оплаты счёта, специалист вручную проставляет для данного клиента скидку в размере 5%. Таким образом, бухгалтерия принимает к оплате 950 грн, а 50 грн считаются переплатой. В дальнейшем, эти 50 грн можно оформить как «возврат» – т.е. попросту получить в кассе предприятия через кассира. Обычно такая выдача заверяется подписью бухгалтера либо заместителя руководителя по финансовым вопросам на заявлении, якобы написанном клиентом.

Таким образом, только одного сотрудника компании недостаточно для того, чтоб получить информацию о работе системы и воспользоваться такой информацией для получения материальной выгоды. Но в то же время, сговор нескольких сотрудников и возможность «бумажной» корректировки электронного документооборота сводит на нет все силы и средства, вложенные в систему защиты.

Информационная безопасность экономическая

Зачастую подразделения информационной безопасности не работают в тесном сотрудничестве со специалистами в сфере финансовой безопасности. Считается, что задача экономической безопасности – выявление хищений, а задача информационной безопасности – выявление утечек банковской или коммерческой информации.

Кто отвечает за выявление инсайда? «Экономисты» вступают в дело, когда с использованием инсайдерской информации произошли хищения средств. Они не в состоянии предугадать – как будет действовать злоумышленник, поскольку не знают – с какой стороны его ждать. Фактически, такие подразделения мониторят сами материальные средства – внедряют механизмы блокирования подозрительных транзакций, усложняют систему блокировки несанкционированного доступа и прочее.

В тоже время, специалисты в сфере информационной безопасности работают не «по объекту», а «по субъекту» – именно их задача выявить лицо, способное к активному либо пассивному инсайду. По рекомендации этих специалистов должны быть минимизированы права доступа сотрудников к ресурсам системы в рамках их функциональных обязанностей.

Построение любой системы защиты начинается со списка угроз. И в случае с инсайдом список угроз, казалось бы, состоит из одного пункта: информация о защищённости ресурсов.

Но если специалисты по экономической безопасности просчитают все способы доступа к ресурсам и передадут эту информацию подразделению информационной безопасности – это уже очень большой шаг в защите от инсайда.

С использованием списка объектов угроз уже можно выстраивать способы доступа к ним, а на их основе – перечень лиц, которые (либо через которых) такой доступ могут получить. Ведь уменьшая доступ сотрудников к информации, мы тем самым сокращаем перечень угроз. Здесь очень хорошо работает принцип «запрещено всё, что не разрешено».

Далее необходимо провести психологический анализ каждого такого сотрудника и определить его как возможный объект активного либо пассивного инсайда. Продолжая мониторинг поведения каждого конкретного сотрудника в отношении тех ресурсов, где они могут совершить злоупотребление, возможно выявить инсайд на этапе его зарождения.

Также является целесообразным внедрение принципа «коллективной ответственности», когда доступ к определённым ресурсам невозможем только одним сотрудником. В таком случае велика вероятность того, что необходимость в сговоре отпугнёт потенциального активного инсайдера.

Для пассивного инсайда такой метод не подходит, поскольку сотрудник не имеет умысла на совершение противоправных действий. В таких случаях эффективным является комплекс организационно-технических мер, направленных на блокирование выноса сотрудниками информации из системы (например – секретных ключей шифрования или электронной цифровой подписи) либо деактуализации такой информации (когда известный сотруднику пароль доступа при выходе из банка меняется и перестаёт быть действительным). Все эти положения прописываются в политике безопасности и неукоснительно выполняются.

Именно поэтому отделять информационную безопасность от экономической – большая ошибка.

Потенциальные жертвы инсайдеров

Если собственник ресурсов всё же начинает задумываться о том, что возможную деятельность инсайдеров на его предприятии надо пресекать, первичным станет вопрос об экономической целесообразности таких мероприятий.

Очевидно, что небольшие предприятия не в состоянии организовать собственное подразделение по выявлению и противодействию инсайда. Да чего уж там – в таких организациях вообще отсутствуют службы безопасности, на сотрудников которых можно возложить выполнение указанных выше функций.

В таких случаях, придётся привлекать специалистов извне, и тут собственник ресурсов столкнётся не только с вопросами конфиденциальности, но и высокой стоимости предоставляемых услуг. Ведь как уже нам известно – противодействие инсайду требует подключения нескольких специалистов в разных сферах. Кроме того, потребуется определённое – и зачастую немалое – время для полного изучения структуры предприятия, финансовой и информационной подсистем, проработать кадры и прочее.

Такие работы требуют времени и человеческих ресурсов, которые стоят недёшево. Поэтому собственник ресурсов, вероятнее всего, откажется от мысли «пресекать инсайд» и перейдёт к варианту «компенсировать инсайд».

Вот такие предприятия, в основном, и становятся жертвами инсайдеров.

Как же быть? Выход, скорее всего, будет один – разрабатывать (или покупать готовую) методику выявления возможных угроз в части, касающейся инсайда, и разрабатывать собственную политику безопасности предприятия, минимизируя возможности персонала по доступу к ресурсам и возлагая на сотрудников такие обязанности, неукоснительное выполнение которых позволит свести к минимуму риск оказаться жертвой инсайда.

Кстати говоря, сама по себе разработка таких методик – весьма прибыльное мероприятие, ведь очень мало тех, кто может их создать, и очень много тех, кто в них нуждается.

Вывод один: знать врага в лицо надо обязательно, а что с ним делать – это уже принятие решения собственником ресурсов.

Оставить комментарий

Реклама
Выбор языка:
Подписка на новости

Введите Ваш email:

Delivered by FeedBurner

Недавние сообщения