Кто лучше всех прочих в курсе всего, что происходит в фирме? Главный бухгалтер? Генеральный директор? Девочка-офисный менеджер? Нет. Вероятнее всего, это сисадмин – тот самый пресловутый «компьютерщик», единственный приходящий на работу в футболке и джинсах и непонятно чем занимающийся в своей небольшой комнатке с гудящими серверами. Именно он контролирует все информационные потоки и порой знает такое, о чем сотрудники никогда не сообщат начальству. Действительно ли это делает его самым опасным человеком для фирмы?
Простота, что хуже воровства
Я бы для начала поразмышлял немного о том, что в наши дни информация – штука более ценная, чем деньги. Но редактор такую банальность наверняка сотрет. Так что начну с некоторых личных впечатлений.
Довелось недавно общаться, что называется, «в бане» – неформально то есть, с кадровиком одного белорусского банка. Банк как банк, не сильно большой, – словом, у нас таких хватает. Этот кадровик рассказал мне, как они при приеме на работу проверяют кассиров и сотрудников службы инкассации – то есть тех, кому предстоит работать с наличными деньгами. Оказывается, совместно со службой безопасности отдел кадров составляет подробный психологический портрет каждого кандидата. У его участкового выясняют, благополучная ли семья. И родословную смотрят едва ли не до Адама, и род занятий до революции проверяют, выясняют, не состоял ли, не был ли замечен, не присутствовал ли и за кого голосовал.
Но меня инкассаторы и кассиры, ясное дело, интересовали мало. «А как вы системных администраторов подбираете?», – спросил я. «Кого? А, компьютерщиков… Ну, тут смотрим, чтобы диплом был БГУ, «Политеха» или БРТИ. Такие всегда в компьютерах разбираются. Что там ещё смотреть?...».
Кажется, объяснять что-либо этому банковскому сотруднику (бывшему работнику милиции, кстати) было уже бесполезно. Хотя формально он наверняка понимает, что красть деньги – это совсем не обязательно убегать с мешком купюр. А финансовый ущерб банку (как и любому бизнесу) вполне можно нанести, вообще не украв ни копейки.
И как раз ИТ-персонал – от ИТ-директоров до сисадминов – имеет для этого больше всего возможностей. Пожалуй, даже больше, чем главный бухгалтер. Ведь человек, имеющий доступ абсолютно ко всей информации фирмы, – потенциально самый страшный инсайдер. И это сегодня – реальная проблема.
Вопрос лояльности
Компания Lieberman Software провела масштабное изучение вопроса лояльности европейских ИТ-специалистов своим работодателям. Результат подтвердил очевидные, в общем-то вещи. Например, то, что штатные программисты, системные администраторы и прочие «компьютерщики» могут беспрепятственно исследовать корпоративную сеть своей компании, получить доступ к любым важным документам – и никто этого не обнаружит. В 68% случаев (это, повторюсь, в добропорядочной Европе) сотрудники ИТ-отдела имеют больше привилегий в корпоративной сети, чем сотрудники финансового отдела, HR-отдела или менеджеры компании.
Исследование также показало, что 39% сотрудников ИТ-отделов имеют фактическую возможность доступа к конфиденциальным файлам, к которым им не положено иметь доступ, а каждый пятый уже пользовался этой возможностью. Также 11% опрошенных признались, что в случае угрозы увольнения готовы нарушить права доступа и поискать в корпоративной сети список сотрудников, подлежащих увольнению – и проверить, есть ли там их имя. Компьютерщики готовы присвоить себе и другую корпоративную информацию, если видят такую необходимость. Например, если им заранее известно об увольнении, то те же 11% опрошенных готовы прихватить с собой часть корпоративных секретов. Около трети респондентов Lieberman Software признались, что руководство их компании не знает, как предотвратить такую ситуацию.
В бывшем СССР аналогичное исследование год назад провел РОМИР. Как выяснилось, уровень лояльности сисадминов на постсоветском пространстве намного ниже, чем в Европе, а их склонность к противоправным действиям – наоборот, значительно выше.
Мораль и лояльность к работодателю у ИТ-сотрудников в СНГ просто катастрофическая. Так, доступ ко всем данным фирмы имеют 95% опрошенных сисадминов и ИТ-директоров (в сегменте среднего и малого бизнеса эти должности часто совпадают). При этом 60% уже поинтересовались, что интересного они могли бы из этих данных позаимствовать. И те же 60% готовы прихватить корпоративные секреты в случае увольнения. А 47% готовы продать их «на сторону», оставаясь на нынешней своей работе.
То есть срабатывает принцип: «кто что охраняет, тот то и имеет». Более того, 17% сисадминов едва ли не с первого дня работы начинают накапливать «для личного использования» конфиденциальную информацию своего работодателя. То есть они с самого начала подразумевают возможность её конвертации в живые деньги.
По данным издания «Банковское дело в Москве», в 81% случаев утечек информации ИТ-инсайдеры планировали свою деятельность заранее: добывали необходимые пароли, устанавливали ПО для шифрования передаваемых данных и т.д.
Немного откровенности
Психологи без труда объясняют причины того, почему сисадмины в бизнесе легко становятся инсайдерами. Человек, который получил высшее техническое образование и разбирается в системах, недоступных «простым смертным», обычно имеет очень высокую самооценку. Однако ни в частных фирмах, ни в госорганизациях работодатели обычно не горят желанием «стелиться» перед «простым компьютерщиком». Отсюда – обиды.
Интернет переполнен историями сисадминов, которых вместо основной работы заставляют подбирать ноутбук сыну начальника и менять картриджи в принтере, одновременно ругая за бездельничанье. (Хорошо настроенная сеть ведь работает сама, но какое до этого дело работодателю?)
Но как можно ждать лояльности от «униженного и оскорбленного» сотрудника, который при этом имеет доступ ко всей информации фирмы?
Способы борьбы
Возникает логичный вопрос: как бороться с инсайдом ИТ-сотрудников? Или даже шире: как руководителю/владельцу бизнеса застраховаться от рисков, связанных с ИТ-отделом? Или, наоборот, уже: как ИТ-директору уберечься от «подставы» со стороны собственного недобросовестного сотрудника?
Способов придумано множество, вот только эффективных из них – единицы. Самый распространённый, но наименее действенный способ – подписка о неразглашении, которую работодатель берёт со своих сотрудников, имеющих доступ к значимым информационным активам. Этот способ трудно назвать эффективным, поскольку тот, кто захочет нарушить подписку, обычно умеет «замести следы» так, что юридическое преследование становится невозможным. На файлах ведь не остается отпечатков пальцев. Переслал их на удалённый сервер, стер логи, – и вряд ли кто-то что-то узнает. Конечно, в реальной жизни это сложнее, но ненамного.
Можно устанавливать сложные и дорогие DLP-системы (Data Leak Prevention, системы предотвращения утечек конфиденциальной информации) – они как раз и предназначены для борьбы с инсайдерами. Но реальность такова, что грамотный сисадмин изначально понимает, как эти системы обойти. А если даже и не понимает, то ему достаточно провести час-другой на форуме, посвященном разработке и внедрению DLP-систем – и он соберет целую коллекцию способов того, как им можно противодействовать.
Практика показывает, что наиболее эффективный способ противодействия недобросовестным сисадминам и ИТ-директорам – проведение внезапного аудита ИТ-инфраструктуры компании. Для такого аудита должна привлекаться сторонняя компания, которая специализируется на ИТ-безопасности. А заказывать аудит должен лично директор фирмы, без предупреждения и не делясь своими планами вообще ни с кем.
И последнее: даже небольшим фирмам не стоит использовать «приходящих» сисадминов или ИТ-специалистов, работающих на полставки. Действительно: откуда у них может взяться лояльность?
Аудит информбезопасности
Наиболее эффективный способ защиты заслуживает того, чтобы поговорить о нём более подробно. Согласно «энциклопедическому» определению, аудит информационной безопасности – системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
Различают внешний и внутренний аудит инфобеза. Внешний аудит – как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно. Внутренний аудит представляет собой непрерывную деятельность, за которую отвечает ИТ-директор компании.
В наиболее эффектном варианте подобный аудит напоминает операцию спецслужб. Посреди рабочего дня в ИТ-отдел входит директор фирмы в сопровождении «группы товарищей» недружелюбного вида с ноутбуками наперевес. Директор приказывает всем сотрудникам немедленно отойти от ПК, выключить смартфоны и оставаться в помещении. Прибывшие с директором специалисты компании-ИТ-аудитора подключаются к системе и начинают ее исследовать.
Как правило, сотрудники компаний сферы информбезопасности сами имеют немалый хакерский опыт, так что неплохо знают приёмы, при помощи которых сисадмины и прочие ИТ-инсайдеры пытаются скрыть свои действия. А внезапность аудита повышает вероятность того, что инсайдер не успеет замести следы или подставить другого сотрудника. Конечно, подобный аудит вполне может остановить работу компании на день-два-три – но это обычно намного меньшее зло по сравнению с кражей ценных данных или их уничтожением либо модификацией. А вы как думаете – стоит ли игра свеч?
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.