| 14 февраля 2013

Сисадмин-инсайдер

Как вы думаете, кто лучше всех прочих знает, что происходит внутри фирмы? Главный бухгалтер? Генеральный директор? Офис-менеджер? Нет. Cкорее всего, это системный администратор – тот самый пресловутый «компьютерщик», единственный приходящий на работу в футболке и джинсах и непонятно чем занимающийся в своей небольшой комнатке с гудящими серверами.

Неоцененная опасность

Можно много рассуждать о том, что в наши дни информация – актив более ценный, чем любые деньги. Но проще привести пример из жизни. Однажды мне довелось в неформальной обстановке пообщаться с начальником отдела кадров одного не сильно большого белорусского банка. Кадровик рассказывал, как они при приеме на работу проверяют кассиров и инкассаторов – то есть тех, кто будет работать с наличными деньгами. Вместе со службой безопасности отдел кадров составляет подробный психологический портрет кандидата. У участкового выясняют, благополучная ли семья. Родословную смотрят едва ли не до Адама.

«А как вы системных администраторов подбираете?», – спросил я. «Кого? А, компьютерщиков… Ну, тут смотрим, чтобы диплом был БГУ, Политеха или РТИ. Такие всегда в компьютерах разбираются. Что там еще смотреть?...». Кажется, объяснять что-либо этому банковскому сотруднику было бесполезно. Хотя формально он – кстати, бывший работник милиции, – наверняка понимает, что красть деньги – это совсем не значит убегать с мешком купюр. А финансовый ущерб и банку, и любому другому бизнесу вполне можно нанести, не украв ни копейки. Как раз сотрудники, прямо связанные с IT, имеют больше всего возможностей для этого. Ведь человек, имеющий свободный доступ абсолютно ко всей информации фирмы, – потенциально самый страшный инсайдер.

Ответ на вопрос, почему сисадмины в бизнес-структурах легко становятся инсайдерами, легко дают психологи. Человек с высшим техническим образованием, освоивший системы, недоступные «простым смертным», обычно имеет очень высокую самооценку. Но ни в частных фирмах, ни тем более в бюджетных организациях «простого компьютерщика» обычно не ждут высокие зарплаты и всеобщее поклонение. Отсюда – обиды. Интернет переполнен историями сисадминов, которых вместо основной работы заставляют настраивать Wi-Fi сыну начальника и менять картриджи в принтере, одновременно ругая за безделье. Согласитесь, вряд ли можно ждать лояльности от «униженного и оскорбленного» сотрудника, который при этом имеет доступ ко всей информации фирмы.

{quote-1}

Выяснилось, что штатные программисты, системные администраторы и прочие «компьютерщики» могут беспрепятственно исследовать корпоративную сеть своей компании, получить доступ к любым важным документам – и никто этого не обнаружит. В 68% случаев сотрудники IТ-отдела имеют больше привилегий в корпоративной сети, чем сотрудники финансового, HR или топ-менеджеры компании. Исследование также показало, что 39% сотрудников IТ-отделов имеют фактический доступ к конфиденциальным файлам, к которым им доступ иметь не положено. Причем каждый пятый уже пользовался этой возможностью.

Более того, 11% опрошенных оказались готовы прихватить с собой корпоративные секреты если, например, узнают о предстоящем увольнении. Около трети респондентов Lieberman Software признались, что руководство их компании не знает, как предотвратить такую ситуацию.

В бывшем СССР аналогичное исследование год назад провел РОМИР. Оказалось, что уровень лояльности сисадминов на постсоветском пространстве намного ниже, чем в Европе, а склонность к противоправным действиям – наоборот, значительно выше. Например, доступ ко всем данным фирмы имеют 95% опрошенных сисадминов и IТ-директоров (в сегменте среднего/малого бизнеса эти должности часто совпадают). 60% уже поинтересовались, что интересного они могли бы из этих данных позаимствовать, те же 60% готовы при увольнении прихватить корпоративные секреты. А 47% готовы продать их «на сторону», оставаясь на нынешней своей работе. То есть срабатывает принцип: «кто что охраняет, тот то и имеет». Более того, 17% сисадминов едва ли не с первого дня работы начинают накапливать «для личного использования» конфиденциальную информацию своего работодателя. То есть они с самого начала подразумевают возможность еt конвертации в живые деньги.

{quote-2}

Как защититься?

Возникает логичный вопрос: как бороться с инсайдом IТ-сотрудников? Или даже шире: как руководителю/владельцу бизнеса застраховаться от рисков, связанных с IТ-отделом? Способов существует множество, но эффективных из них – единицы. Самый распространенный, но наименее действенный способ – подписка о неразглашении, которую работодатель берет со своих сотрудников, имеющих доступ к значимым информационным активам. Это неэффективный способ уже потому что тот, кто захочет нарушить подписку, обычно cумеет «замести следы» так, что юридическое преследование становится невозможным. На файлах ведь не остаются отпечатки пальцев.

Конечно, в реальной жизни это сложнее, но ненамного. Можно устанавливать сложные и дорогие DLP-системы (Data Leak Prevention, системы предотвращения утечек конфиденциальной информации) – они как раз и предназначены для борьбы с инсайдерами. Но реальность такова, что грамотный сисадмин изначально понимает, как эти системы обойти.

Практика показывает, что наиболее эффективный способ противодействовать недобросовестным сисадминам и IТ-директорам – проводить внезапный аудит IТ-инфраструктуры компании. Для такого аудита должна привлекаться сторонняя фирма, работающая в сфере IТ-безопасности. Заказывать аудит должен лично директор фирмы, без предупреждения и не делясь своими планами вообще ни с кем.

Согласно наиболее распространенному определению, аудит информационной безопасности – «системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности». Различают внешний и внутренний аудит инфобеза. Внешний аудит – как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Внешний аудит рекомендуется (а для ряда финансовых учреждений и акционерных обществ требуется) проводить регулярно. Конечно, подобный аудит вполне может остановить работу компании на день-два-три – но это обычно намного меньшее зло по сравнению с кражей ценных данных, их уничтожением либо модификацией.



Теги: трудовые ресурсы, IT, персонал
Будь в курсе событий
Подпишитесь на наш пятничный дайджест, чтобы не пропустить интересные материалы за неделю