Офисные сотрудники порой не считают зазорным запустить руку в корпоративную сеть.
Эволюция ИТ-воровства
В связи с широким применением интернет-технологий появились и злоумышленники в этой сфере. Но мы не станем затрагивать деятельность хакеров, вступающих в сознательный конфликт с законом.
Куда интереснее поведение работников, которые не стесняются посягнуть на коммерческую тайну фирмы. А если добавить к этому безалаберное отношение некоторых руководителей к обеспечению информационной безопасности, то картина и вовсе вырисовывается не радужная.
Между тем в рейтинге офисного ИТ-воровства 1-е место неизменно принадлежит скачиванию/просмотру служебной информации. Еще 10-12 лет назад было распространено воровство трафика. Выглядело это так: некоторые работники компании, используя корпоративные логин и пароль, подключались к интернет-сети с домашнего компьютера. Теперь, когда трафик по доступной цене есть в каждом смартфоне, в этом нет особого смысла.
По данным специалистов в области обеспечения информационной безопасности, сегодня популярно несанкционированное скачивание баз данных, «подглядывание» в бухгалтерскую отчетность.
Технический директор компании «Мультисервисные системы» Иван Кузьмич привел пример, актуальный для крупных предприятий, где персонал не знает друг друга в лицо. В таком случае злоумышленник может представиться сотрудником службы поддержки, администратором или другим специалистом, которому по определенной причине потребовались логин и пароль конкретного работника. Как показывает практика, в большинстве случаев предоставляют запрашиваемую информацию.
Кто здесь слабое звено?
По мнению эксперта, в любой системе слабое звено - человек. «Наверное, многие видели стикеры с паролями, приклеенными на монитор. Казалось бы, ничего страшного в этом нет, но подсмотрев их, можно войти к вам в систему. Простые и шаблонные пароли (день рождения, номер машины и т.д.) также очень уязвимы. Следующий шаг, с помощью которого человек может выдать пароли - соцсети, мессенджеры, e-mail и т.д.», - говорит И. Кузьмич.
Во многих компаниях в рабочее время запрещено пользоваться личной электронной почтой. Логично, что вся корпоративная переписка осуществляется через почтовый сервис фирменного сайта. А личная почта на рабочем компьютере - открытая книга для системного администратора.
Утечке информации способствует и благодушная атмосфера в небольших компаниях, где нередко работают родственники и друзья. Поэтому никто не ждет подвоха от своих. Но и в таких коллективах возникают конфликты, а кто-то и по-хорошему увольняется, понимая, что исчерпаны возможности карьерного роста.
И почему бы в качестве «приданого» не скопировать служебные базы данных - рассуждают некоторые сотрудники. Тем более что многие фирмы в описании вакансии не стесняются указывать такие требования как «связи» и «наработанные контакты». Между тем вся информация на рабочем компьютере является собственностью компании. А если увольнение имеет конфликтную основу, то работник порой удаляет базу данных, другие корпоративные документы. За это Уголовным кодексом предусмотрено наказание в виде штрафа, исправительных работ и лишения права занимать должности, связанные с определенной деятельностью. Есть квалификация и за «подглядывание» в базы данных, поэтому лучше чтить УК.
Кто виноват?
Почему возможны подобные «утечки» информации? Во-первых, из-за недобросовестности работников. Во-вторых, «сами виноваты» - позиция хоть и неконструктивная, но нередко руководители компаний не уделяют должного внимания обеспечению информационной безопасности. У них нет в штате соответствующего специалиста либо к нему относятся как человеку, который при необходимости наладит компьютер. Между тем в его руках - вся служебная информация.
Довольно распространение явление - системный администратор на аутсорсинге. В принципе, при грамотно составленном договоре - это подходящий вариант для небольшой компании.
Что делать?
По мнению И. Кузьмича, для организовать минимальный уровень защиты на каждом объекте, где есть сетевая инфраструктура и более 5 сотрудников, необходимо обеспечить:
- доменную структуру с требованиями к сложности паролей, частоте их смены и политиками разграничения прав доступа;
- обязательную защиту беспроводных сетей криптостойкими алгоритмами;
- контроль либо полное ограничение доступа к социальным сетям на рабочих местах;
- наличие антивирусного программного обеспечения с актуальной базой, межсетевого экрана;
- ограничение использования переносных носителей информации, ключей от клиент-банков и т.д. с составлением соответствующего регламента;
- регламент по информационной безопасности и проведение инструктажа;
- наличие системного администратора или консультанта в данной области.
Самое простое правило, которое зачастую игнорируется: в случае увольнения сотрудников необходимо сразу поменять все корпоративные пароли.
- Это обязательный минимум для маленьких фирм. Если предприятие - среднее или крупное, то подход к информационной безопасности должен быть на порядок выше. Наличие квалифицированных сотрудников в данной области - обязательное условие для уверенности и спокойствия руководителя», - напоминает эксперт.
Буква закона
Самые типичные ситуации, когда незаконный доступ к чужой информации может осуществить уволившийся работник либо третье лицо, паролем с которым поделился сотрудник компании. Кого и как за это могут наказать, разъяснил начальник отдела по раскрытию преступлений в сфере высоких технологий криминальной милиции УВД Минского облисполкома майор милиции Дмитрий Дудков.
- В обоих случаях доступ к компьютерной информации является несанкционированным, т.е. с нарушением систем ее защиты (комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности данных), так как лица получают ее без согласия законного обладателя (пользователя), - отметил он.
Несанкционированный доступ к компьютерной информации, не повлекший по неосторожности ее изменение, уничтожение блокирования или вывод из строя оборудования либо причинение иного существенного вреда, влечет за собой административную ответственность на основании ст. 22.6 Кодекса об административных правонарушениях.
Так, административным правонарушением, например, считается случайный, неумышленный, кратковременный доступ к базе данных.
Если несанкционированный доступ к компьютерной информации совершен с прямым умыслом, то наступает уголовная ответственность, и действия необходимо квалифицировать по ч. 2. ст. 349 УК.
Уголовная ответственность за совершение преступления, предусмотренного ч. 2 ст. 349 УК, наступает при отсутствии общественно опасных последствий, предусмотренных ч. 1 ст. 349 УК, но при наличии одного или нескольких обстоятельств:
а) корыстная или иная личная заинтересованность;
б) совершение группой лиц по предварительному сговору;
в) совершение лицом, имеющим доступ к компьютерной системе или сети.
За такие действия предусмотрено наказание в виде штрафа, или лишения права занимать определенные должности или заниматься определенной деятельностью, или ареста на срок от 3 до 6 месяцев, или ограничения свободы на срок до 2 лет, или лишения свободы на тот же срок.
Не жалеть сил и средств на кибердоспехи
- Информационная безопасность - слишком сложный вопрос, чтобы относиться к нему снисходительно. МВД и другие заинтересованные структуры уже давно предупреждают об опасных последствиях цифрового вмешательства извне, но воз и ныне там! Речь идет о разработке регламента, подборе кадров, приобретении оборудования и ПО, - комментирует ситуацию экс-официальный представитель управления «К» МВД Беларуси подполковник милиции запаса Олег Слепченко.
Сегодня многие руководители учреждений относятся к этим задачам по остаточному принципу - работа системы понятна, на должность сисадмина возьмем толкового студента, а на сэкономленные средства в конце года купим хороший компьютер и т.д.
По мнению эксперта, к предостережению силовиков прислушались только финансисты, да и те норовят выстроить излишне затратную, а порой слишком жесткую систему безопасности. Чтобы избежать подобных перегибов, необходимо изучать и внедрять мировые стандарты.
О. Слепченко считает, что информационная безопасность держится на трех китах. Во-первых, сотрудники любой компании должны четко понимать, что можно делать, а что категорически запрещается. В контексте изучаемого вопроса необходимо определить, что для конкретного предприятия является информационным инцидентом, ознакомить с этим перечнем работников и закрепить все юридически (в договоре).
Во-вторых, любой офис обладает разветвленной компьютерной сетью, которая требует не только контроля и грамотного администрирования, но и разделения на локальную и выходящую во Всемирную паутину. Это недешево, но для некоторых предприятий в зависимости от специфики (например, БелАЭС) просто необходимо для защиты информационной базы, систем управления процессами от проникновений извне и изнутри (инсайдерские угрозы).
В-третьих, можно многое сделать правильно, но без должного контроля за соблюдением установленного порядка ничего не получится.
К примеру, использование неучтенных (своих) электронных носителей (флеш-карт, съемных дисков и т.д.) на Бушерской АЭС (Иран) в 2010 г. едва не привело к самым серьезным последствиям. Тогда один из работников принес из дома флешку с вирусом, который попал в компьютерную сеть и отключил систему охлаждения ядерного реактора!
Для обеспечения грамотного и постоянного контроля необходимы профессионалы и специальные технические средства (видеонаблюдение).
- Это основные постулаты, с которых руководителю следует начинать работу по организации информационной безопасности предприятия. Важен грамотный подбор специалистов в данной сфере, вокруг которых будет выстраиваться система защиты. А уже они определят тактику действий в этом направлении и соответствующий бюджет, - резюмирует О. Слепченко.