ArcSight: Сколько стоят действия инсайдеров?

Автор: Jay Huff, EMEA Marketing Director, ArcSight, and HP Company

Масштаб недавней утечки данных, а именно июльская публикация секретных материалов по операции в Афганистане, а впоследствии и о войне в Ираке на сайте WikiLeaks, в очередной раз привлекла внимание к проблеме утечек и инсайдеров.

Исследование, проведенное Ponemon Institute по заказу компании ArcSight, показало, что преступления совершенные инсайдерами являются наиболее затратными для компании по сравнению со всеми остальными кибер-перступлениями. Так в рамках исследования было выявлено, что для расследования и принятия необходимых к пресечению инцидента мер (связанного с действиями инсайдера) требуется в среднем 42 дня. Затраты, которые несет организация составляют в среднем $750,000. Одной из причин возможности совершения подобных преступлений является тот факт, что инсайдеры обычно прекрасно знают свою компанию – её наиболее ценные активы, их уязвимости, и зачастую средства их защищающие.

В этой связи возникает вопрос: достаточно ли организации делают для того, чтобы обезопасить себя от действий внутренних злоумышленников и могут ли они быть абсолютно уверены в том, что их бизнес защищен? Как показывает практика, многим есть ещё к чему стремиться. Так в соответствии с данными исследования, проведенного компанией PricewaterhouseCoopers, 63% британских ИТ-профессионалов отмечают, что организации, в которых они работают, не имеют точного представления обо всех местах хранения конфиденциальной информации. Логично, что в такой ситуации не представляется возможным организовать адекватную защиту и снизить риск утечки. Поэтому злоумышленникам в таких условиях, гораздо проще совершать кражи и манипуляции с конфиденциальной информацией.

Ещё один отчет PWC продемонстрировал, что инсайдерами зачастую становятся рассерженные и алчные сотрудники. Но даже в компаниях, где царит гармоничная рабочая обстановка, сотрудники могут стать целью кибер-преступников и сами не зная того помочь им проникнуть в сеть организации. Произойти это может путем кражи идентификационных данных сотрудника, обманной просьбой открыть тот или иной на вид безобидный файл или ссылку, который в свою очередь откроет преступнику доступ во внутреннюю сеть компании и позволит совершить задуманное преступление. Отличным примером того, как люди подвергают себя дополнительному риску, является широкое распространение различных социальных сетей. Так, общаясь с большим количеством зачастую незнакомых людей на Facebook, Twitter и прочих ресурсах сотрудник может, не подумав кликнуть на присланную ссылку или поделиться какой-то конфиденциальной информацией. Но для организации нет возможности предусмотреть каждую случайность. И руководство скорее всего не будете запрещать доступ сотрудникам к сайтам социальных сетей и персональным почтовым аккаунтам. Именно поэтому важное значение приобретает понимание того, кто работает в вашей сети, что он делает и имеет ли на это право. Это достигается с помощью различных специализированных средств защиты, правильная настройка и использование которых, может оказать серьезную помощь в борьбе со злоумышленниками.

В заключении хотелось бы отметить, что риск утечки конфиденциальной информации существует в любой организации. Но для его снижения необходимо быть подготовленным. Нужно понимать, где хранится конфиденциальная информация, кто к ней имеет легитимный доступ. Необходимо на постоянной основе осуществлять мониторинг происходящего в сети используя специальные технологии по сбору и  корреляции событий. Данные технологии позволяют снизить риски инцидентов связанных с действиям как внутренних, так и внешних злоумышленников.