Управление рисками - Harvard Business Review (HBR)
Впервые опубликовано в выпуске за май 2010 года.
Внутренняя угроза
Дэвид Аптон, Сейди Криз
ВСЕ ЗНАЮТ О КИБЕРАТАКЕ 2013 ГОДА на Target, когда злоумышленники похитили номера платежных карт около 40 млн и персональные данные около 70 млн покупателей. Это бросило тень на репутацию компании, вызвало падение ее прибыли и привело к увольнению генерального директора и директора по информационным технологиям. Менее известен другой факт: хотя воры и были для компании посторонними, они получили доступ к системам розничной сети, используя учетные данные одного из сотрудников. Им оказался продавец холодильного оборудования.
Случай с Target – лишь один из примеров явления, которое в последнее время набирает обороты. Нападения извне – постоянные хакерские атаки из Китая на интеллектуальную собственность, вирус Stuxnet, выходки восточноевропейских преступных группировок – привлекают всеобщее внимание. Однако гораздо бо́льшую угрозу представляют атаки с участием сотрудников самой компании или связанных с ней организаций. «Внутренние враги» способны причинить куда более серьезный вред, чем внешние хакеры, – у них значительно больше возможностей и легкий доступ к системам. Вызванный ими ущерб – это и приостановка деятельности, и нарушение прав интеллектуальной собственности, и урон репутации, и недоверие как инвесторов, так и клиентов, не говоря уже об утечке конфиденциальной информации третьим лицам, включая СМИ. По разным оценкам, ежегодно в США происходит не менее 80 млн инсайдерских атак, причем реальная цифра может быть существенно выше: о подобных инцидентах часто умалчивают. Очевидно, что на сегодня общий объем убытков от них составляет десятки миллиардов долларов в год.
Многие руководители признают, что у них до сих пор нет необходимых средств защиты для обнаружения или предотвращения инсайдерских атак. Одна из причин – организации по-прежнему не желают признавать масштаб угрозы.
На протяжении последних двух лет мы возглавляем международный исследовательский проект, который финансируется Центром по защите национальной инфраструктуры (CPNI), входящим в структуру британской Службы безопасности МI5, и ставит своей целью существенно повысить способность организаций обнаруживать и предотвращать угрозы, идущие изнутри. Наша команда состоит из 16 человек, в нее входят специалисты по компьютерной безопасности, преподаватели бизнес-школ по корпоративному управлению, преподаватели менеджмента, специалисты по визуализации информации, психологи и криминалисты из Оксфордского, Лестерского и Кардиффского университетов.
Междисциплинарный подход привел нас к выводам, которые позволяют оспорить общепринятые взгляды и методы (см. раздел «Общепринятые подходы, которые не работают»). Так, многие компании сегодня пытаются помешать сотрудникам использовать офисные компьютеры для доступа к интернет-ресурсам, не связанным напрямую с их рабочими задачами, – к Facebook, сайтам знакомств, порталам политических новостей. Мы же считаем, что вместо этого стоит предоставить сотрудникам свободу действий в интернете, но установить на компьютеры легкодоступные программы безопасности для отслеживания активности: это даст важную информацию о поведении и личных особенностях пользователей – и тем самым поможет распознать потенциальную опасность. В этой статье мы расскажем о результатах наших исследований относительно эффективных способов свести к минимуму вероятность инсайдерских атак.
Идея вкратце
Угроза
Кибератаки с участием инсайдеров – сотрудников, поставщиков или других компаний, которые на законных основаниях имеют доступ к компьютерным системам компании, – случаются все чаще и причиняют серьезный ущерб. На их долю приходится более 20 % всех кибератак. Широко используемые средства защиты против них неэффективны.
Ключ к решению проблемы
Чтобы снизить уязвимость к инсайдерским атакам, компаниям следует придерживаться того же подхода, что и для повышения эффективности работы и уровня безопасности: сделать эту задачу неотъемлемой частью работы каждого.
Необходимые действия
Необходимо внимательно отслеживать действия сотрудников и объяснять им, с какими угрозами они могут столкнуться и о каких подозрительных событиях они должны сообщать. От поставщиков и дистрибьюторов следует требовать минимизации рисков, при этом и тех и других нужно регулярно проверять. Руководители должны работать в тесном контакте со своими IT-отделами над обеспечением безопасности основных активов.
Недооцененный риск
Внутренние угрозы исходят от тех, кто использует санкционированный доступ к корпоративным ресурсам в несанкционированных злонамеренных целях или непреднамеренно создает в них уязвимые места. Такими людьми могут быть штатные сотрудники (от уборщиков до топ-менеджеров), подрядчики или сторонние организации – поставщики баз данных и других компьютерных услуг (Эдвард Сноуден, прославившийся кражей конфиденциальной информации Агентства национальной безопасности США, работал на одного из подрядчиков АНБ). Пользуясь предоставленным им доступом, они могут выводить из строя компьютерные системы, похищать или искажать данные, но при этом не попадают в зону внимания обычных средств по обеспечению безопасности, которые направлены на охрану внешнего периметра: они сосредоточены на точках входа, а не на том, что происходит внутри системы.
По данным компании Vormetric, лидирующей в области компьютерной безопасности, 54 % управленческого персонала в крупных и средних организациях разделяют мнение, что обнаруживать и предотвращать инсайдерские атаки сегодня сложнее, чем в 2011 году. При этом подобных атак становится все больше – как в количественном выражении, так и в процентах от всех кибератак, о которых сообщают организации: исследование, проведенное компанией KPMG, показало, что их число увеличилось с 4 % в 2007 году до 20 % в 2010 году. Результаты нашего анализа показывают, что этот процент продолжает расти. Кроме того, внешние атаки могут включать в себя помощь изнутри – как осознанную, так и непреднамеренную. Случай с Target – наглядный тому пример.
Причины роста
Эта растущая угроза объясняется целым рядом факторов, связанных с меняющимся IT-ландшафтом. Они не вызывают особого удивления – и в этом суть проблемы. Открытые двери, которые делают организации уязвимыми для инсайдерских атак, – обыденное явление, они повсюду.
Резкое увеличение масштабов и усложнение информационных технологий
Известно ли вам, кто управляет вашими облачными сервисами, кто хранит свои данные на тех же серверах, что и вы, насколько эти сервера безопасны? Заслуживают ли доверия те, кто предоставляет вам другие аутсорсинговые услуги, – кол-центры, логистика, уборка, подбор персонала, CRM? В 2005 году четыре клиента Citibank в Нью-Йорке были обмануты сотрудниками кол-центра в городе Пуна (Индия) на сумму около $350 000. Но на самом деле вина лежала на сотрудниках компании по обслуживанию программного обеспечения, которой Citibank передал работу на аутсорсинг, – это они сумели собрать личные данные клиентов, PIN-коды и номера счетов.
Сайты даркнета, где не слишком щепетильные посредники торгуют большими объемами конфиденциальной информации, множатся и процветают. На таких подпольных площадках можно купить все что угодно – от паролей покупателей и данных кредитных карт до интеллектуальной собственности. Инсайдеры часто готовы предоставить доступ к этим активам, причем стоить это будет куда дешевле, чем на черном рынке. Это только способствует развитию индустрии «киберпреступность как услуга».
Сотрудники, использующие