При помощи инсайдеров из вашей компании может быть украдена ценная информация: клиентские базы данных, стратегические планы компании, авторские решения, финансовые отчеты. Заказчики подкупают сотрудников компаний-конкурентов, сотрудничают с хакерами и офисными взломщиками. Похищенные данные передают через Интернет или портативные носители информации.

Инсайдеры анфас и в профиль

"Как показывает обзор рынка и опрос компаний на тему утечки ценной информации, наиболее опасны угрозы со стороны инсайдеров, - комментирует Владимир Илибман, технический консультант ведущей компании по разработке сетевых технологий. – И защититься от сотрудников, которые занимаются несанкционированной передачей информации третьим лицам, с помощью антивирусных программ просто невозможно. В больших компаниях были прецеденты, когда уходил один сотрудник, и вся информация о компании, все ноу-хау уходили конкурентам".

Ради получения информации бизнес-шпионы не гнушаются даже похищением ноутбуков, где хранятся конфиденциальные данные. А также заражают корпоративные сети вирусами. После заражения компьютер попадает под контроль киберзлоумышленников, которые могут делать любые операции на этом компьютере. В том числе, копировать произвольные файлы на внешние системы, анализировать весь трафик, делать копию всех транзакций.

При помощи подобных вирусов, заразивших корпоративные сети, была похищена конфиденциальная информация компаний Adobe и Google. Недостатки Интернет-браузера, через которые попал вирус, пришлось искать несколько месяцев.

"При этой атаке потерпевшие компании утратили данные о пользователях. А такая утечка информации противоречит требованиям о защите информации о клиентах, - рассказывает господин Илибман. – Во многих западных странах если компания допускает факт утечки персональной информации о клиентах, то нарушитель подвергается разного рода санкциям. Это могут быть и штрафы, и санкции вплоть до лишения лиценции и ликвидации компании".

Аппаратно-программная защита информации

Защитить компанию от инсайдерских атак могут аппаратно-программные комплексы. Они позволяют ограничить доступ каждого сотрудника к конфиденциальным данным и контролировать работу в локальной сети и Интернету.

Консультант ведущей компании по разработке сетевых технологий Евгений Владимиров привел пример применения таких комплексов: "Политика безопасности нашей компании предусматривает, что все документы, помеченные грифом "конфиденциально", не могут даже быть распечатаны на принтере. Тем более такие данные не могут быть отправлены по почте, скопированы на носитель информации - флешку, дискету, диск".

В целом системы защиты конфиденциальных данных можно разделить на три группы:

1. Программное обеспечение для шифрования данных, позволяющих безопасно распространять информацию.

2. Контентная фильтрация трафика: программы для защиты от вирусов, спама, аутентификации доступа.

3. Средства аутентификации для доступа к ресурсам и зашифрованной информации: электронные ключи, генераторы кодов, смарт-карты.

USB-ключи и смарт-карты

Электронные ключи и смарт-карты - эффективное решение как для работы на расстоянии, так и в рабочем помещении. Украинские дистрибьюторы предоставляют на выбор покупателям широкий выбор таких устройств.

USB-ключи

"При использовании электронных ключей часто используется двухфакторная модель аутентификации, - объясняет Антон Бондарь, директор украинского отделения компании по разработке решений информационной безопасности. - USB-ключ, который выглядит как обычная флеш-карта, нужно вставить в соответствующий порт, а затем набрать на клавиатуре секретный пароль.

Таким образом пользователь как бы открывает двойную дверь и может начать работу на компьютере. И еще одна степень защиты: если ключ достать из USB-порта, система автоматический блокируется".

Электронный ключ может также включать расширенную карту памяти, на которую можно загрузить операционную систему, без которой работать с определенными данными на компьютере будет невозможно. "При вставлении такого ключа в USB-порт мы загружаемся с необходимой нам системой, генеруется код и мы работаем в доверенной среде," - говорит А. Боднарь.

Ключи со встроенными генераторами кодов предотвращают передачу паролей за пределы компании. При генерации кода на экране ключа пользователь видит каждый раз новый пароль доступа к системе.

Электронные ключи удобны для использования в офисе или за его пределами. Некоторые банки предоставляют клиентам такие средства аутентификации для проведения безопасных электронных трансакций, операций со своими банковскими счетами через Интернет. При таком уровне защиты доступ к електронному счету без USB-ключа невозможен.

Также для доступа к рабочему помещению, персональному компьютеру и корпоративной сети сотрудник может использовать одну смарт-карту. "Функциональность карты такая же, как электронного ключа, и даже больше, - говорит эксперт. - На чипе карты можно сохранять информацию о пользователе и использовать её для пропуска в рабочее помещение, к рабочему месту и корпоративной сети".

Расходы и экономия

Расходы на системы информационной безопасности составят от тридцати до двухсот долларов на одного работника. А экономия для крупных предприятий может достичь значительного процента бюджета. Так, после внедрения системы мобильности работников Каирский аэропорт сэкономил три миллиона евро в год. Для доступа к управлению бортовых компьютеров члены экипажа стали использовать электронные ключи и генераторы кодов, при этом отпала необходимость в согласовании входа в систему с администраторами.

"Одна минута простоя самолета оценивается в 150 евро. Оценивая такие потери, руководство аэропорта приняло решение, что нужно вводить систему мобильного доступа сотрудников. Таким образом компания снизила затраты на обслуживания каждого самолета на три минуты. И сэкономила на каждом самолете по 450 евро в год", - рассказал Евгений Владимиров

Итак, утечка конфиденциальной информации или её неэффективная защита может привести к ослаблению позиций компании на рынке, потере клиентов, лицензий и даже к ликвидации бизнеса. Поэтому защита конфиденциальных данных равнозначна защиты всего предприятия.