ИБ-риски: Уволенные сотрудники мстят

ИБ-риски: Уволенные сотрудники мстят

Как утверждают специалисты Ernst & Young в своем новом исследовании, основными причинами, вызывающими обеспокоенность руководителей ИТ-служб, в 2009 г. являются попытки мести со стороны уволенных сотрудников, а также недостаточный объем бюджета и ресурсов, выделяемых на нужды безопасности.

В рамках исследования, которое проводилось с июня по август 2009 г., было опрошено более 1900 руководителей высшего звена, представляющих свыше 60 стран. По итогам опроса выяснилось, что 75% респондентов обеспокоены попытками мести со стороны сотрудников, недавно уволенных из компаний. Кроме того, 42% респондентов уже пытаются получить представление о потенциальных рисках, связанных с этим вопросом, а 26% принимают меры по минимизации этих рисков. 

«Угроза со стороны уволенных или увольняемых сотрудников - не новость для любого грамотного специалиста по ИБ, - отмечает Алексей Лукацкий, менеджер по развитию бизнеса Cisco. - В существующих каталогах угроз и методиках анализа рисков и моделирования угроз эта проблема упоминается почти всегда. Просто сейчас время такое, что увольнения происходят сплошь и рядом, и многие службы ИБ, не сталкивавшиеся раньше с несанкционированными действиями бывших сотрудников, стали задумываться об этом. Да и различные аналитические отчеты подливают масла в огонь. О росте риска для конкретной компании можно говорить только в одном случае - текучка кадров в ней существенно превышает показатели предыдущих лет». Лукацкий напоминает, что существуют и более серьезные риски, которыми надо озаботиться в первую очередь. Что же касается мер борьбы с данной угрозой, то на первое место выходят не технические, а организационные и правовые методы борьбы. А они никогда не требовали таких же затрат, что и технические. «Грамотная работа с персоналом, беседы перед увольнением, поддержание нормального психологического климата, повышение осведомленности... Все эти меры позволяют существенно снизить риск утечек со стороны уволенных или увольняемых сотрудников», - считают в Cisco.

Весьма непростой в 2009 г. оставалась и задача поиска бюджета на нужды информационной безопасности. 50% респондентов оценивают степень ее важности как высокую или значительную. Такой результат демонстрирует существенный рост (на 17%) по сравнению с прошлогодним показателем. 40% опрошенных также планируют увеличить долю в суммарных расходах, направляемую на инвестиции в области информационной безопасности, а 52% намерены сохранить эти затраты на прежнем уровне. 

Впрочем, бюджеты на ИБ, как правило, всегда были небольшими, и на них не было возможности внедрить все задуманные системы. Поэтому даже сокращение этих бюджетов кардинально не изменит ситуацию, полагает Михаил Орешин, директор по развитию «Амрита-Групп». «С другой стороны, есть возможность решить давно «подвисшие», например, процедурные задачи, и их решение уже снизит риски тех же утечек. Кроме того, отделы ИБ никогда не были большими, и, видимо, текущая ситуация приведет к еще более плотному взаимодействию с ИТ-отделами компании». Злонамеренные действия, такие как месть, - риск не только для конфиденциальности, но и для целостности и доступности информации, отмечает Орешин.

Исследователи также пришли к выводу, что вопросы соблюдения нормативных требований продолжают занимать важное место в перечне приоритетных задач руководителей отделов ИБ. В ответ на вопрос о том, какую сумму их компании тратят на обеспечение соблюдения нормативных требований, 55% опрошенных указали, что затраты на эти цели привели к росту общих расходов на обеспечение ИБ, при этом степень роста оценивается ими как умеренная или значительная. Лишь 6% респондентов планируют сократить затраты на обеспечение соблюдения нормативных требований в течение следующего года.

Участившиеся случаи утечек данных привели к тому, что их защита стала приоритетной задачей руководителей отделов информационной безопасности. Внедрение или совершенствование технологий по предотвращению утечки данных (DLP) занимает второе по важности место на ближайший год. Это направление указали в качестве одной из трех основных задач 40% респондентов.

«В связи с кризисом, традиционная парадигма DLP смещается от борьбы со случайными утечками к борьбе со злонамеренными инсайдерами, - отмечает Михаил Кондрашин, руководитель Центра компетенции Trend Micro. - В новой формулировке задача становится существенно более сложной, так как совершенно очевидно, что если что-то хотят украсть, то это украдут. В таких условиях к системам DLP предъявляются новые требования, так как появляется необходимость выявлять злоумышленников. Эти требования могут включать в себя абсолютную скрытость системы DLP для пользователей. То есть вместо просвещения пользователя своевременными предупреждениями о нарушении политики безопасности, продукт осуществляет 100%-скрытый мониторинг».

Специалистов Ernst & Young также поразил тот факт, что лишь меньше половины компаний шифруют данные в ноутбуках. В настоящее время такое шифрование выполняют 41% опрошенных, и еще 17% планируют внедрить такую практику в следующем году. «Этот факт вызывает удивление по ряду причин: растет количество случаев нарушений безопасности, произошедших из-за утери или хищения ноутбуков; соответствующая технология уже готова к внедрению по доступной цене; воздействие процесса шифрования на деятельность пользователей относительно мало и больше не должно служить препятствием», - комментируют исследователи.

«Данные, содержащиеся в отчете Ernst & Young, являются абсолютно верными: еще в начале 2009 г. Symantec проводил совместно с несколькими исследовательскими компаниями подобный же анализ, который показал, что потенциальная возможность хищения информации массово увольняемыми в связи с мировым экономическим кризисом сотрудниками достаточно серьезно беспокоит менеджмент компаний, - подтверждает Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. - В том числе, и этим объясняется продолжающийся всплеск к специализированным средствам защиты, например продуктам класса DLP. Хотелось бы привести из этого отчета лишь несколько интересных цифр: 59% процентов работников анонимно признались что хоть раз похищали конфиденциальную информацию, из них 53% - загружали ее на CD или DVD диски, 42% - на USB устройства, 38% - пересылали на личную эл. почту; при этом около 79% работников  делали это без разрешения непосредственного руководителя, 82%  заявили, что работодатель не проверял их документы перед увольнением, а 24% уже бывших сотрудников имели продолжительное время доступ к их ПК и корпоративным ресурсам уже после увольнения. Думаю что комментарии к этим цифрам неуместны, и они четко говорят о том, что проблема далеко не является надуманной».

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru