Perimetro apsauga

Perimetro apsauga nuo savų neapsaugo

Problema

Įmonės apsaugo savo IT ūkį nuo išorinių grėsmių, bet vis daugiau žalos padaro darbuotojai ir partneriai.

Kodėl taip yra?

Darbuotojai keršija arba nutekina informaciją per klaidą. Perimetro apsauga nuo to neapsaugo.

Kaip spręsti?

Automatiškai stebėkite darbuotojų veiksmus ir blokuokite jų prieigą užfiksavus nebūdingą elgesį.

Įmonėms perkeliant vis daugiau savo duomenų į debesis arba bent jau duomenų centrus, jos kelia vis daugiau klausimų dėl IT infrastruktūros saugumo. Dažniausiai klientai į šį klausimą kelia iš perimetro apsaugos perspektyvos – kaip garantuoti, kad į mūsų virtualią teritoriją nebus įleisti pašaliniai.

To neišsprendus, pasekmės įmonei gali būti pražūtingos (plačiau: 5 dažniausios IT sistemų saugumo spragos Lietuvoje 2014). Pasirinkus patikimą debesų kompiuterijos platformą, visi perimetro apsaugos klausimai jau bus išspręsti. Tačiau, kaip praeitą rugsėjį rašė Harward Business Review, šiandien įmonėms kur kas didesnį pavojų kelia savi darbuotojai ir partneriai, kurie legaliai praeina perimetro apsaugos priemones.

D. M. Upton ir S. Creese: „Savi gali sukelti kur kas daugiau žalos, nei įsilaužėliai iš išorės. Jie turi lengvesnę prieigą ir žymiai ilgesnę galimybę ja pasinaudoti. Su teisėte prieiga jie gali vogti, sujaukti ir sugadinti IT sistemų duomenis nepastebėti perimetro apsaugos sistemų. Tai gali paralyžiuoti įmonės veiklą, prarasti intelektinį turtą, sužlugdyti reputaciją investuotojų ir klientų akyse, nutekinti konfidencialią informaciją trečiosioms šalims ir spaudai.“

Vormetric duomenimis, 54% vadovų teigia, kad per pastaruosius 3 metus tapo sunkiau pastebėti ir sustabdyti viduje kylančias atakas. KPMG duomenimis, nuo 2007 iki 2010 šių atakų dalis bendrose saugumo problemose išaugo nuo 4% iki 20%. Šiandien didžiausia grėsmė jūsų IT saugumui yra darbuotojas arba partneris.

Kas sukėlė vidinių atakų augimą?

Per pastaruosius keletą metų IT ūkis išaugo savo dydžiu ir kompleksiškumu. Kaip jau rašiau ankstesniuose savo straipsniuose, šiandien kiekvienas yra savo IT vadovas. Vis daugiau darbuotojų turi vis daugiau galimybių įtakoti įmonės IT ūkio procesus. Vis daugiau prieigos turi ir jūsų tiekėjai bei klientai, o juos kontroliuoti yra kur kas sunkiau, nei darbuotojus.

Asmeninių įrenginių naudojimas darbo tikslais tapo norma. Alcatel-Lucent duomenimis, daugiau kaip 10 mln. išmaniųjų telefonų yra užkrėsti šnipinėjimo programine įrangą. Naujų užkrėtimų kiekis auga 20% kasmet. Šnipinėjimo virusai gali būti bet kur. Pakanka į darbo aplinką atsinešti bet kokį el. prietaisą, kad ir išmaniojo telefono pakrovėją ar USB ausines, ir viskas tampa pažeidžiama – net ir prie interneto neprijungtos sistemos.

Socialinių tinklų populiarumas išaugo iki nevaldomo naudojimo. Jais bet kokie duomenys gali iškeliauti iš įmonės ir išplisti pasaulyje akimirksniu, įmonei to net nepastebint. Samdyti specialistai socialiniuose tinkluose ir pažinčių svetainėse gali suvilioti jūsų darbuotojus ir užsitarnauti draugišką pasitikėjimą vien tam, kad išviliotų konfidencialią informaciją.

Kodėl mus puola savi?

Kaip rašo HBR, laisva valia darbuotojai puola darbdavius keršydami arba siekdami naudos. Psichologės M. Whitty patirtimi, tam pasiryžę asmenys pasižymi makiaveliškumu, narcicizmu ir psichopatija. CPNI tyrimas konkrečiuose atvejuose atskleidė tokių darbuotojų nesubrendimą, žemą savigarbą, amoralumą arba etikos trūkumą, paviršutiniškumą, polinkį į fantazijas, neramumą arba impulsyvumą, nesąžiningumą, manipuliatyvumą ir nestabilumą.

Tai yra psichologinės žmogaus būklės savybės. Jas galima nustatyti asmenybės testais darbuotojų atrankos metu. Samdydami tokį darbuotoją, duomenų saugumo prasme jūs į savo įmonę įleidžiate neprognozuojamą žvėrį. Nuo to momento bet kokia klaida saugumo sistemose ar atsipalaidavusi vidinė kultūra bus pastebėtos iš išnaudotos. Jei nesate kalėjimo metodais apsaugotas zoologijos sodas, žvėris geriau palikti už tvoros.

Kur kas sudėtingesnė situacija, jei darbuotojui grasinama ir jis veikia prieš savo valią. Kai mygtukas Share apsaugo artimųjų sveikatą, įmonė gali pajusti dūrį į nugarą net ir iš lojaliausių.

Tokias rizikas atskleidžia staiga pasikeitusi darbuotojo psichologinė būklė ir elgesys. Jei stebėjimo programos fiksuoja įtartinai paankstėjusį ar nusivėlinusį darbo grafiką, įtartinas paieškas ar lankomas svetaines, IT skyriui tai gali būti ženklas apriboti prieigą prie svarbių duomenų ir išsiaiškinti priežastis. Paaiškėjus kriminalinėms aplinkybėms, tai jau nebe IT skyriaus kompetencija.

Darbuotojų neapdairumas ir išnaudojimas

Visgi dažniausiai darbuotojai sukelia problemų to net nesuprasdami: prijungia prie savo kompiuterio užkrėstą USB laikmeną, paspaudžia nuorodą el. pašte ir t.t. Atrodo, taip gali pasielgti tik žioplys.

Bet ar tikrai pagalvotumėte, kad per šias Kalėdas iš Microsoft atsiųstas USB raktas ar ausinės gali turėti specialiai jūsų IT infrastruktūrai sukurtą virusą? Arba kad derinant paskolos sutartį su SEB, tą patį virusą slėps iš jų gautas sutarties juodraštis? O jei dar paskambins „SEB paskolų specialistas“ ir paprašys atsidaryti ir greitai telefonu sutikslinti vieną punktą?

Apsimesti jūsų partneriu yra paprasta tiek realiame, tiek virtualiame pasaulyje. Pramoninis špionažas tapo vaikų žaidimu. Už 200$ galite nusipirkti visą pradedančiojo paketą sekimui ir stebėjimui. Bent kažkiek konteksto nugirdęs užpuolikas sugebės surežisuoti scenarijų, kuriame skambės labai įtikinamai ir pastūmės jūsų darbuotojus veiksmams, kurių jie patys ne stresinėje situacijoje nesiimtų.

Manote, kad esate per maži, jog kas nors regztų tokias James Bond scenas jūsų įmonės garbei? Šnipinėjimo įranga yra tokia pigi ir taip lengvai naudojama, o internete informacijos kontekstui yra tiek daug ir nemokamai, kad sėkmingu pramoniniu špionažu gali užsiimti ir kebabinės. Jei jūsų niekas nešnipinėja, tai tik todėl, kad tikrai nieko vertingo nežinote ir niekam nekeliate konkurencijos.

Saugios IT infrastruktūros principai

Suteikite individualią prieigą tik tiems, kam reikia, ir tik tiek, kiek reikia. Kažkodėl įmonės viduje šis perimetro apsaugos principas pamirštamas. Jūsų duomenų saugykla – tai ne pilis su viena tvora, o daug koridorių su dar daugiau spynų.

Jei darbuotojui reikia vieno dokumento iš projekto katalogo, tai suteikite jam prieigą prie to vieno dokumento, o ne prie viso katalogo. Debesų kompiuterijos saugyklos suteikia labai lengvai valdomą detalią prieigos kontrolę. Efektyvus jos naudojimas yra kertinis saugumo principas – sumažindami prieigą iki minimalios, sumažinate ir visas rizikas.

Sukurkite aiškias praktiškas darbo taisykles. Pavyzdžiui, darbuotojai turi suprasti, kodėl negalima dalintis savo slaptažodžiu su kolega, kokia bausmė už tai laukia ir kaip tokią situaciją spręsti teisingai. Bendras IT išprusimas arba šabloniniai saugaus darbo principai nepadeda. Kas skamba kaip normali praktika, konkrečiuose scenarijuose gali parklupdyti apsaugas.

Skatinkite darbuotojus pranešti IT skyriui apie viską, kas atrodo įtartinai (kolegų ir tiekėjų prašymai, el. laiškai ir t.t.). Dažniausiai atvejis nekelia pavojaus ir darbuotojai gali tai daryti. Bet kartais iš pažiūros kasdienė procedūra slepia nekasdienes grėsmes. Tokiems atvejams kartojantis, natūraliai susikurs praktinės taisyklės.

Svarbiausia yra ne pačios taisyklės, o jų supratimas konkrečiose situacijose. Įmonė saugi gali būti tik tuomet, kai tai yra kiekvieno darbas, visi jaučia pareigą ją ginti ir visi žino, ką konkrečiai reikia daryti.

Išmokykite savo darbuotojus, kokie pavojai jų tyko ir kaip nuo jų apsisaugoti. Retas vadybininkas supranta, kad el. laiško siuntėjo adresas arba skambinančiojo tel. numeris gali būti sufalsifikuoti. Arba kad USB ausinėse gali būti virusas. Kuo darbuotojas turi didesnę prieigą, tuo šis „švietimas“ yra svarbesnis. Vadinasi, daugiausiai mokytis turi generalinis direktorius ir skyrių vadovai, nes jie yra pažeidžiamiausia grandis.

Patikimiausias būdas išmokyti darbuotojus dirbti saugiai – padėti jiems kasdienėse užduotyse. Įdiekite programinę įrangą, kuri pastebės įtartinus atvejus ir įspės apie tai darbuotoją. Pavyzdžiui, jei el. laiškas nepasirašytas saugiu DKIM raktu, el. pašto programa turi įspėti, kad galbūt tikrasis siuntėjas nėra tas, kuo dedasi.

Įdiekite įmonėje saugumą užtikrinančią įrangą. Taisyklės be įrankių yra svaičiojimas apie utopinį rytojų statant kitus į kvailio vietą. Jei nustatysite, kad slaptažodis turi būti ilgesnis kaip 10 simbolių, iš didžiųjų ir mažųjų raidžių, turėti bent po 2 skaičius ir specialiuosius simbolius, darbuotojai tokius ir susikurs. Bet jų neatsimins. Todėl užsirašys ant lipniųjų lapelių ir prisiklijuos prie monitoriaus. Kas iš to, kad slaptažodis sudėtingas, jei jį gali sužinoti kiekviena valytoja?

Jei norite, kad darbuotojai naudotų saugius slaptažodžius, įsidiekite dviejų žingsnių autentifikavimą arba duokite jiems slaptažodžių generatorius. Jei norite, kad jie neprijunginėtų USB prietaisų, centralizuotai visuose kompiuteriuose išjunkite USB lizdus. Jei norite, kad jie naudotų tik saugią programinę įrangą, tokią ir suteikite. Kas nutinka, kai darbuotojai yra paliekami spręsti savo problemų patys, jau rašiau straipsnyje „Šešėlinis IT ūkis jūsų įmonėje?“.

Nuolat stebėkite, kas vyksta jūsų tinkle. Įspėkite visus savo darbuotojus ir partnerius, kad jų veikla yra stebima. Nusistatykite automatinius pranešimus ir prieigos apribojimą pagal savo kriterijus. Pavyzdžiui, kažkas per vieną dieną parsisiuntė 100 skirtingų dokumentų, nors dirba su vienu projektu, kuriame tėra 20 failų? Vartotojo prieiga turi būti automatiškai apribojama arba bent jau administratorius turi gauti automatinį pavojaus pranešimą.

Kartais būtina suteikti plačią prieigą, bet netikėtas susidomėjimas kažkuria medžiaga signalizuoja anomaliją. Automatinis jų pastebėjimas atskleis spragą prieigos kontrolėje, nutekėjusį slaptažodį arba piktnaudžiavimą. Net jei tai generalinis direktorius per valandą parsisiuntė visų Panevėžio klientų bylas, verta paskambinti ir paklausti, ar jam tikrai staiga visų jų prireikė, ar kažkas nulaužė jo slaptažodį. Be automatinio ribojimo ir pranešimų, apie tokį informacijos nutekėjimą sužinosite tik tuomet, kai IT skyriui jau nebebus ką saugoti.

Leiskite dirbti laisvai, bet stebėkite

Kuriant saugaus darbo taisykles, konfigūruojant prieigos kontrolę ir t.t. kils pagrindinė dilema – kiek daug darbuotojams leisti, o ką visgi drausti techninėmis priemonėmis. Pritariu D. M. Upton ir S. Creese nuomonei, kad „įmonės turi suteikti darbuotojams daugiau laisvės naršyti kur nori, bet atidžiau ir nuolat stebėti jų veiklą“.

Seniau vartotojų stebėjimas, ar jie laikosi tvarkos, buvo įsivaizduojamas tiesiogiai: IT darbuotojas nuotoliniu būdu reguliariai prisijungia prie vadybininko kompiuterio ir pažiūri, ar šis neveikia ko nors blogo. Dar šiandien Senukuose yra įprasta, kad skyriaus vadovui be jokio įspėjimo ima drebėti pelė. Vadinasi, prie jo kompiuterio sesijos brutaliausiu būdu prisijungė IT specialistas, perimdamas net HID (Human Interface Device) kontrolę.

Toks stebėjimas kelia etikos bei privatumo klausimų, reikalauja daug žmogiškųjų išteklių ir visiškai nedidina realaus IT ūkio saugumo. Šiame straipsnyje kalbu tik apie automatinį vartotojų stebėjimą, kurį atlieka programos su savo algoritmais. Jos fiksuoja visus vartotojų veiksmus tik tokia apimtimi, kokios reikia analizei. Su duomenimis dirba tik algoritmai, todėl privatumas nepažeidžiamas. Svarbiausia, stebėjimas vykdomas nuolat. Ir tik kai algoritmai pastebi anomalią veiklą, reikalinga informacija perduodama IT specialistui.

Žinoma, įvesti draudimus paprasčiau ir pigiau. Tačiau šiandien automatinio visų vartotojų stebėjimo kaštai yra kur kas mažesni, nei draudimų keliama žala. Atsisakiusi šiandieninių IT galimybių bet kuri įmonė praras darbo našumą, atsiliks konkurencinėse lenktynėse ir taps nepageidaujamu darbdaviu.

Aiški tvarka vengiant draudimų darbuotojams leidžia dirbti laisvai išvengiant chaoso. Automatinis prieigos ribojimas užfiksavus vartotojui nebūdingą elgesį garantuoja kur kas aukštesnį duomenų saugumą, nei senoviniai draudimai.

Debesų kompiuterijos duomenų saugyklos dalį minėtų saugumo funkcijų turi baziniame pakete. Jų pasijungimas ir naudojimas nieko papildomai nekainuoja. Įsijunkite bent jau tas duomenų saugumo ir vartotojų stebėjimo funkcijas, kurios jau yra įdiegtos jūsų programose.

Autoriaus interesų atskleidimas

Mano vadovaujama UAB „Virtuali erdvė“ yra įgaliota Google Apps for Work platintoja Lietuvoje. Padedame įmonėms įsidiegti debesų kompiuterijos programas bei saugyklas ir taip didinti darbuotojų efektyvumą bei užtikrinti duomenų saugumą.

Chrome for Work ir Chromebook for Work yra Google Apps platformos dalis. Jos padeda efektyviai valdyti didelį IT ūkį, centralizuotai kontroliuoti visus darbuotojus ir stebėti duomenų naudojimą.

Autorių teisės

Creative Commons licencija Straipsnis „Perimetro apsauga nuo savų neapsaugo“, kurio autorius Pakamore pasilieka ir saugo visas savo autoriaus teises, yra licencijuotas publikavimui pagal Creative Commons Priskyrimas + Jokių išvestinių darbų (BY-ND) 4.0 tarptautinę licenciją.