Практика показывает, что в большинстве случаев хакеры, представляющие реальную опасность, работают по заказу и под контролем организованных криминальных структур.
Время от времени появляются сообщения о том, как в качестве заказчиков компьютерных преступлений выступают спецслужбы различных стран.
Недобросовестные партнёры и конкуренты.
В течении последних лет наряду с пособиями для хакеров на полках магазинов в изобилии появились книги по промышленному шпионажу, и некоторые из них уже являются рекордсменами продаж. В списках услуг охранно-сыскных структур присутствует получение информации и наблюдение за конкурентами и партнёрами, подобные функции выполняют и собственные службы безопасности многих компаний. Ещё одним инструментом добычи сведений являются недобросовестные служащие государственных структур.
В качестве источника информации недобросовестные партнёры и конкуренты используют Web-сайты, СМИ, материалы публичных выступлений. Для сбора информации в глобальной сети всё чаще привлекаются хакеры.
Но самым опасным для компании источником утечки конфиденциальной информации являются ее собственные сотрудники.
Конкуренты могут получать информацию в ходе беседы после выступлений и на специально организованных переговорах. При соответствующей подготовке недоброжелатели могут эффективно использовать современные психотехнологии, эксплуатировать желание субъекта показать себя влиятельным, осведомлённым, компетентным, использовать вредные привычки и скрытые потребности.
В первую очередь объектом воздействия становятся менеджеры и высококвалифицированные специалисты, так как именно они осведомлены в наибольшей степени.
Особенно полезными для недобросовестных конкурентов могут оказаться уволенные сотрудники, а также сотрудники, получившие приглашение, в том числе мнимое, на работу. Находящиеся в штате работники также не всегда следуют интересам организации.
Не менее опасным для компании может оказаться воздействие заведомо ложной и модифицированной информации, которая передаётся по "доверенным" каналам, распространяется через СМИ, Web-сайты, публичные выступления.
2.2.2 Внутренние источники угроз.
Менеджеры.
Как лица, обладающие большими организационными полномочиями, наибольшую потенциальную угрозу для информационных ресурсов компании представляют менеджеры. Например, к потерям могут привести распоряжения предоставить пользователю неоправданно высокие права, реализовать в информационной системе небезопасный, но удобный функционал. Иногда информационные угрозы возникают вследствие неудовлетворительного выполнения руководителями контролирующих функций. Известны случаи, когда продавалось оборудование, с дисков которого не удалялась конфиденциальная информация компании и партнёров.
Во избежание возникновения ущерба целесообразно обязать менеджеров согласовывать решение вопросов, связанных с информационными рисками, с руководителем службы информационной безопасности.
Сотрудники.
Значительной угрозой информационной безопасности компании является низкая квалификация персонала, недостаточная для корректной работы с корпоративной информационной системой. Особо опасными являются некомпетентные сотрудники, выдающие себя за грамотных пользователей, или считающие себя таковыми.
Во многих компаниях отсутствует контроль над установкой на рабочих станциях программного обеспечения. Не понимая возможных последствий, сотрудник может установить на своём рабочем месте заинтересовавшую его программу или "патч", существенно снизив эффективность усилий по обеспечению корпоративной сетевой безопасности. Подобная угроза возникает и в случае подключения находящейся в локальной сети рабочей станции к Интернет через модем или мобильный телефон, оснащённый функцией цифровой связи.
Конечно, не будет лишним ещё раз упомянуть об угрозах, исходящих от приклеенных к мониторам стикеров с паролями и практики обмена паролями между работниками, выполняющими сходные функции.
В ряде случаев проблемы безопасности связаны с тем, что легальные пользователи используют необходимую для работы информацию не по назначению. Причиной может быть злой умысел, халатность, непонимание последствий распространения доступных им сведений. Очевидно, что данная проблема неразрешима только технологическими мерами.
Наибольшую опасность представляют сотрудники, обиженные на организацию и её руководителей. Поэтому случаи возникновения явных и скрытых конфликтов, несоответствия сложившейся ситуации ожиданиям сотрудников, могут рассматриваться как потенциальные предпосылки нарушений информационной безопасности. Особого внимания требуют связанные с такими ситуациями случаи увольнения. Как отмечалось выше, сотрудник, уволившийся из компании с чувством обиды, легко может стать источником информации для недоброжелателей.
IT-специалисты, администраторы и лица, выполняющие критичные операции.
Хочется обратить внимание на отбор кандидатов, которым предполагается доверить выполнение операций, требующих больших прав в информационной системе. Не меньшее значение, чем профессиональные навыки, имеют лояльность кандидата и способность сохранять приверженность интересам компании даже в сложных ситуациях. По этой причине лица, на вершине системы ценностей которых находится материальное вознаграждение, скорее всего, получат отказ. С особой осторожностью следует относиться к кандидатам, слишком часто меняющим работу, предоставившим недостоверные сведения, привлекавшимся к административной и уголовной ответственности, имевшим психические или невротические расстройства.
Желательно, чтобы кроме собеседования со своим руководителем, кандидат встретился с профессиональным психологом. Часто психолог проводит тестирование, которое выявляет особенности характера и потенциальные возможности кандидата. Также важно провести беседу, в ходе которой будут выявлены система ценностей и особенности поведения. Это позволит убедиться в том, что кандидат гладко "впишется" в корпоративную культуру, понять, какая система мотивации будет для него наиболее подходящей.
Особое внимание следует уделить тому, чтобы работа сотрудника в организации соответствовала его ожиданиям. В частности руководителю следует воздержаться от необоснованных обещаний. Психологический контракт важен так же, как формальный.
Традиционной проблемой, связанной с IT-сотрудниками, является контроль и оценка результатов деятельности. Немногие руководители способны воспринимать "птичий" язык и вникать в сущность их работы, в том числе в вопросы защиты данных. И немногие владеющие глубокими знаниями в IT, компетентны в вопросах управления.
Например, в IТ-подразделениях часто отсутствуют должностные инструкции и не проводятся аттестации. Иногда IТ-специалистов рассматривают как обслуживающий персонал, пытаются нагрузить дополнительной работой, не определённой должностной инструкцией. Это ухудшает выполнение прямых обязанностей, вызывает недовольство, отрицательно сказывается на лояльности, приводит к высокой текучке кадров. Наверняка многим известны случаи, когда увольняющийся администратор блокирует пароли сервера.
2.3 Последствия воздействия угроз и виды угрожающих воздействий.
Последствием воздействия угроз является нарушение безопасности системы. Рассмотрим эти последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты информационно-вычислительной сети или системы. (Угрожающие действия, являющиеся следствием случайных (природных) событий обозначены "*".)
2.3.1 (Несанкционированное) Вскрытие.
Обстоятельство или событие, посредством которого субъект получил доступ к охраняемым данным (например, конфиденциальным), не имеющий на самом деле прав доступа к ним. Следующие угрожающие действия могут стать причиной несанкционированного вскрытия:
1.1. "Разоблачение": Угрожающее действие, посредством которого охраняемые данные стали доступны непосредственно субъекту, не имеющему на это право. Оно включает:
1.1.1. "Преднамеренное разоблачение": Умышленный допуск к охраняемым данным субъекта, не имеющему на это право.
1.1.2. "Просмотр остатка данных": Исследование доступных данных, оставшихся в системе, с целью получения несанкционированного знания охраняемых данных.
1.1.3.* "Ошибка человека": Действие или бездействие человека, которое неумышленно повлекло за собой несанкционированное знание субъектом охраняемых данных.
1.1.4.* "Аппаратно-программная ошибка": Ошибка системы, которая повлекла за собой несанкционированное знание субъектом охраняемых данных.
1.2. "Перехват": Угрожающее действие, посредством которого субъект имеет непосредственный несанкционированный доступ к охраняемым данным, циркулирующим между полномочными источниками и получателями. Оно включает:
1.2.1. "Кража": Получение доступа к охраняемым данным путем воровства различных накопителей информации независимо от их физической сущности (например, кассеты с магнитной лентой или магнитные диски и др.).
1.2.2. "Прослушивание (пассивное)": Обнаружение и запись данных, циркулирующих между двумя терминалами в системе связи.
1.2.3. "Анализ излучений": Непосредственное получение содержания передаваемых в системе связи сообщений путем обнаружения и обработки сигнала, излучаемого системой и "переносящего" данные, но не предназначенного для передачи сообщений.
1.3. "Умозаключение": Угрожающее действие, посредством которого субъект получает несанкционированный, но не прямой, доступ к охраняемым данным (но не обязательно к данным, содержащимся в передаваемых сообщениях) путем осмысления характеристик или "побочных продуктов" систем связи. Оно включает: