Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

В качестве модного средства для борьбы с инцидентами информационной безопасности в корпоративных сетях внедряются программы для контроля всех действий сотрудников за рабочим компьютером, включающие в себя фиксацию, анализ, блокирование и оповещение об опасной или непродуктивной деятельности.

Действительно, при большой численности персонала и распределенных офисных помещениях без автоматических комплексных решений трудно что-либо контролировать.

Для обеспечения информационной безопасности на предприятиях применяется управление событиями информационной безопасности, включающее в себя сбор, анализ и представление информации от сетевых устройств и приложений. Внедрение управлений событиями призвано унифицировать обработку большинства операций по информационной безопасности.

Из практики можно заключить, что сотрудники финансовых компаний и операторов связи, которые имеют доступ к информации абонентов и клиентов, очень часто становятся не просто источником утечки информации, а участниками преступных групп, занимающихся мошенничеством.

К введению «тотальных» систем безопасности некоторые компании до сих пор относятся с осторожностью, и небезосновательно.

Когда речь идет о контроле корпоративной электронной почты, мониторинге файлов и директорий, запущенных процессов и приложений, логировании системных событий, с законодательной точки зрения все вроде бы понятно. Но когда разговор заходит о таких функциях слежения за сотрудниками, как контроль социальных сетей, отслеживание поисковых запросов и вводимых с клавиатуры значений, снятие скриншотов и просмотр рабочего стола, съемки с веб-камеры и запись окружения посредством встроенного в ноутбук или компьютер микрофона…

Можно предполагать, как себя чувствуют сотрудники, но автору не по себе даже от перечисления всех этих функций.

Однако, как показывает судебная практика[73], работодатель вправе контролировать исполнение работником трудовой функции любыми законными способами, включая осуществление контроля за использованием служебной техники и корпоративной почты.

Если в результате такого контроля системы безопасности будет раскрыта личная информация сотрудника компании, то, по мнению суда, виноват будет сам сотрудник, поскольку он использует предоставленные работодателем средства связи в личных целях[74].

В системах безопасности также применяются программные средства, основанные на анализе интернет-трафика, использовании приложений, аппаратных ресурсов, но весьма сомнительно использование средств перехвата по типу кейлогеров, хотя некоторые специалисты считают это приемлемым.

Различие между представленными на рынке продуктами, по мнению автора, состоит в некоторых пользовательских аспектах, таких как настройка фильтров, оповещений, встроенные аналитические функции.

Автор не тестировал возможности обхода устанавливаемых такими системами ограничений и чуткость организуемого контроля, но, основываясь на опыте, не склонен оценивать высоко степень создаваемой ими защищенности.

При внедрении и использовании таких систем информационной безопасности начинает дремать бдительность сотрудников безопасности, которые реагируют только на сообщения системы.

Комплексные системы призваны сводить к минимуму риски информационной безопасности и, по большей части, направлены на предотвращение утечки конфиденциальной информации.

Положительной чертой таких систем безопасности являются сбор и архивирование данных о событиях в сети, действиях пользователей, соединениях. Эти данные действительно являются ценными и могут оказать неоценимую помощь при расследовании инцидента информационной безопасности.

Для предотвращения финансовых потерь от мошеннических действий и кражи информации необходимо закладывать базовую политику безопасности при проектировании информационной системы предприятий.

Изначально должны предусматриваться разграничения доступа к данным для предотвращения преступных действий со стороны сотрудников и внедрение методов шифрования данных.

Для обеспечения защиты информации должна быть сформирована политика безопасности, находящая свое отражение в инструкциях каждого сотрудника, всех без исключения.

Нужно помнить, что главной угрозой сегодня являются «целенаправленные» методы кибератак, которые применяются практически при любых комбинированных атаках, на что бы они не были нацелены. Среди таких методов — и целенаправленный фишинг, который является одним из основных инструментов кибершпионажа и остается опасной проблемой информационной безопасности.

Как уже рассматривалось в предыдущих частях, злоумышленникам ничего не стоит реализовать доставку сообщения любому сотруднику под видом сообщения от имени также любого сотрудника, в том числе от руководителя или службы безопасности. Рассматривалась и реальная возможность совершения телефонных звонков с подменой номера звонящего абонента. Оба этих метода — целенаправленный фишинг и подмена номера — вместе создают практически универсальную отмычку, которой можно вскрыть любую политику безопасности, основанную лишь на автоматических системах.