Детализация основных элементов модели инсайдера

Детализация основных элементов модели инсайдера

В настоящее время существуют два основных термина, которыми характеризуют сотрудника, совершившего противоправное действие в отношении своего предприятия:

Данные термины являются синонимами и применяются как в области информационной безопасности (защиты информации), так и в области физической защиты (защиты объектов).

Введем основные термины и определения:

Несанкционированное действие - несанкционированное службами объекта совершение или попытка совершения:

1) хищения охраняемых предметов,

2) копирования, изменения, удаления охраняемой информации,

3) информационный доступ к охраняемой информации,

4) выноса носителей с охраняемой информацией,

5) вывода из строя или нарушения функционирования охраняемых информационных систем или информационных систем обеспечения безопасности.

Инсайдер (внутренний нарушитель) - лицо, имеющее право доступа на территорию охраняемого объекта (или информационную область) без сопровождения и совершающее несанкционированное действие.

Инсайдерское правонарушение - действие или совокупность действий инсайдера или инсайдеров, приводящее к нежелательным последствиям для объекта или создающее предпосылки для формирования нежелательных последствий.

Инсайдерские правонарушения можно проклассифицировать по следующим основным направлениям:

По предмету интересов для хищения/воздействия:

—носимый (транспортабельный) предмет,

—сложная техническая установка, информационное воздействие на которую может привести к значительным потерям (последствиям),

—информационная система с важной информацией, —информационная система управления системой безопасности на объекте,

—смешанное (несколько объектов интересов).

Качественный состав инсайдеров:

- одиночный сотрудник в сговоре с внешним нарушителем, -группа сотрудников в сговоре с внешним нарушителем.

По осознанности действий:

—преднамеренные (полностью осознаваемые),

—халатные, хулиганские (частично осознаваемые), —неосознанные.

По мотиву совершения правонарушения:

—получение личной выгоды (получение финансовой выгоды, кража конфиденциальной информации, например, для следующего места работы),

—интерес (кража информации с целью посмотреть, ознакомиться, кража информации с целью взломать).

—действия под принуждением,

—реализация психосоматических отклонений (повышение самомнения за счет самореализации при проведении акции, повышение адреналина) [1,2].

По должностным возможностям:

Должностные возможности можно разделить на следующие основные категории:

-без возможности доступа (физической, информационной) к объекту интересов,

—периодическая возможность доступа к объекту интересов, —постоянная возможность доступа к объекту интересов под надзором,

—постоянная возможность доступа к объекту интересов без надзора,

—обеспечение управления доступом к объекту интересов, —разработка системы управления доступом к объекту интересов.

По способу воздействия для достижения цели: —информационный,

По степени последствий:

—нанесение ущерба нескольким государствам,

—нанесение ущерба одному государству,

—нанесение ущерба отрасли, корпорации,

—нанесение ущерба предприятию,

—нанесение ущерба структурному подразделению предприятия,

—нанесение ущерба сотруднику.

По обнаружению после совершения или по факту подготовки: —мгновенно,

—по факту случайного восприятия, доступа,

—по факту очередного контроля,

—по факту расследования,

—не обнаружено никогда.

По степени наказания/воздействия при обнаружении:

—статья уголовного кодекса,

—административное наказание на объекте,

—без наказания - является нормой поведения, например, присвоение списанных предметов.

Далее рассмотрим эти направления более подробно.

1.2.1. Предметы интересов инсайдеров

Наиболее вероятной для инсайдера информацией является: —электронная информация,

—информация на бумажных носителях,

—информация, которой располагают сотрудники, как носители информации,

Электронная информация как объект воздействия может находиться в трех состояниях:

- хранения: на диске, в оперативной памяти или в любом другом месте;

- передачи по линиям связи;

- обработки, в тех случаях, когда объектом атаки является процесс пользователя.

Акустическая информация - случайно или преднамеренно подслушанная информация.

Информация на бумажных носителях - информация из служебных документов, личных и служебных записей сотрудников.

При этом любой увольняющийся сотрудник является инсайдером, т.к. он уносит часть информации о предприятии, как носитель информации, особенно при условии, что он уходит в конкурирующую организацию, т.к. он уносит информацию о технологиях, разработках, партнерах, рынке. .[3]

Носимый предмет может являться ценным с точки зрения:

• наличия в нем информации (системный блок компьютера, винчестер, флэш-карта (другая карта памяти), CD, DVD, бумажный документ, фотопленка. );

• ценности как объекта разработки за счет своих конструктивных, физических и других особенностей, промышленных или производственных отходов;

• ценности как объекта реализации: деньги, ценные металлы,.

• ценности как контейнера для хранения ценных веществ (жидкостей, газов, соединений).

Защита объекта от выноса носимых предметов осуществляется: —в процессе работы: правилом нескольких лиц, учетом в журналах и наблюдением других сотрудников;

—в процессе хранения: инженерно-техническими средствами физической защиты;

—на возможных точках «санкционированного» выноса (людских контрольно-пропускных пунктах): определением обнаруживаемых физических характеристик предметов (масса, наличие металла, радиоэлектронных компонентов, радиоактивного излучения) и его габаритных и визуальных характеристик;

—на возможных точках «санкционированного» вывоза (автомобильных контрольно-пропускных пунктах): определением некоторых обнаруживаемых физических характеристик предметов (радиоактивного излучения) и их габаритных и визуальных характеристик;

—на возможных точках «несанкционированного» выноса (окна, двери аварийных выходов, проемы в стенах, ограждение периметра) защита обеспечивается инженернотехническими средствами физической защиты.

При этом для повышения эффективности своих действий инсайдер может отвлекать внимание других сотрудников, экранировать, прятать или маскировать выносимый/вывозимый через контрольно-пропускной пункт (КПП) предмет, а также самостоятельно или в сговоре модифицировать систему безопасности для временного отключения технических средств физической защиты.

Сложная техническая установка

Сложная техническая установка (объект) представляет интерес с точки зрения совершения диверсии или материального обогащения в случаях, когда:

—информационное управление техническими устройствами приводит к такому состоянию объекта управления, при котором возможна авария;

—информационное управление техническими устройствами и модификация информации в базе данных (БД) создают возможность несанкционированного перераспределения в установке транспортируемых (перерабатываемых) веществ, которое может быть использовано для материального обогащения нарушителя.

Сложная техническая установка — установка по переработке (использованию) экологически опасных веществ (радиоактивных, биологически-опасных, взрыво- и пожароопасных), неправильное управление которой может привести к взрыву, выбросу в окружающую среду перерабатываемых веществ, что приведет к загрязнению окружающей среды, гибели людей, экономическому ущербу и политическому диссонансу.

В 1995 г. на Игналинской АЭС террористы через своего агента изменили программу загрузки активной зоны реактора. Попытка была пресечена оперативными сотрудниками [26]. При этом если бы не было оперативной информации о такой акции, на реакторе могла тогда произойти серьезная авария.

Для защиты от преднамеренного или халатного управления инсайдером в сложных технических установках существует программная и аппаратная защита.

Для обогащения нарушители могут использовать недостатки системы учета расхода веществ. Так, например, при продаже нефти через трубопроводы при остановке подачи не учитывался объем нефти, оставшийся в трубопроводе, который можно откачать обратно и снова продавать.

Информационная система с важной информацией Информационная система с важной информацией для поддержки обеспечения деятельности предприятия представляет интерес:

а) с точки зрения хищения информации о:

-другой закрытой, конфиденциальной информации, продажа конкурентам которой позволит последним ускорить разработку продукта, компрометировать предприятие, увеличить свою конкурентоспособность;

б) с точки зрения модификации информации для:

—хищения электронных денежных средств;

—изменения информации для дискредитации предприятия, нанесения значительного ущерба;

в) с точки зрения удаления информации: для нанесения ущерба.

Для защиты применяются системы разграничения доступа, биометрические электронные средства идентификации пользователя, разграничение доступа в базе данных, межсетевые экраны (определение см. в 12.5) (при наличии удаленного доступа к сети).

Информационная система управления системой безопасности на объекте

Информационная система управления системой безопасности на объекте представляет интерес с точки зрения:

— обеспечения прохода (доступа) к защищаемым ценностям,

— создания невидимого пользователя,

— имитации перезагрузки, зависания системы для совершения несанкционированных действий в данный интервал времени.

Для защиты применяются: правила нескольких лиц для модификации информации, фиксирование всех действий операторов, файерволы (при наличии удаленных доступов к сети).

— Сотрудник для инсайдера может представлять интерес с точки зрения:

— получения информации о способах доступа к системам,

— предоставления дополнительной помощи при реализации акции, например, при нехватке должностных полномочий.

У инсайдера, в основном, существует только один объект интересов, однако для того чтобы произвести желаемое действие с этим предметом он может иметь промежуточные объекты интересов, например: получение информации (как объекта интереса) о месте нахождения своей основной цели - контейнера с ядерным материалом.

1.2.2. Качественный состав инсайдеров

Одиночный инсайдер - сотрудник объекта, который в силу своего психологического состояния, мотива совершает противоправное действие. Например, сотруднику нужны деньги, и он находит организацию, которой нужна известная ему информация или информация, которую он может достать.

Не исключено, что внутренним нарушителем может быть легально устроившийся внешний нарушитель. Наиболее вероятно это будет вспомогательный персонал - дворники, уборщицы. В настоящее время в условиях дефицита персонала вероятность трудоустройства значительно повышается. Также внутренним нарушителем может быть персонал подрядных организаций.

Более сложный, но не исключаемый вариант, когда внутренним нарушителем является, например, проектировщик системы защиты, программист-разработчик системы, которые могут оставить уязвимую комбинацию в системе защиты или программную лазейку с целью последующего использования при совершении акции.

Группа инсайдеров (сговор)

Рассмотрим три определения сговора.

Сговор — предварительная, предшествующая совершению экономических операций, не оглашаемая договоренность нескольких участников таких операций действовать определенным образом в собственных интересах и в ущерб интересам других экономических субъектов. Обычно сговор носит противоправный, противозаконный характер и ущемляет интересы государства либо третьей стороны (экономическое определение).

Сговор — соглашение двух или нескольких лиц для совместного осуществления уголовно наказуемых действий (уголовное определение).

Сговор - предварительная договоренность каких-либо сторон о совместных согласованных действиях для совершения каких-либо действий (обобщенная).

В нашем случае сговор — это договоренность сотрудников о совместных согласованных действиях для совершения акции хищения информации или носителей информации, диверсии и т.д.

В понятие действий могут входить как различные физические действия, например по отключению систем, так и сбор информации, шантаж.

Обычно в сговоре один нарушитель является доминирующим (лидером), который для повышения успешности своих действий или возможности успешного совершения действий «приглашает» других «союзников». В качестве «приглашения» может выступать шантаж, мотивация к игре (к которой склонен «приглашаемый»), деньги, слава, старая дружба. Также может быть совокупность данных «приглашений» для оказания «оптимального» воздействия на личность.

Для внутренних нарушителей сговор наиболее вероятно будет характеризоваться «тихой» акцией, при которой может быть похищена информация.

Сговор сотрудников можно охарактеризовать как совокупность должностных полномочий, технических средств и приспособлений, позволяющая совершить противоправное действие в отношении объекта (транспортируемых ценностей), без фиксирования в протоколе нарушений средствами технического или информационного контроля. Средства контроля могут сработать, но в журнал (в который заносятся изменения) или на экран оператора информация не попадет.

Сговор может базироваться не только на статической совокупности должностных полномочий, но и на динамике отношений с другими сотрудниками, которые в силу халатности или невнимательности могут «незаметно» поспособствовать «успешной» реализации акции.

Зачастую сговор формируется длительное время: сотрудникам нужно время, чтобы войти в доверие друг к другу, поэтому вторым параметром (после совокупности должностных полномочий), которым можно оперировать, является связность (дружба) сотрудников. И, конечно, третий параметр - мотив или причина действий. В качестве причины или мотива могут выступать криминальные наклонности, желание зарабатывать деньги любым путем, любовь.

Рассмотрев основные аспекты сговора, перейдем к его более подробному описанию.

Первая опасность сговора (наиболее вероятный вариант - сговор внутренних нарушителей) состоит в возможности совершения хищения без срабатывания технических средств физической защиты (ТСФЗ) и обнаружения часовыми КПП выносимого/вывозимого предмета защиты, за счет использования совокупности должностных полномочий, вовлеченных в сговор сотрудников (Рис. 1.1).

1 - сотрудник, допущенный к ценностям

2 - часовой, сотрудник охраны

3 — техник средств охраны, программист БД, СКУД

Рис. 1.1 - Пути выноса предметов защиты при сговоре сотрудников

Оценку качества (эффективности) системы физической защиты (СФЗ) (описание см. подробнее в 11.2) проводят на основе временного анализа движения нарушителя и сил охраны. Если силы охраны успевают перехватить нарушителя, то они выигрывают и, соответственно, наоборот.

Поэтому вторая опасность сговора состоит в снижении вероятности обнаружения нарушителя средствами обнаружения, часовым при наличии фальшивых пропусков. При этом ожидаемая эффективность СФЗ снижается.

Временной анализ основан на оценке вероятности перехвата нарушителя силами охраны. Как уже говорилось ранее, в данной книге рассматривается совершение преступления без срабатывания средств сигнализации или информационного контроля, т.к. сотрудники предпочтут совершить «тихое» преступление, поскольку преодоление физических барьеров, возможность вооруженного конфликта с силами охраны резко снижает успешность акции. Тем более у каждого сотрудника есть близкие, родные, есть чем рисковать. Поэтому временной анализ подходит больше для действий спецподразделений на объекте по совершению акций хищения или диверсии. Несомненно, внутренний нарушитель будет обязательно задействован в такой акции как пособник, который будет сообщать информацию спецподразделению противника и возможно снизит защищенность системы безопасности объекта, отключив какие- либо средства сигнализации, передав ключи от дверей нарушителю или зарегистрировав в базе данных нового пользователя- нарушителя, который позволит нарушителю пройти по поддельному пропуску. Однако маловероятно, что один-два инсайдера полностью отключат систему безопасности, да и вариант диверсионноагентурного проникновения выходит за пределы рассмотрения данной книги.

Одиночный инсайдер в сговоре с внешним нарушителем

Как правило, данный вариант сговора формируется в двух вариантах:

— сотруднику нужны деньги, и он находит организацию, которой нужна информация, которую он может достать (в случае если эта информация у него есть, он переходит в категорию одиночного нарушителя, поскольку служба безопасности (СБ) не противодействует внешнему нарушителю),

— сторонней организации (конкурентам) нужна информация, которую может предоставить известный сотрудник, и с помощью средств воздействия (деньги, шантаж, убеждение) она стимулирует его на совершение акции хищения с предоставлением технических или программных средств.

Данный тип модели нарушителя отличается от одиночного

тем, что у него могут быть более современные средства съема

информации, взлома систем защиты.

Группа инсайдеров в сговоре с внешним нарушителем

Данная группа эквивалентна одиночному инсайдеру в сговоре с внешним нарушителем, но у одиночного инсайдера появляются должностные полномочия других сотрудников. В данном случае одиночного инсайдера можно рассматривать как супер-инсайдера.

1.2.3. Осознанность действий

Преднамеренные правонарушения (копирование, модификация, уничтожение информации, хищение носимых предметов) совершаются инсайдером по какому-либо мотиву, рассмотренному в

1.1.2. При преднамеренном инсайде сотрудник осознает полностью или частично потери, которые может понести предприятие, общество и понимает наказание, которое последует вслед за реализацией противоправных действий в случае его поимки или раскрытия преступления.

Халатные действия совершаются при незнании правил эксплуатации, поведения, режима секретности и других регламентирующих установок или их преднамеренном невыполнении из-за лени, усталости, наплевательского отношения к работе. При этом сотрудник обычно говорит себе, что делает это, потому что устал или потому что так делают другие: срабатывает защитный заместительный механизм психики - человек не может говорить сам себе, что поступает неправильно, а говорит, что делает это т.к. это делают другие или потому что он устал. Срабатывает эффект замещения: чтобы защитить свою психику от осознания неправильного поведения, человек скрывает неправильность своих действий ложным мотивом, хотя неправильность действий все равно остается.

По халатности сотрудник может повысить информационную уязвимость объекта, если он:

— забыл инициировать средства защиты информации;

— оставил защищаемый предмет без присмотра, надлежащей защиты;

— оставил информацию о снятии средств защиты в доступном месте;

— сообщил информацию конкурентам, например, в качестве рекламы;

— вел секретные переговоры по незащищенным линиям связи, в незащищенном помещении;

— проводил работу с закрытой информацией на незащищенном компьютере;

— не соблюдал другие установленные требования безопасности.

Возможно совершение неправильных действий, когда сотрудник в силу своих психосоматических отклонений (азартные игры, употребление наркотиков) не осознает их неправильность и действует в соответствии со своим «внутренним голосом». В данном случае срабатывает тот же заместительный механизм психики, но уже на более глубоком уровне.

Второй вариант неосознания заключается в том, что человек реально хотел хорошо выполнить какие-то действия, но в силу своей невнимательности, забывчивости, ограниченности или усталости не учел какие-то факторы, которые привели к негативным последствиям.

1.2.4. Мотивы совершения

Последовательность любой акции характеризуется последовательностью шагов от цели к действию и состоит из четырех компонентов:

Цель -> мотивация -> действия -> результат.

Деньги в современном обществе являются наиболее важным мотивом. Чем на большую сумму может рассчитывать человек, тем сильнее мотив совершения действий. Однако мотив зависит от многих факторов, наиболее значимыми из которых являются:

— объем получаемой выгоды,

— риск поимки во время совершения преступления,

— риск обнаружения преступника по факту расследования преступления при обнаружении признаков совершения преступления,

— наличие юридических и других процессуальных механизмов, которые позволят посадить преступника в тюрьму,

— степень наказания за совершенное преступление.

Преступник не всегда может понести наказание при наличии уголовного состава в его деянии, например, если компания, где работает преступник понесет значительные потери при его наказании, например потеряет репутацию. Наиболее ярко это выражается при заведении уголовных дел в банках и других финансовых организациях привлекающих капитал или работающих с капиталом. Потеря репутации из-за неблагонадежных сотрудников повлечет за собой отток клиентов и денежной массы.

Инициация преступного (нелояльного) замысла может произойти при наличии определенных условий:

— материальное вознаграждение от внешнего нарушителя;

— плохие отношения с начальством;

— шантаж, угроза (прогноз - анализ прошлого);

— слабый уровень охраны;

— ухудшение условий работы;

— ухудшение отношений в коллективе;

— значительное ухудшение как своего здоровья, так и здоровья близких людей при невозможности его поправить существующей зарплатой;

— угроза значительного ухудшения условий труда, уменьшения зарплаты;

Также к косвенным причинам инсайдерства можно отнести следующие:

1) организационно-управленческие [17]:

— несовершенство структуры управления режимным обеспечением (нечеткое определение функций каждого работника, неукомплектованность и значит высокая загруженность);

— недостатки в подборе сотрудников СБ и лиц-секретоносителей (низкая зарплата, текучесть персонала, низкая квалификация, допуск лиц, уволенных по веским причинам, имеющих родственников за границей и в криминальных структурах),

— отсутствие стабильности в управлении безопасностью;

— несовершенство организации обеспечения секретности работ: секреты - второе дело, невнимательность, слабый контроль;

— слабый контроль со стороны руководителей;

— недостатки планирования - перед новым годом выполняется весь объем работ и не получается соблюдать правила секретности;

— недостаточное финансирование работ по обеспечению секретности;

— недостатки в стимулировании исполнителей секретных работ;

— незнание требований секретности;

— плохие отношения с руководством и начальником режимного отдела;

— общая недобросовестность ( делаю, как все );

— отсутствие наказания за невыполнение режима секретности;

— неблагоприятный климат в коллективах;

— недостатки в применении санкций;

— слабый надзор за деятельностью предприятий;

— недостатки различных нормативно-правовых документов.

1.2.5. Должностные возможности

Должностные возможности являются основным отправным пунктом в совершении инсайдерского преступления. Инсайдер отличается от внешнего нарушителя:

— должностными возможностями по доступу в различные зоны объекта и к охраняемой информации;

— информированностью, в том числе возможностью получения информации от других сотрудников под благовидным предлогом и расширением деятельности за пределы должностных обязанностей под видом «помощи»;

— возможностью модификации в некоторых случаях системы защиты, учета и контроля, что позволяет значительно снизить риск совершения акции.

Теоретически всегда существует огромное количество возможных преступных групп, которые могут похитить любую информацию, вынести любой предмет защиты и совершить любую диверсию. Однако не все люди являются склонными к получению денег за приемлемый риск при нарушении закона. И основной задачей предупреждения преступления является недопущение появления групп из неблагонадежных сотрудников, совокупность должностных полномочий которых позволяет беспрепятственно совершить преступление.

1.2.6. Способы воздействия на систему защиты Воздействия на охраняющую предмет защиты систему безопасности могут производиться с использованием:

• информационных средств: программных закладок, вирусных программ, паролей, стандартных программ взлома и дешифрования.

• физических средств и устройств: ключей, поддельных документов и средств идентификации, инструментов, взрывчатки, средств перемещения (дельтаплан, автомобиль, лодка),.

📎📎📎📎📎📎📎📎📎📎