Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Information leak. Human factor.

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,178
Reaction score
2,178
Points
613
Location
Новосибирск
Information leak. Human factor.
ROMAN IDOV,
Lead Analyst, SearchInform

First of all, a few words about who the insiders are. Usually this term refers to those employees who disseminate confidential corporate information outside their organization. One can talk about how the dissemination of such information can harm organizations, and this topic deserves a separate discussion. In the same article, we will consider for what reasons employees decide to "share" classified information with the outside world and for what purpose they do it.

Where do they come from?
Insiders in the company do not arise from scratch. If you suspect that your company has such an employee, then in identifying him, first of all, you need to pay attention to those who can benefit from the leak of information for some personal reasons. Among the most common motives are personal gain and revenge on the employer. Of course, there may be other motives, however, such motives can be considered more likely exceptions than rules.

The main feature of the insider can be called a strong interest in the fact that the "closed" information went beyond the organization. Very often when looking for the guilty one needs to look for someone who recently received a serious penalty, either did not receive the promised increase, or could not go on vacation when he wanted to.

Security experts also advise paying attention to those who are highly trusted by managers and ordinary employees of the company. Often, such trust can serve as an excellent cover for the employee to gain access to such documentation, which the insider cannot access due to his official duties.

Also, very often employees can make systematic information leaks not because they want to receive money for data belonging to the employer, and not because they want to take revenge on him. Very often, it’s precisely security experts who are guilty of insider blame, who simply poorly explained the essence of the company's information security policy to the hired employee. Often a situation is possible in which an employee wants to take some important documents with him in order to work with them at home for some time. Whereas sending such documents by e-mail, as well as posting them on file-sharing services or simply copying them to a flash drive is naturally determined by security experts as an employee’s attempt to organize a data leak.

Types of Insiders
In theory, any employee can become an insider - both a young system administrator and a middle-aged accounting employee. As a result of research by the Result Group, it was possible to establish that most often men become insiders. A typical insider is a man aged 30 to 50 years, with a higher education, as well as good knowledge in the field of information technology. And since at present most of the office employees work with computers, practically any of them, under appropriate circumstances, will be able to "merge" information - the level of technical training of the average office employee is quite enough for this.

Psychologists have so far also identified several major types of employees willing to become insiders. The most common of these types is called Pinocchio. Typically, such employees act more out of curiosity, rather than for selfish reasons. Such an employee can be hurt by negligence, because of the inability to remain silent about important information, and not at all because he wants to enrich himself or to substitute someone. This type may include an employee of any category and any competency, however, corporate information security policies should be enough to successfully counter Buratino insiders.

Recall that one of the most serious incentives for an insider employee is the desire to take revenge. It is quite logical that the psychological archetype of the insider following the “Pinocchio” in terms of prevalence was called the “elusive avenger”. Usually these are employees who want to take revenge on the company for their dismissal. SearchInform was able to establish that more than 49.5% of all laid-off employees are quite ready to transfer confidential information, which they could have access to at their previous job, to their new employer. This is actually a rather serious problem, it can be solved if you gradually restrict the access of the employee whom you plan to dismiss in the near future to confidential corporate information. Thus, management can ensure that by the time of his dismissal, the information that the employee possesses will be irrelevant.

The type of insider who disseminates classified information for selfish motives and even in very rare cases for ideological reasons is called Pavlik Morozov. Such a person uses both people and a PC to obtain information, while the ways of obtaining information are mostly legal. The information that this employee collects from the outside may seem necessary for him to work - therefore, this type of insider is especially dangerous. Information security specialists should have good control over employees who show official zeal, trying to get a promotion or earn money by receiving bonuses, etc. Some of these people cannot resist the possibility of earning easy money or a sufficiently high position in a competing company - all this may be possible thanks to insider information.

Finally, the most dangerous type of insider is the “gray cardinal”. Psychologists call so high-ranking insiders who, on duty, have access to a fairly wide range of documents. The motives that motivate such employees are quite diverse, however, most often these insiders prefer to use their position and available information to “eliminate” competitors, as well as to advance to higher positions. It is worth considering that many companies, unfortunately, have policies that allow the organization’s management to operate with little or no control from the security department. Therefore, confronting the “gray cardinal,” even if it can be determined, is rather difficult.

Social Engineering and Insiders
We pay a little attention to the use by insiders of various techniques of social engineering. This is important to know, because it is the use of such techniques that can betray the intentions of an insider.

“Classic insiders are technically competent employees. Indeed, in order to gain access to "closed" information, you need to know how this information is protected, "said Alexei Valerievich Drozd, director of the training center at SearchInform. In his opinion, at present, one does not need to be a good hacker in order to gain access to confidential documents. Today, social engineering tricks come to the fore, from which passwords and conventional access control schemes cannot protect.

To use social engineering techniques in communication with specific employees, an insider needs some preparation, allowing him to get closer to a future victim. For training, in particular, you will need detailed information about the employee of interest - including information about the family, his previous workplaces and his education ... A manifestation of interest in such information may indicate an upcoming leak of data from the organization with the help of an employee who shows such interest .

It is also worth considering the means close to social engineering, such as regular keyloggers, which provide information about logins and passwords that are needed to access confidential information. To prevent such tricks by insiders, you need to use good, high-quality anti-virus software that counteracts the work of keyloggers on user PCs.

Psychology and information security
If the organization has full-time psychologists, then perhaps management may authorize the use of their assistance in working on a list of employees who are most likely to engage in insider activity. Of course, first it is necessary to explain in a sufficiently convincing form why this is required. Such a list will allow to establish control over those employees who will be the culprits of data leakage in the future, and, therefore, will be able to save security costs, allowing them to competently organize the work of specialists in monitoring the actions of “conditionally reliable” and “conditionally unreliable” company employees.

During work, psychologists need to open access to employees' mail correspondence; this information is collected by corporate systems designed to protect against data leakage (they are also DLP systems). Some systems, for example, the “Information Security Circuit”, which is quite popular in Russia, will make it possible to keep an archive of all “intercepted” data, thus providing very rich material for psychologists. Also, do not be afraid that it will take too much time to analyze the data. Such events will pay off - by improving the work of the information security service and reducing the risks of data leakage.

Security Director - “Information Leak. Human Factor”
 
Original message
Утечка информации. Человеческий фактор.
РОМАН ИДОВ,
ведущий аналитик компании SearchInform

Прежде всего несколько слов о том, кто такие инсайдеры. Обычно этим термином называют тех сотрудников, которые распространяют конфиденциальные корпоративные сведения за пределами своей организации. О том, как распространение такой информации может навредить организации, можно рассказывать долго, и эта тема заслуживает отдельного разговора. В этой же статье мы рассмотрим, по каким причинам сотрудники решают «поделиться» закрытой информацией с окружающим миром и с какими целями они это делают.

Откуда они берутся?
Инсайдеры в компании возникают не на пустом месте. Если вы подозреваете, что в вашей фирме есть такой сотрудник, то при его выявлении в первую очередь нужно обратить внимание на тех, кто может получить выгоду от утечки информации по какимто личным мотивам. Среди наиболее распространенных мотивов можно назвать личную выгоду и месть работодателю. Само собой, могут быть и другие мотивы, однако такие мотивы можно считать скорее исключениями, чем правилами.

Главной чертой инсайдера можно назвать сильную заинтересованность в том, чтобы «закрытая» информация вышла за пределы организации. Очень часто при поиске виноватого нужно искать того, кто недавно получил серьезное взыскание, либо не получил обещанного повышения, или же не смог пойти в отпуск, когда ему хотелось.

Также специалисты по безопасности советуют обратить внимание на тех, кто пользуется большим доверием у руководителей и у обычных сотрудников компании. Зачастую такое доверие может служить превосходным прикрытием для того, чтобы сотрудник мог получить доступ к такой документации, к которой инсайдер не может получить доступа из-за своих служебных обязанностей.

Также очень часто работники могут допускать систематические утечки информации вовсе не потому, что хотят получить деньги за данные, принадлежащие работодателю, и не потому, что желают отомстить ему. Очень часто в инсайдерстве бывают виноваты именно специалисты по безопасности, которые просто плохо объяснили сотруднику, принимаемому на работу, суть политики информационной безопасности компании. Зачастую возможна ситуация, при которой сотрудник желает взять некоторые важные документы с собой для того, чтобы работать с ними дома какое-то время. Тогда как пересылка подобных документов по e-mail, а также размещение их на файлообменных сервисах или же простое переписывание на флеш-накопитель закономерно определяются специалистами по безопасности как попытка сотрудника организовать утечку данных.

Типы инсайдеров
В теории инсайдером может стать абсолютно любой сотрудник – и молодой системный администратор, и сотрудница бухгалтерии средних лет. В результате исследований компании Result Group удалось установить, что чаще всего инсайдерами становятся мужчины. Типичный инсайдер – это мужчина в возрасте от 30 до 50 лет, обладающий высшим образованием, а также хорошими познаниями в сфере информационных технологий. А поскольку в настоящее время большая часть офисных сотрудников работают с компьютерами, практически любой из них при соответствующих обстоятельствах сможет «слить» информацию – уровня технической подготовки среднего офисного сотрудника для этого вполне достаточно.

Психологи к настоящему времени также установили несколько главных типов сотрудников, готовых стать инсайдерами. Наиболее распространенный из этих типов получил название «Буратино». Обычно такие сотрудники действуют больше из любопытства, а не из корыстных соображений. Навредить такой сотрудник может по неосторожности, из-за неумения молчать о важной информации, а вовсе не потому, что желает обогатиться или же кого-то подставить. К такому типу может относиться сотрудник любой категории и любой компетенции, однако корпоративных политик информационной безопасности должно быть вполне достаточно для того, чтобы успешно противостоять инсайдерам-«Буратино».

Напомним, что одним из наиболее серьезных стимулов для сотрудникаинсайдера является желание отомстить. Вполне логично, что следующий после «Буратино» по распространенности психологический архетип инсайдера получил название «неуловимый мститель». Обычно это сотрудники, желающие отомстить компании за свое увольнение. Компания SearchInform смогла установить, что более 49,5 % всех уволенных сотрудников вполне готовы передавать конфиденциальную информацию, к которой они могли иметь доступ на своей предыдущей работе, своему новому работодателю. Это и в самом деле довольно серьезная проблема, решить ее можно, если постепенно ограничивать доступ сотрудника, которого планируется уволить в скором будущем, к конфиденциальной корпоративной информации. Таким образом руководство может добиться того, что к моменту его увольнения та информация, которой сотрудник владеет, будет неактуальной.

Тип инсайдера, который распространяет закрытую информацию из корыстных побуждений и даже в очень редких случаях по идейным мотивам, называется «Павлик Морозов». Такой человек задействует для получения информации и людей, и ПК, при этом пути получения сведений в основном являются легальными. Та информация, которую данный сотрудник собирает, со стороны может показаться необходимой ему для работы – потому такой тип инсайдера особенно опасный. Специалисты по информбезопасности должны хорошо контролировать сотрудников, которые проявляют служебное рвение, стремясь получить повышение или же заработать деньги за счет получения бонусов и т. п. Некоторые из таких людей не могут устоять перед возможностью получения легкого заработка или же достаточно высокой должности в конкурирующей фирме – все это может быть возможно благодаря инсайдерской информации.

Наконец, самый опасный тип инсайдера – «серый кардинал». Психологи именуют так высокопоставленных инсайдеров, которые по долгу службы имеют доступ к довольно широкому спектру документов. Мотивы, которые движут такими сотрудниками, довольно разнообразны, тем не менее наиболее часто эти инсайдеры предпочитают использовать свое положение и доступную информацию для «устранения» конкурентов, а также для продвижения по службе на более высокие должности. Стоит учитывать, что во многих компаниях, к сожалению, действуют политики, которые позволяют руководству организации действовать практически без какоголибо контроля со стороны отдела безопасности. Поэтому противостоять «серому кардиналу» даже в том случае, если его удастся определить, довольно непросто.

Социальная инженерия и инсайдеры
Уделим немного внимания использованию инсайдерами различных приемов социнженерии. Это важно знать, потому что именно использование таких приемов может выдать замыслы инсайдера.

«Классические инсайдеры – это технически грамотные сотрудники. Ведь для того, чтобы получить доступ к «закрытой» информации, нужно знать о том, как эта информация защищена», – полагает Алексей Валерьевич Дрозд, директор учебного центра компании SearchInform. По его мнению, в настоящее время не нужно быть хорошим хакером, чтобы получить доступ к конфиденциальным документам. Сегодня на первый план выходят приемы социальной инженерии, от которых не могут защитить пароли и обычные схемы контроля доступа.

Для использования приемов социнженерии в общении с конкретными сотрудниками инсайдеру нужна некоторая подготовка, позволяющая ему сблизиться с будущей жертвой. Для подготовки, в частности, потребуется подробная информация об интересующем сотруднике – в том числе информация о семье, о его предыдущих местах работы и о его образовании… Проявление интереса к таким сведениям может свидетельствовать о готовящейся утечке данных из организации при помощи работника, проявляющего такой интерес.

Также стоит учитывать и средства, близкие к социальной инженерии, такие как обычные кейлоггеры, предоставляющие информацию о логинах и паролях, которые нужны для доступа к конфиденциальной информации. Для предотвращения подобных ухищрений инсайдеров нужно использовать хорошее, высококачественное антивирусное ПО, противодействующее работе кейлоггеров на пользовательских ПК.

Психология и информационная безопасность
Если в организации присутствуют штатные психологи, то, возможно, руководство может дать санкцию на использование их помощи в работе над составлением списка сотрудников, которые наиболее склонны к инсайдерской деятельности. Конечно, предварительно необходимо в достаточно убедительной форме объяснить, для чего это требуется. Подобный список позволит наладить контроль за теми сотрудниками, которые окажутся в будущем виновниками утечки данных, а значит, и сможет сэкономить затраты на безопасность, позволяя грамотно организовать работу специалистов по мониторингу действий «условно надежных» и «условно ненадежных» сотрудников компании.

Во время работы необходимо открыть психологам доступ к почтовой переписке сотрудников, эта информация собирается корпоративными системами, предназначенными для защиты от утечки данных (они же – DLP-системы). Некоторые системы, к примеру, довольно популярный в России «Контур информационной безопасности», позволят вести архив всех «перехваченных» данных, таким образом, предоставляется очень богатый материал для психологов. Также не стоит бояться того, что на анализ данных уйдет чересчур много времени. Такие мероприятия окупятся – улучшением работы службы информбезопасности и снижением рисков утечки данных.

Директор по безопасности - "Утечка информации. Человеческий фактор"

До нового года осталось