Инсайдеры. Часть вторая. Активы под угрозой.

insiders_2

(см. также: Инсайдеры. Часть первая. Модель нарушителя.)

Какие информационные активы компании сильнее всего подвержены риску умышленного нанесения ущерба со стороны собственных сотрудников? Что мы должны защищать в первую очередь? У инсайдера могут быть две разные цели: заработать или навредить. Последняя цель встречается очень редко, но встречается. Как правило, инсайдер пытается заработать на информационных активах компании. Вот с этого и начнем.

С точки зрения «заработать» информационные активы имеют два важных параметра: стоимость и ликвидность. Владельцу бизнеса эти параметры разъяснять не надо, более того Вы лучше знаете, каковы эти параметры у Ваших активов в Вашем бизнесе. Но вот со стоимостью есть нюанс. На самом деле их две: «продажная» стоимость, цена за которую удастся продать актив, и «ущербная» стоимость, размер ущерба, который будет нанесен компании.

В большинстве бизнесов самым ликвидным активом являются данные о клиентах компании и условиях контрактов с ними. Но и здесь есть разница в ликвидности. Например, подобные данные о крупном корпоративном клиенте продать трудно. Трудно найти покупателя и установить с ним контакт. Но стоимость актива выше. Причем обе стоимости: продажная и ущербная. Другое дело «массовые клиенты» из ритейла. Этих легко продать «на рынке», пусть и за небольшие деньги.

Есть еще «побочные данные», которые имеют ценность и высокую ликвидность на рынке, но по сути не являются «активами» компании. Например, полные данные банковских карт (PAN, CVV-code, Cardholder name, Validation date) или персональные данные (вспомним массовые продажи дисков с «базой данных ГИБДД»). Интересно, что эти «побочные данные» не имеют прямой ущербной стоимости для компании, но могут стать причиной потери репутации или серьезных санкций со стороны государственных или «индустриальных» контролирующих органов.

Так вот, наибольшей угрозе подвержены ликвидные активы, независимо от их стоимости «продажной» или «ущербной». Здесь под наибольшей угрозой мы понимаем вероятность атаки, а не размер ущерба. Почему? Потому, что мы рассматриваем цель «заработать». Значит, ущербная стоимость для нас не важна. Важна ликвидность и продажная стоимость. Почему продажная стоимость менее важна? Потому, что при низкой ликвидности, это как выигрыш в лотерее. О нем можно мечтать, но на него глупо рассчитывать. Однако с ликвидностью не все так просто. Здесь надо учитывать индивидуальные возможности инсайдера. Бомж, нашедший золотое кольцо, вряд ли сможет его продать дороже, чем за бутылку водки. А приличный человек сможет. Вопрос в том, какие каналы продаж доступны инсайдеру.

Таким образом, для того чтобы понять, какие активы находятся под угрозой в модели «цель – заработать», мы должны определить ликвидность наших активов для различных категорий инсайдеров с учетом их возможностей выхода на «рынки сбыта». Разумеется, это будет очень и очень «экспертная» оценка. Чем лучше вы знаете свой бизнес, тем точнее будет оценка. А вот теперь нам надо посмотреть на ущербную стоимость. Если она окажется очень мала (принято считать в процентах от капитала компании), то мы можем просто наплевать на эту проблему: «Тащи с работы каждый гвоздь. Ты здесь хозяин, а не гость.» Но так бывает редко. Один мой армейский товарищ (владелец крупного бизнеса – производство строительных материалов) утверждает, что инсайдеры наносят ему ущерб в среднем в шесть раз больше, чем зарабатывают на нем. Очень опасны инсайдеры в компаниях, которые работают в ритейле, но при этом имеют локальный рынок и предлагают дорогостоящие продукты или услуги, например, строительство индивидуальных домов. Менеджеры по продажам могут полностью убить такую компанию, «перепродавая» заказы конкурентам.

Теперь рассмотрим ситуацию «цель – навредить». Вот здесь важна ущербная стоимость. Чем выше, тем лучше. При этом актив не нужно продавать. Его достаточно испортить. Например, уничтожить информацию или испортить веб-сайт компании, через который идут продажи. Цель —  остановить бизнес-процессы компании. Здесь мы должны рассмотреть эти самые бизнес-процессы и выяснить, какие активы для них критичны, что именно целесообразно испортить. При этом, речь идет не только об информации, также о технических средствах ее обработки. Например, о серверной и сетевой инфраструктуре, где, чтобы испортить, достаточно поменять настройки оборудования. Эта часть совсем простая и очевидная.

Есть еще одна злая цель инсайдера – использование ресурсов компании в своих целях. Это встречается повсеместно. Обычно в безобидной форме, например, использовать доступ в интернет с рабочего места для развлечений или поиска товаров и услуг в «свободное» рабочее время. Айтишники, особенно программисты, часто используют рабочие ресурсы для «личных проектов». Но бывают вещи и похуже. Например, кража или «временное использование» денег с «мертвых» счетов в банке. Бывает еще начисление зарплаты «мертвым душам», но такие вещи обычно происходят в сговоре. В 90-е годы, практически во всех войсковых частях ближнего Подмосковья, служили «мертвые души». Командование «разрешало» офицерам не являться на службу и работать «на гражданке», в обмен на «оставление в части» офицерского денежного довольствия. Некоторые так до подполковников дослуживались, работая во вполне приличных фирмах.

И последнее из массовых явлений – подделка отчетности о результатах работы. Встречается повсюду, где в той или иной форме считают KPI, и от этого зависит материальное поощрение работника. Самое интересное я наблюдал у биржевых трейдеров. Обычно в финансовых конторах, торгующих на бирже, число лицензированных дилеров сильно меньше числа работающих. То есть, под лицензией одного дилера торгует целая команда. Дилер, который торгует не за проценты – это нонсенс. Соответственно, существует некий «внутренний учет», позволяющий понять, какие сделки совершал каждый член команды. Я сталкивался со случаем, когда дилер слегка поправлял этот внутренний учет, переписывая свои неудачные сделки на товарищей по команде, чтобы немного повысить свой доход. Или вот такой забавный случай. Одна компания была очень заинтересована в том, чтобы клиенты, которые обслуживались в многочисленных офисах, переходили на обслуживание через Интернет. Для этого им нужно было в офисе подключать специальную услугу: «личный кабинет». Беда в том, что для этого нужно было получить у клиента контактные данные и, в частности, номер мобильного телефона. А вторая беда в том, что компания неосторожно решила поощрять розничных менеджеров за количество клиентов, которым они подключили эту услугу. Как нетрудно догадаться в системе CRM этой компании оказалось огромное количество липовых телефонных номеров. К тому моменту, когда в эту компанию стали звонить совершенно посторонние люди и жаловаться, что им приходят по СМС какие-то непонятные коды доступа черт знает куда, система CRM была уже очень сильно «загажена».

Вообще, KPI – это тема, на которую можно собрать целый сборник анекдотов. Правда, для владельцев бизнеса эти анекдоты не очень смешные.  Но надо закругляться и сделать вывод. А вывод в том, что сам по себе бизнес-процесс может содержать предрасположенность к недобросовестному использованию. Поэтому бизнес-процессы надо анализировать на наличие таких «уязвимостей». И не один раз в жизни, а на протяжении всего жизненного цикла, при каждом внесении изменений и усовершенствований в бизнес-процесс.  И, если уязвимости нельзя устранить, необходимо разрабатывать и принимать меры защиты.

Я рассмотрел только самые общие принципы выявления активов, подверженных атакам со стороны внутренних нарушителей. В конкретной компании надо проводить конкретный анализ. Ничего особенно сложного в этом нет, как правило, достаточно здравого смысла, знания бизнеса и немножко аналитического мышления. Я очень рекомендую проводить такой анализ не «в уме», а «на бумажке», то есть для каждого актива определять интересен ли он злым инсайдерам, примерное описание возможных способов реализации угрозы, ущербную стоимость реализованной угрозы, ликвидность актива (где это понятие имеет смысл), и все это записывать, лучше в специальной конструкции, которая называется CMDB (Configuration Management Database). И еще. Такие записи нужно делать, перечисляя все возможные угрозы для каждого актива, не только инсайдерские. Просто здесь мы рассматриваем частный случай.

Пора переходить к следующей части.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s