WHITE PAPER

КАК РАЗРАБОТАТЬ
ПРОГРАММУ ЗАЩИТЫ
ОТ ВНУТРЕННИХ УГРОЗ
Чеклист из 12 пунктов

www.ekransystem.com
www.bakotech.com info@ekransystem.com
ekran@bakotech.com
 Разработанная и функционирующая программа
СОДЕРЖАНИЕ:

N INSIDER THREAT PROGRAM

Кто может быть инициатором
инсайдерской атаки?
Разработка программы по защите от
инсайдерских угроз – 12 важных шагов
по защите от инсайдерских угроз является
основной частью любой современной стратегии
по кибербезопасности.
Наличие средств контроля для предотвращения,
обнаружения и устранения внутренних атак
и непреднамеренных утечек данных, является
необходимостью для любой организации, которая
стремится защитить свои конфиденциальные
данные.
Наличие данной программы по безопасности
также является нормативным требованием
во всем мире.

Однако разработка эффективной и действенной

Заключение
программы по защите от внутренних угроз может
оказаться сложной задачей.

В этой статье мы дадим вам несколько советов

и рекомендаций о том, как разработать эту
программу. Мы обсудим опасности злонамеренных
и непреднамеренных инсайдеров и поговорим
о способах обнаружения, предотвращения
и устранения их атак.
OW TO BUILD

12-step checklist]
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

КТО МОЖЕТ БЫТЬ ИНИЦИАТОРОМ

ИНСАЙДЕРСКОЙ АТАКИ?

Основными источниками нарушений кибербезопасности принято считать возможных

заинтересованных третьих лиц или злоумышленников. Но есть много причин,
по которым инсайдерская угроза является более опасной и дорогой:

● Инсайдеры знают путь в вашей сети.

● Инсайдеры знают, какие ценные данные они могут украсть.

● Инсайдеры имеют законные учетные данные, поэтому их злонамеренные

действия могут оставаться незамеченными в течение длительного времени.

Поэтому первый шаг к созданию защитного механизма - узнать, с чем вы имеете дело.
Инсайдерские угрозы могут исходить от четырех основных групп сотрудников:

● Привилегированные пользователи. Обычно это администраторы и операторы

баз данных, которые имеют прямой и неограниченный доступ к конфиденциальной
информации. Это, вероятно, самая опасная группа, поскольку они являются
наиболее доверенными инсайдерами. Случаи кражи данных и мошенничества
с целью извлечения прибыли не являются редкостью, и ошибки системных
администраторов могут иметь серьезные последствия.

● Удаленные субподрядчики. Удаленные сотрудники и сторонние партнеры

имеют доступ к вашим конфиденциальным ресурсам. Суть в том, что, хотя вы
и можете быть уверены в собственной безопасности, вы на самом деле мало знаете
о политиках безопасности ваших партнеров. Таким образом, важно всегда следить
за действиями удаленных субподрядчиков и за тем, чтобы они не злоупотребляли
своими правами.

● Бывшие сотрудники. Недовольные сотрудники могут иногда пытаться отомстить

компании после ухода. Уволенные сотрудники могут попытаться украсть ваши
данные и использовать их, чтобы начать конкурирующий бизнес или передать
их вашим конкурентам.

● Непреднамеренные инсайдеры. Не все инсайдерские атаки являются

умышленными. Иногда сотрудники случайно теряют конфиденциальные данные,
например, отправляя электронное письмо неправильному получателю. Такие
ошибки могут оставаться незамеченными в течение длительного времени, вызывая
ущерб, который приводит к серьезным затратам на восстановление, до тех пор, пока
инцидент не раскроют.

ekran@bakotech.com 3 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

Независимо от причин, по которым злонамеренные инсайдеры совершают свои

преступления, все их атаки имеют две общие черты - их очень трудно
обнаружить и очень дорого исправить. Это связано с тем, что сотрудники имеют
законный доступ к конфиденциальным данным, что крайне затрудняет различие
между неправильным их использованием и фактическими рабочими
процедурами.

Из-за сложности обнаружения внутренние атаки могут продолжаться годами,

что в конечном итоге приводит к чрезмерному увеличению затрат
на восстановление. Эффективная программа против инсайдерских угроз
помогает снизить этот риск и сократить расходы на покрытие убытков из-за
утечки данных.

РАЗРАБОТКА ПРОГРАММЫ ПО ЗАЩИТЕ ОТ

ИНСАЙДЕРСКИХ УГРОЗ. 12 ВАЖНЫХ ШАГОВ

Теперь, когда мы определили опасность внутренних угроз, давайте рассмотрим

стандартные шаги по созданию программы по защите от инсайдеров для вашей
организации.

Ниже представлен контрольный список для создания программы

по внутренней защите:

● Изучить требования по кибербезопасности в вашей

отрасли;

● Сформировать группу заинтересованных сторон;

● Определить критические активы;

● Провести оценку риска инсайдерской угрозы;

● Разработать политику кибербезопасности в письменной

форме;

● Назначить менеджера, отвечающего за устранение

внутренних угроз;

ekran@bakotech.com 4 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

● Провести проверку данных сотрудников;

● Обучить своих сотрудников правилам внутренней безопасности;

● Контролировать доступ пользователей;

● Контролировать действия пользователя;

● Сформировать стратегию восстановления в случае возникновения

инцидента;

● Пересмотреть свою программу защиты от внутренних угроз.

Insider threat checklist

ekran@bakotech.com 5 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

Есть 12 важных вещей, которые вам нужно сделать при разработке программы
по защите от внутренних угроз:

1. Исследуйте требования по кибербезопасности в вашей отрасли

Сегодня данные стали одним из самых ценных активов любой компании. Существуют
законы и рекомендации, в которых указано, как защитить ваши данные и что делать
в случае нарушения. Эти документы обычно включают в себя отдельный раздел или
отдельную информацию о программе по защите корпоративных данных.

Самым известным в настоящее время правилом кибербезопасности является Общее

положение о защите данных (GDPR). Опубликованный в 2018 году GDPR требует
от любой компании, работающей с резидентами ЕС, укрепления их стандартов
безопасности. В нем предусмотрено, также, увеличение штрафов за несоблюдение
указанных стандартов.

Требования к кибербезопасности могут отличаться в зависимости от отрасли и типа

данных, которые вы храните. Самые строгие правила налагаются на медицинские (HIPAA)
и финансовые (Sarbanes-Oxley Act) учреждения, а также государственные учреждения
и их партнеров (NIST, NISPOM). Если вы работаете в другой области, изучите
соответствующие правила и нормативы для вашей отрасли. Это поможет вам собрать
идеи для вашей новой политики по кибербезопасности.

2. Сформируйте группу заинтересованных сторон

Создание программы по защите от инсайдерских угроз часто считается дорогостоящей

и низкоприоритетной задачей, особенно в компаниях, которые считают, что они
не подвергаются риску инсайдерской атаки. Поэтому первым шагом к созданию
эффективной программы является поддержка руководства вашей компании.

Рекомендуется начинать обсуждение подхода к программе по защите от внутренних

угроз с руководителями из различных отделов вашей компании.

3. Определите критически важные активы

Определение активов, которые вы считаете уязвимыми, является краеугольным камнем

программы по кибербезопасности. Это могут быть как физические, так и виртуальные
активы: данные клиентов и сотрудников, технологические секреты, внутренняя
документация, политики, серверы, прототипы и т.д.
Для определения ценных данных, вы можете обратиться за советом к своим
акционерам, топ-менеджерам и руководителям отделов. Например, бухгалтеры лучше
всего знают, какая финансовая информация не должна попадать в чужие руки.
Менеджеры по продажам могут сказать, какие клиентские данные они собирают и хранят.
ИТ-отдел может указать на уязвимости в сети.

ekran@bakotech.com 6 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

4. Проведите оценку риска инсайдерской угрозы

Компании часто используют нормативные акты в качестве образца для реализации мер
безопасности. Они рассматривают требования как контрольный список, которому
нужно следовать, редко рассматривая влияние каждого элемента управления
на их бизнес.

Более здоровый подход состоит в том, чтобы использовать оценку рисков для
формирования точной картины состояния вашей безопасности, уязвимостей
и потенциальных угроз, а затем реализовывать обнаружение внутренних угроз
на основе собранных данных. Вам будет необходимо провести аудит всех ваших
конфиденциальных данных и определить, какие части наиболее уязвимы и какие атаки
окажут наибольшее влияние на вашу организацию. После вы сможете сформулировать
стратегию по безопасности и начать расставлять приоритеты в реализации ваших мер
в соответствии с результатами оценки риска.

5. Разработайте политику кибербезопасности в письменной форме

Официальный документ по внутренней безопасности является отличным способом

формализовать вашу программу и ознакомить с ней ваших сотрудников. Эта политика
должна содержать четкие описания всех правил и мер, которые вы применяете. Нужно
это для того, чтобы ваши сотрудники имели четкое представление о том, что они могут
и не могут делать.

Письменная политика внутренней безопасности также является отличным

инструментом для обеспечения соблюдения программы и контроля ее реализации.
Одним из предостережений является то, что для обеспечения эффективности его
необходимо применять сверху вниз. Убедитесь, что ваше высшее руководство
принимает и следует тем же правилам, которым должны следовать остальные ваши
сотрудники. Кроме того, не забывайте пересматривать политику, чтобы держать ее
в актуальном состоянии.

Вы даже можете найти шаблоны подобных программ в интернете. Они являются

общими, поэтому не забудьте скорректировать их под свои нужды.

6. Назначьте ответственных менеджеров

Важно четко определить, кто несет ответственность за реализацию вашей программы

по борьбе с внутренними угрозами. Если вы не крупная корпорация, вам не нужен
целый отдел для выполнения этой роли. Вместо этого достаточно одного
компетентного менеджера высшего уровня, способного обеспечить реализацию
и выполнение мер безопасности.

ekran@bakotech.com 7 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

Еще одна вещь, на которую вам необходимо обратить внимание, - это создание общей
стратегии защиты от внутренних угроз для всей организации. Но позвольте
руководителям департаментов самим решать, как реализовывать меры защиты таким
образом, чтобы свести к минимуму влияние на установленный рабочий процесс
в их отделах.

7. Проведите проверку биографии сотрудников

Проверки данных не являются панацеей. Они не могут полностью снизить риск

внутренних угроз. Тем не менее, они являются важным начальным шагом в снижении
вероятности внутренних угроз, поскольку позволяют отсеивать наиболее рискованных
кандидатов при приеме на работу. Вы сможете определить потенциального
злоумышленника, обратив внимание на характерные признаки инсайдера и манеру
поведения.
Также важно проводить проверку данных не только при приеме на работу, но
и периодически для всех сотрудников. Необъяснимые изменения в финансовом
положении работника или его семьи могут быть явным признаком инсайдерской
угрозы. Кроме того, любой сотрудник, получивший уведомление об увольнении или
ожидающий увольнения в ближайшем будущем, представляет повышенный риск
совершения инсайдерских атак.

‘‘ Вы сможете определить потенциального

злоумышленника, обратив внимание на характерные
признаки инсайдера и манеру поведения
‘‘
8. Обучайте своих сотрудников правилам внутренней безопасности

При реализации программы защиты от внутренних угроз всегда важно, чтобы ваши
сотрудники были на вашей стороне. Для этого вам необходимо объяснить им риски,
с которыми сталкивается ваша компания, например, когда кто-то пишет свой пароль
на листе бумаги и прикрепляет его рядом с монитором.

ekran@bakotech.com 8 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

Обучение правилам кибербезопасности может значительно снизить

вероятность непреднамеренной утечки данных и неправильного
использования конфиденциальной информации. Также важно информировать
ваших сотрудников о методах фишинга, которые преступники могут
использовать для получения контроля над учетными записями.
Информированные сотрудники проявляют особую осторожность, снижая риск
того, что злоумышленники смогут проникнуть в вашу систему с помощью
скомпрометированных учетных данных и нанести ущерб изнутри.

9. Контролируйте доступ пользователей

Управление доступом пользователей является одним из краеугольных

камней предотвращения и обнаружения внутренних атак. Дополнительные
параметры проверки позволяют различать пользователей общих учетных
записей и убедиться в том, что правильный человек заходит под
соответствующей учетной записью.

Стоит запомнить несколько простых правил контроля доступа:

● Убедитесь, что каждая учетная запись имеет уникальный надежный пароль

● Меняйте пароли каждые 90 дней или внедрите инструмент одноразовых паролей.

● Запретите совместное использование пароля

● Запретите общие учетные записи

● Используйте более одного инструмента аутентификации для привилегированных

пользователей

● Используйте принцип наименьших привилегий при создании новых учетных

записей пользователей (ограничивайте доступ, если это необходимо)

Программное обеспечение для управления доступом само по себе больше

относится к профилактике, чем к обнаружению. Необычные модели поведения
могут быть индикатором несанкционированного доступа. Обычно
злоумышленники используют законные учетные данные для совершения атак
в обычное рабочее время, и единственный способ обнаружить их - точно знать,
что делают ваши пользователи.

ekran@bakotech.com 9 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

‘‘ Управление доступом пользователей является

одним из краеугольных камней предотвращения
и обнаружения инсайдерских атак
‘‘
10.Контролируйте действия пользователя

Мониторинг активности пользователей - самый мощный инструмент в арсенале

Ekran system для борьбы с внутренними угрозами. Использование специального
программного обеспечения для мониторинга дает вам возможность видеть каждое
действие пользователя в вашей сети, что позволяет легко отличить законную работу
от вредоносных действий.

Решения для мониторинга действий пользователя могут предупреждать вас

о подозрительных действиях, выступая в качестве превентивных инструментов
обнаружения. Собранные данные могут быть проанализированы и использованы для
расследования инцидентов или в качестве доказательства в суде. Ведь только решения
для мониторинга действий пользователей позволят вам предоставить неоспоримые
улики против инсайдера.

11. Сформируйте стратегию восстановления в случае возникновения

инцидента

Для защиты от внутренних угроз вам также нужна стратегия восстановления. Даже если у
вас есть надлежащие инструменты и средства управления, вам все равно нужно
составить план действий, который позволит быстро реагировать на инциденты
и уменьшать возможный ущерб.

Самым важным в плане является то, что он должен быть реалистичным и простым
в исполнении. Не пытайтесь охватить все возможные сценарии отдельным планом.
Вместо этого создайте несколько базовых и простых моделей, которые охватывают
целый ряд потенциальных инцидентов и могут быть применимы на практике.
Еще вы можете создать группу реагирования на инциденты. В нее должны входить
несколько сотрудников, прошедших соответствующее обучение по минимизации
потерь. Вопреки распространенному мнению, эта команда должна состоять не только
из ИТ-специалистов, но также включать в себя юриста, PR-менеджера и сотрудника
службы безопасности. По сути, они будут “Мстителями” в вашей компании.

ekran@bakotech.com 10 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

‘‘ В группу реагирования на инциденты должны входить

не только ИТ-специалистов, но и юрист,
PR-менеджер и сотрудник службы безопасности.
‘‘
По сути, они будут “Мстителями” в вашей компании

12. Пересмотрите свою программу защиты от внутренних угроз

Защита от внутренних угроз — это непрерывный процесс, который не заканчивается

реализацией программы. Кибер-злоумышленники (как инсайдеры, так и третьи лица)
с каждым днем становятся все более изобретательными. Чтобы ваша программа была
актуальна, вы должны пересматривать ее не реже одного раза в год, самое
оптимальное – два раза в год. Кроме того, следите за новыми передовыми методами
и стандартами расследования нарушений, которые происходят в вашей отрасли.

ekran@bakotech.com 11 Содержание
КАК РАЗРАБОТАТЬ ПРОГРАММУ ЗАЩИТЫ ОТ ВНУТРЕННИХ УГРОЗ WHITE PAPER

ЗАКЛЮЧЕНИЕ

Двенадцать пунктов, приведенных выше, представляют собой общий план разработки

программы по защите от внутренних угроз, который может быть применен практически
к любой компании. Вы можете изменить эти шаги в соответствии с рисками, с которыми
сталкивается ваше предприятие.

В настоящее время программа по кибербезопасности является обязательной даже для

самых маленьких компаний. Существует миф, что создание такой программы - дело
дорогое. Но на рынке есть решения, которые предоставляют большой набор функций
по доступной цене. Например, Ekran System помогает в предотвращении внутренних
угроз. В функционал данного решения входят инструменты контроля доступа, действий
и идентификации пользователей, а также инструменты мониторинга
привилегированных пользователей с записью любых активностей, предпринимаемых
внутри защищенного периметра и набор инструментов для реагирования на
инциденты. В сочетании с гибкой схемой лицензирования, система Ekran может стать
эффективным инструментом для усиления вашей программы защиты от внутренних
угроз.

О БАКОТЕК
БАКОТЕК® – международная группа компаний, которая занимает лидирующие позиции в сфере
фокусной Value Added IT-дистрибуции и поставляет решения ведущих мировых
IT-производителей. Позиционируя себя как True Value Added IT-дистрибьютор, БАКОТЕК
предоставляет профессиональную до- и пост-продажную, маркетинговую, техническую
поддержку для партнеров и конечных заказчиков. Территориально группа компаний работает
в 26 странах на рынках Центральнойи Восточнои Европы, Балкан, Балтии, Кавказа, Центральной
Азии с офисами в Праге, Кракове, Риге, Минске, Киеве, Баку и Нур-Султане.

Группа компаний БАКОТЕК – официальный дистрибьютор Ekran System в Украине, Беларуси,

Грузии, Азербайджане, Армении, Германии, Австрии, Швейцарии.

За дополнительной информацией по решениям Ekran, пожалуйста, обращайтесь

по тел. +38 044 273 3333, на сайт www.bakotech.com, а также пишите на ekran@bakotech.com

www.bakotech.com