Контрмеры против шпионажа и инсайдеров — это насущные проблемы для всех компаний.
Только недавно (25 января) сообщалось об инциденте со шпионом, представляющим угрозу для безопасности Японии. Ютака Араки (Yutaka Araki, 48 лет), который отвечал за конструирование коммуникационного оборудования, будучи директором отдела беспроводных процессов в штаб-квартире развития мобильных информационных технологий компании SoftBank, скопировал информацию о телефонных базовых станциях SoftBank и других коммуникационных технологиях на информационный носитель. Этот носитель он передал в ресторане сотруднику российского торгового представительства в обмен на денежное вознаграждение. Детали предоставленной информации неизвестны, однако там могут быть сведения, которые облегчают кибератаки на мобильные телефонные линии SoftBank.
Этот инцидент не только шпионский, но и инсайдерский.
Недавние инсайдерские инциденты включают в себя дело об утечке информации о клиентах корпорации Benesse (2014 год) и дело о продаже жестких дисков администрации префектуры Канагава (2019 год). Урок дела Benesse состоял в том, что журналы доступа стали автоматически записываться и регулярно отслеживаться для предотвращения мошенничества, а дела Канагава — в том, что стали проверять личные вещи сотрудников.
Если бы эти уроки отразились на практике, Араки не смог бы скопировать информацию на носитель и вынести его из офиса.
Как и в случае с SoftBank, инсайдеры (определение я дам позже) зачастую являются осведомителями разведчиков. Поэтому меры против инсайдеров государственных органов и частных компаний, которые связаны с государственными и коммерческими секретами, должны быть интегрированы с мерами против шпионажа.
Кроме того, в некоторых случаях инсайдеры крадут информацию путем прямого доступа к информационным активам (самой информации и устройствам, которые записывают и хранят информацию) внутри объекта, а в некоторых — извне объекта, например, из дома через сеть. Поэтому меры против инсайдеров должны быть интегрированы с мерами кибербезопасности.
Чтобы предотвратить повторение подобных инцидентов, в этой статье я сначала опишу реальную ситуацию вокруг шпионской деятельности, затем — меры против инсайдеров и, наконец, дам рекомендации компаниям.
Надеюсь, эта статья поможет бизнесу противостоять шпионам и инсайдерам.
Положение дел в сфере шпионской деятельности
Лучший способ борьбы со шпионажем — обучение сотрудников. При обучении сотрудников необходимо объяснить реальную ситуацию со шпионской деятельностью, особенно методы, которые используют разведчики для вербовки, и учить их не приближаться к опасным лицам.
Значение шпионской деятельности
Обязательным условием для планирования и реализации внешней, а также оборонной политики страны является знание национальных условий государства-партнера. То есть: «Знай своего врага, познай себя, и ты не будешь бояться сотни битв». По этой причине правительства направляют дипломатов, военных атташе и торговые делегации в страны-партнеры для сбора информации. Благодаря контактам с представителями властей, а также газетам, публикациям и выставкам они добывают политическую, экономическую, военную и техническую информацию о стране, а затем передают ее на родину.
Кроме того, иностранные спецслужбы пытаются собирать разведывательные данные путем скрытой разведывательной деятельности, отправляя агентов в страны-партнеры в качестве дипломатов или сотрудников торговых представительств.
Также крайне небольшое количество разведчиков маскируют себя под журналистов или используют фиктивные имена и гражданство для ведения тайной деятельности.
Создание шпионской сети
Шпионы делятся на две категории в зависимости от их роли. Разведчик и агент.
Разведчик — это сотрудник иностранных разведывательных органов, который хорошо разбираются в шпионаже и использовании агентов. Он собирает информацию самостоятельно, а также вербует и использует агентов.
Агенты, как правило, вербуются в Японии.
Причины вербовки в Японии заключаются в расовых отличиях, а также в возможности пользоваться рабочими и дружескими связями японца.
Разведчик, отправленный в посольство или другие учреждения, вербует агентов и создает шпионскую сеть. В результате он может получать достоверную информацию долгое время.
Если агент является инсайдером или бывшим инсайдером целевой организации, легко можно узнать слабые места в безопасности этой организации.
(Примечание) Есть несколько типов агентов: строго контролируемые и находящиеся под полным контролем разведчика, знающие, что они сотрудничают с разведчиком, и не подозревающие этого. Что называть шпионажем, а что нет? Границы размыты.
Вербовка агентов
Знание подхода разведчиков к вербовке агентов имеет решающее значение для борьбы со шпионажем. Инциденты, произошедшие в Японии в прошлом, позволяют понять методы иностранных разведчиков.
Во-первых, они общаются с различными людьми в таких общественных местах, как конференции, лекции и выставки. Заводят непринужденные беседы и ищут людей, которые как-то связаны с целевой организацией (или информацией).
Через несколько дней разведчик приглашает нужного человека в ресторан. Он оплачивает счет, может подарить подарок, то есть пользуется одной из основных черт характера человека: желанием ответить добром на добро.
В ходе нескольких встреч разведчик выясняет философию и убеждения человека, финансовое и семейное положение, неудовлетворенность организацией и многое другое. Выявив слабые стороны человека, он склоняет объект к сотрудничеству или предоставлению информации.
Сначала разведчик запрашивает общедоступные материалы и постепенно переходит к конфиденциальной информации.
Не успев ахнуть, объект превращается в агента разведчика и начинает предоставлять секретную информацию по первому требованию.
Объект этого не хочет, но он даже не осознает, что оказался под влиянием разведчика.
В большинстве шпионских случаев агенты вербуются при помощи финансового вознаграждения. К другим слабостям относятся недовольство организацией, неуверенность в своем здоровье и здоровье членов семьи, а также очарование шпионской работой.
В дополнение к вышесказанному разведчик может использовать подлые средства.
Сближает объект с женщиной, и когда между ними возникают отношения, вербует его при помощи угроз (подстраивает компрометирующую ситуацию). Сначала разведчик просит простые вещи, чтобы объект не заметил, что его используют в качестве агента. Затем дает вознаграждение в качестве благодарности и, наконец, угрожает разоблачением. Так человек превращается в агента.
Меры против инсайдеров
Определение инсайдеров
Универсального определения инсайдера не существует. Группа реагирования на компьютерные чрезвычайные происшествия при Университете Карнеги Меллон дает следующее определение: «Текущий или бывший сотрудник, работник на контракте, временный сотрудник или деловой партнер, обладающий или обладавший доступом к сети, системам или данным организации. Лицо, которое преднамеренно использует этот уровень доступа таким образом, что это может отрицательно повлиять на конфиденциальность, целостность или полезность информации, или лицо, злоупотребляющее правом доступа».
В свою очередь, британский Центр по защите национальной инфраструктуры дает простое определение: «Злоупотребление законным правом доступа».
Типы инсайдеров
Инсайдеры злоупотребляют своими правами доступа по разным причинам и мотивам. Типы инсайдеров можно разделить на три категории:
— Инсайдеры, которые намеренно трудоустроились в организацию, чтобы использовать должность в своих целях (намеренно трудоустроившиеся инсайдеры). К инсайдерам такого типа относятся шпионы, финансируемые государством или бизнесом (экономические и промышленные шпионы), а также те, кто устраивается на работу с целью начать конкурентный бизнес.
— Инсайдеры, у которых не было злых намерений на момент трудоустройства, но которые потеряли лояльность по некой причине во время работы (инсайдеры, которые лишились лояльности в процессе работы). Утрата лояльности может объясняться изменениями в личной жизни и условиях труда, а также подстрекательством со стороны третьих лиц. Если подстрекатель является шпионом, инсайдер становится его агентом.
— Инсайдеры, которые пытаются отомстить организации перед уходом из-за неудовлетворенности работой (инсайдеры-мстители). Неудовлетворенность работой включает увольнение, споры с работодателями и руководителями, переводы, понижения в должности, снижение заработной платы или уменьшение бонусов.
Меры против инсайдеров
Ключ к мерам против инсайдеров заключается в том, чтобы сначала принять надлежащие меры кибербезопасности, понять и признать реальность инсайдерской угрозы, мобилизовать все функции организации, помимо информационных технологий, особенно в сфере кадров (проверка во время найма, оценка безопасности и так далее).
Тем не менее, к сожалению, в Японии нет мер против инсайдеров. Вместо этого предусмотрены меры противодействия мошенничеству.
Каждая компания применяет внутренние меры противодействия мошенничеству на основе «Руководства по предотвращению внутреннего мошенничества в организациях», подготовленного и опубликованного Агентством по содействию развития информационных технологий (IPA).
В этом руководстве приводятся следующие три меры по управлению кадрами для противодействия мошенничеству.
1. Доведение до сведения о мерах противодействия при помощи образования;
2. Кадровые процедуры после найма (заключение соглашения о конфиденциальности);
3. Возврат информационных активов после увольнения или завершения контракта.
Таким образом, в руководстве, к сожалению, отсутствуют меры кадровой безопасности, применяемые в других странах.
Основные цели кадровой безопасности в других странах заключаются в том, чтобы обеспечить прием на работу только тех, кто не вызывает беспокойства с точки зрения безопасности, выявить сотрудников, которые вызывают такие сомнения, и обеспечить надлежащее управление такого рода рисками.
В качестве конкретных мер особое внимание уделяется проверке при найме (установление личности) и постоянному мониторингу, а также инструктированию работников.
Проверка при найме (установление личности)
Цель проверки персонала заключается в выявлении лиц, которые представляют инсайдерскую угрозу для организации (шпион) или которые могут стать инсайдерами в будущем, и отказе от принятия на работу таких людей.
Все организации должны проводить подобные проверки на основе соответствующих стандартов. Они включают проверку биографических данных, опыта работы, судимости и финансового статуса.
Проверка заключается в подтверждении подлинности документов, представленных заявителем, и оценке в ходе собеседования характера, честности и надежности заявителя.
В последнее время также рассматривается использование анкет оценки характера. Все эти проверки должны выявить, не скрывает ли заявитель важную информацию, свою личность и истинные намерения.
Кстати, в других странах была введена «Система подтверждения компетенции работников, которые имеют дело с секретной информацией» для проверки квалификации государственных служащих. Это система, в соответствии с которой секреты обрабатываются только теми, кто смог подтвердить свою компетенцию.
Цель состоит в том, чтобы гарантировать найм только тех, кто не вызывает вопросов с точки зрения безопасности. Кроме того, проводится проверка безопасности в соответствии с присужденной секретной квалификацией, и только людям, прошедшим эту проверку, разрешается доступ к соответствующей секретной информации.
В Японии в декабре 2013 года также был принят Закон о защите секретной информации и легализована «Система подтверждения соответствия требованиям конфиденциальности» для государственных учреждений и частных предприятий, занимающихся созданием и получением особых секретов.
Постоянный мониторинг и инструктирование работников
Цель постоянного мониторинга и инструктирования сотрудников состоит в том, чтобы выявлять тех, кто представляет угрозу для безопасности, смягчать инсайдерские угрозы с помощью соответствующего инструктирования и, при необходимости, избавляться от опасных работников.
Люди слабы. Сотрудник, который был лоялен до вчерашнего дня, может стать инсайдером завтра.
Работники подвержены изменениям в обстановке, это отражается на отношении и поведении. Поэтому руководители должны продолжать отслеживать отношение и поведение работников и после найма, чтобы обнаруживать любые изменения или подозрительные действия, которые указывают на потенциальную инсайдерскую угрозу.
Основные признаки потенциальных инсайдерских угроз:
— Серьезное и необъяснимое изменение стиля жизни (жизненные взгляды, ценности, привычки и тому подобное);
— Неожиданное изменение финансового положения;
— Неожиданная потеря интереса к работе;
— Изменение стиля работы, например, работа в одиночестве, работа в необычное время, нежелание отдыха и так далее;
— Нездоровый интерес сотрудника к зонам, к которым у него нет допуска;
— Частые и необъяснимые прогулы;
— Частое несоблюдение мер безопасности.
Тем не менее подозрительное поведение сотрудников зачастую упускается из виду, поэтому следует проводить регулярные оценки безопасности сотрудников (собеседования и анкетирование).
Здесь я отмечу важность непосредственных начальников с точки зрения мер против инсайдеров.
Непосредственные начальники, которые напрямую контролируют своих подчиненных, несут ответственность за обнаружение любых признаков потенциальной инсайдерской угрозы и за решение личных проблем подчиненных: болезнь самого сотрудника, смерть или заболевание его родственников, проблемы по работе, недовольство отношением и других вопросов, которые ослабляют его способность принимать личные решения и делают более уязвимым для вербовки.
Между тем непосредственные начальники различаются с точки зрения «способности обнаруживать признаки инсайдерской угрозы» и «способности правильно решать личные проблемы подчиненных».
Что касается начальников, у которых нет таких способностей, обучение должно продолжаться до тех пор, пока они не достигнут удовлетворительных навыков. Для этого необходимо учесть следующее:
— Включить обязанности по обеспечению безопасности в должностные инструкции руководителя.
— Определить четкую методику выявления необычного поведения подчиненных и решения проблем.
— Проводить ролевые упражнения на основе определенного сценария, тем самым повышая способности и оценивая их соответствующим образом.
Предложения бизнесу
Как я отметил в статье «Больше иностранцев — больше шпионов: безопасность Японии», у нас до сих пор нет закона о шпионаже.
В результате осведомленность общественности о мерах противодействия разведке противника чрезвычайно низка. Каждая компания должна проводить обучение сотрудников, включая менеджеров, с целью повышения осведомленности о шпионской деятельности. Кроме того, компании должны запретить своим сотрудникам контактировать с работниками посольств и другими иностранными должностными лицами. Если контакт неизбежен по работе, необходимо создать систему уведомлений. Также обязать брать с собой на встречу минимум еще одного сотрудника.
Кстати, когда происходят инсайдерские инциденты, сотрудники службы безопасности компаний заявляют, что они не предполагали преднамеренных мошеннических действий со стороны сотрудников.
Действительно, можно говорить о недостатке осведомленности об инсайдерах.
Как я отметил выше, из недавних инцидентов извлекли следующие уроки: «автоматическая запись журналов доступа и регулярное отслеживание для предотвращения мошенничества», а также «проверка личных вещей сотрудников».
Бизнес должен по крайней мере убедиться в этих двух пунктах.
И наконец, независимо от того, насколько сильны меры кибербезопасности, очень трудно противостоять шпионам, проникающим в организацию в качестве сотрудников, и агентам шпионов.
Я рекомендую всем компаниям, а в особенности тем, которые имеют дело с государственной тайной и передовыми технологиями, предпринимать меры безопасности в отношении людей, предполагающие проникновение шпионов или агентов (например, не нанимать людей, вызывающих вопросы с точки зрения безопасности, и увольнять сотрудников с аналогичными проблемами).