Каждая организация имеет свои потенциальные каналы несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.
Начать нужно с того, что конфиденциальные данные могут переходить непосредственно к заинтересованному лицу или к случайному, третьему лицу. Под третьим лицом понимается любое постороннее лицо, не имеющее право владения информацией и не заинтересованное в ней, но получившее информацию во владение в силу различных обстоятельств. От третьего лица информация может легко перейти к злоумышленнику.
В случае перехода информации к третьему лицу часто происходит так называемый случайный, стихийный канал утраты информации, который возникает непреднамеренно в результате:
• утери или неправильного уничтожения документов с конфиденциальной информацией;
• игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
• излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования);
• работы с конфиденциальными документами при посторонних лицах, несанкционированной передачи их другому сотруднику;
• использования сведений ограниченного доступа в открытой документации, публикациях, интервью, личных записях и т. п.;
• отсутствия грифования информации и документов ограниченного доступа;
• наличия в конфиденциальных документах излишней информации ограниченного доступа;
• самовольного копирования сотрудником документов в различных целях.
В отличие от третьего лица злоумышленник целенаправленно стремится овладеть конкретной информацией и преднамеренно устанавливает контакт с источником этой информации или преобразует канал ее объективного распространения в канал ее разглашения или утечки. Злоумышленник может формировать каналы утраты информации, в случае хорошо построенной системы защиты информации. При плохо построенной системе каналы выбираются им из множества возможных.
По результатам глобального исследования утечек конфиденциальных данных, проводимого компанией InfoWatch, которая занимается разработкой программных продуктов в области защиты информации от внутренних угроз, за первое полугодие 2010 года было зарегистрировано 382 утечки (более двух в день). Из них умышленных фактов — 169 (44%), а случайных — 185 (48%).
Каналы несанкционированного доступа к ценной информации могут быть организационные и технические. Обеспечиваются они легальными и нелегальными методами.
Организационные каналы разглашения информации основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации. Основными видами организационных каналов могут быть:
• поступление злоумышленника на работу в фирму на второстепенную должность секретарем, дворником, охранником, шофером и т. п.;
• участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
• поиск злоумышленником сообщника, работающего в интересующей его фирме;
• установление злоумышленником доверительных взаимоотношений с сотрудником учреждения или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
• использование коммуникативных связей фирмы – участие в переговорах, совещаниях, переписке с фирмой и др.;
• использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
• тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;
• получение нужной информации от третьего, случайного лица.
Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами и базами данных. Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику.
Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы офисной техники, при перехвате информации, имеющей звуковую, визуальную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, носят стандартный характер и перекрываются стандартными средствами противодействия. При эффективной системе защиты информации фирмы злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации.
Акустический канал возникает за счет образования звуковой волны в помещениях организации. Возникшие колебания можно сканировать с помощью специальной техники и на достаточно большом расстоянии преобразовывать в слышимый звук. Акустический канал может образовываться также за счет «микрофонного эффекта», свойственного механическому воздействию звуковой волны на электродинамики радио- и телевизионной аппаратуры, динамики радиотрансляции, реле в холодильниках и других приборах. Например, при подключении к электродинамикам любого типа можно за пределами офиса фирмы прослушивать помещения и вести запись переговоров.
Визуальный или визуально-оптический канал связан с наблюдением за зданием, помещениями и персоналом фирмы с помощью оптических приборов, позволяющих читать информацию на компьютерных мониторах или на столах, оценивать охранные мероприятия, идентифицировать сотрудников и т. д.
Электромагнитные каналы сопровождают работу средств радиосвязи, радиотелефонов, бытовой и производственной видеотехники, компьютеров, диктофонов и других подобных приборов.
В целях практической реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации фирмы, но и совокупность методов получения этой информации.
Легальные методы входят в понятия «невинного шпионажа» и «разведки в бизнесе» и отличаются правовой безопасностью. В их основе лежит аналитическая работа экспертов над общедоступными материалами конкурирующей фирмы. Одновременно изучаются продукция фирмы, рекламные издания, сведения, полученные в процессе официальных и неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей. При комплексном системном анализе этих материалов из разрозненных и в отдельности неконфиденциальных сведений формируется достаточно полная картина, отражающая имеющиеся в фирме секреты. Легальные методы позволяют определить состав отсутствующих защищаемых сведений, которые предстоит добыть нелегальными методами.
Нелегальные методы носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными способами. В их основе лежит поиск существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и комплексное использование этих каналов. К нелегальным методам относят воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, организацию экстремальных ситуаций, использование различных криминальных приемов и т. д.
Любые информационные ресурсы фирмы весьма уязвимы, и при интересе со стороны злоумышленника опасность их утраты становится достаточно реальной. Генеральный директор компании InfoWatch Наталья Касперская обращает внимание на то, что «отсутствие контроля над конфиденциальной информацией несет в себе большие риски, которые могут оказать существенное негативное влияние на эффективность коммерческих и государственных структур, как с точки зрения финансовых потерь, так и репутационной составляющей».
