Борьба с инсайдерами - популярная тема, которой в последнее время уделяется все больше внимания. Компании не только пытаются защититься самостоятельно, но и обращаются к специалистам, предлагающим различные решения по искоренению внутрикорпоративных проблем. Об одном из методов борьбы с инсайдерами корреспонденту Андрею Кузнецову рассказал Дмитрий Волков, руководитель направления информационной безопасности компании Group-IB.
Дмитрий, на какую информацию чаще всего "охотятся" инсайдеры? Что в первую очередь нужно защищать компаниям?
Это может быть практически любая информация, представляющая интерес для конкурентов, - бухгалтерские данные, финансовые, кадровая информация и т.д. Для защиты информации обычно применяют самые различные средства, начиная от антивирусного программного обеспечения и заканчивая изоляцией особо важных ресурсов от внешнего мира. Но есть еще одно средство защиты информации, причем не требующее серьезных финансовых затрат - разделение полномочий.
В чем суть этого метода?
Основная идея в том, чтобы критичные в плане утечки информации процессы не могли выполняться от начала и до конца одним специалистом. Вот несколько примеров разделения обязанностей:
- Специалист, оформляющий заявку поставки, не должен ее утверждать.
- Специалист, одобряющий поставки, не должен закрывать месячные финансовые отчеты.
- Специалист, одобряющий поставки, не должен участвовать в сверке.
Подобное разделение обязанностей не сложно внедрить практически в любой компании, если ей не безразличен вопрос собственной безопасности. Но, к сожалению, в наших фирмах упор чаще делают не на организационные меры, а на технические. Между тем, без организационных мер технические не могут обеспечить желаемого результата, а только создают видимость защищенности.
Что даст компании применение этого метода?
Должным образом применяя этот метод контроля, компания может существенно снизить риск мошенничества внутреннего персонала. Кроме того, снизится и процент ошибок, обусловленных человеческим фактором.
Каким образом фирме безболезненно перейти на этот метод контроля?
Для начала необходимо собрать должностные инструкции всех сотрудников, вовлеченных в бизнес-процесс. Если таковые имеются, конечно. А если должностных инструкций в компании нет - это первая предпосылка, что в бизнес-процессе полный хаос.
Затем нужно сравнить должностные инструкции с теми ролями в системах, с которыми эти сотрудники связаны. Необходимо составить матрицу ролей сотрудников: на одной оси должны располагаться выполняемые функции, а на другой - роли. На каждой точке пересечения надо выяснить, не получат ли пользователи легитимных расширенных прав. Например, разработчик не должен иметь административных прав в системе.