Р.В. ЖЕРЕБЕНКОВ,

аспирант ИМПЭ им. А.С. Грибоедова

 

Автор, анализируя типичные случаи инсайда, выявляет специфические криминологические особенности лиц, совершающих такие преступления, и методы, которыми они пользуются при совершении преступления.

Ключевые слова: криминология, инсайдерская информация.

 

Известно, что компании со штатом более 10 тыс. человек несут большие убытки ежегодно только потому, что инсайдеры не туда отправляют конфиденциальные письма, случайно удаляют или искажают ценные данные, а довольно часто просто продают корпоративные секреты конкурентам или мошенникам. Все это обходится в сотни тысяч и миллионы долларов каждый год. Более того, постоянно существует вероятность, что очередная утечка окажется для компании последней, так как ухудшение общественного мнения, штрафы со стороны регулирующего органа, падение прибылей и разрыв партнерских отношений — а все эти последствия сопровождают утечки — могут привести компанию к банкротству.

Таким образом, инсайдеры являются в настоящее время самой серьезной внутренней угрозой. Большое число утечек информации происходит по неосторожности или элементарной неграмотности сотрудников структурных подразделений, а также сотрудников, склонных к воровству или нелояльных к руководству.

Полагаем, что моделирование профиля нарушителя позволяет сформировать представление о его возможностях, направлениях его действий и в конечном итоге построить вероятностную модель воздействий (угроз) нарушителя на систему информационной безопасности.

Каждую группу вероятных нарушителей мы будем анализировать по следующим параметрам криминологических особенностей лиц, совершающих преступления в сфере манипулирования инсайдерской информацией:

— категории лиц, к которым может принадлежать нарушитель;

— цели действий нарушителя;

— способы достижения целей;

— сведения, необходимые нарушителю и период их актуальности;

— квалификация нарушителя;

— его техническая оснащенность;

— характер действий нарушителя и наносимый ущерб.

Напомним, что за рубежом, где автоматизация и информатизация развивались более быстрыми темпами, чем в России, соответственно раньше появилась и проблема инсайдерских правонарушений и выявления потенциальных правонарушителей.

При этом, приступая к выявлению типичных криминологических особенностей банковских и финансовых инсайдеров, отметим особенность, которая их объединяет: в своих организациях, работая на технических должностях, они никогда не занимались атаками на уровне техники или хакерством и не подозревались как проблемные служащие[1].

Кроме того, отметим следующее:

—возраст инсайдеров колеблется в широком диапазоне: от 18 до 59 лет;

— инсайдеров-«одиночек» больше, чем семейных (54% против 31%);

—служебное положение их самое разное: в обслуживании работали 31% инсайдеров, в администрации — 23%, в профильных подразделениях 19% и 23% — в технических службах;

—по мнению руководителей и коллег, очень немногие из инсайдеров были трудно управляемыми или не внушающими доверия (15 и 4%). Однако 19% инсайдеров коллеги воспринимали как людей неконтактных;

— необычное поведение перед инцидентом, обратившее на себя внимание начальства или коллег, продемонстрировали 27% инсайдеров:  один из них жаловался на маленькую зарплату, другой слишком часто звонил из офиса по сотовому телефону. Были случаи отказа работать под началом нового руководителя или вспышки недовольства по отношению к коллегам, самоизоляция и т.д.;

—более четверти инсайдеров (27%) имели в прошлом неприятности, закончившиеся возбуждением уголовного дела.

Из соотношения различных видов потери информации на первом месте уверенно просматривается кража информации собственными сотрудниками.

Понятно, инсайдерами не рождаются — ими становятся. Согласно исследованиям немецкой компании Result Group, типичный инсайдер — мужчина с образованием выше среднестатистического, пользующийся полным доверием у своих работодателей.

Как правило, это хорошо образованный в области ИТ человек лет 25— 40, знающий, как информация и информационные технологии могут приносить деньги.

На наш взгляд, нарушителей в сфере инсайда можно подразделить на внешних и внутренних.

Внешние угрозы исходят извне организации, например, от тех, кто пытается с помощью хакерских приемов перехватить электронную почту.

Внутренние угрозы исходят от сотрудников компании, которые не преданы своему работодателю и хотят заработать на корпоративных секретах, передав их конкурентам. Таких людей называют криминально настроенными инсайдерами (inside — изнутри). Защитой от них многие компании пренебрегают, хотя инсайдер может навредить бизнесу и деловой репутации компании больше, чем хакер, взломавший корпоративный сайт[2].

Важно отметить, что специалисты, расследующие случаи утечек корпоративной конфиденциальной информации, советуют привлекать психологов, чтобы они помогли составить портрет типичного инсайдера с учетом особенностей конкретного коллектива сотрудников. Они подчеркивают, что наличие психологического портрета злоумышленника существенно облегчает процесс поиска инсайдера в коллективе компании, особенно в тех случаях, когда нет готового списка подозреваемых. В противном случае приходится вручную обрабатывать огромный объем информации: архивы корпоративной почты, журналы web-сервера, историю сообщений ICQ каждого сотрудника и т.д[3]

По существу, саботажники и нелояльные сотрудники сами определяют информацию для похищения и место ее сбыта. Если информация недоступна для похищения, они откажутся от намерения, так как часто не обладают должной технической подготовкой для обхода защиты.

При этом, если еще до похищения информации саботажник или нелояльный сотрудник выйдет на потенциального покупателя конкретной информации (конкурент, пресса, криминальные структуры или спецслужбы), он становится самым опасным нарушителем, мотивированным извне.

Заметим, с этого момента его дальнейшая судьба, то есть работа, благосостояние, а иногда жизнь и здоровье, напрямую зависят от полноты и актуальности информации, которую он сможет похитить.

Нарушители, мотивированные извне, — это сотрудники, цель для которых определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных.

Кроме представленных выше классификаций особенностей лиц, совершающих преступления в сфере манипулирования инсайдерской информацией, предлагаем дополнить их следующими: это лица,

—действующие в группе и индивидуально;

—использующие инсайд постоянно или редко;

—маскирующиеся под интересы фирмы или государства либо без использования каких-либо прикрытий;

—осторожные — достаточно ввести закон, запрещающий использование инсайда и предусматривающий за него уголовную ответственность, чтобы у инсайдера не возникало желания использовать конфиденциальную информацию;

—беспринципные (уверенные в своей безнаказанности). Для предотвращения их незаконной деятельности следует принимать комплекс мер, как организационных, так и технических;

—зарабатывающие на инсайде: a) для выживания; б) для большего обогащения.

—использующие доверие руководства; не пользующиеся доверием;

—использующие прямую инсайдерскую информацию и пользующиеся косвенной, обобщая и систематизируя которую, превращают ее в инсайдерскую;

—знающие о запрете использования инсайда и действующие неосознанно;

—использующие социальную инженерию, подкуп, шантаж или узнающие информацию в связи с родом своей деятельности.

Считаем, что в современном мире компьютерных технологий простота и доступность инсайдерских преступлений (ноутбук с ценной информацией, взлом почтового сервера конкурентов, флэшка с данными) приводит к соблазну легко заработать.

Статистика утверждает: в 6 случаях из 10 для банкротства фирмы достаточно утечки 20% ее коммерческих секретов. Причиной этому служит и такой факт, как то, что инсайдер, как правило, стремится обладать максимально ценной информацией — коммерческой тайной компании, посколькуэто может быть информация об изменении корпоративной политики, маркетинговой стратегии, новых продуктах, планах по расширению ассортимента и т.д.

Отметим, что инсайдерская информация отличается от обычных слухов тем, что она имеет подтверждение, в том числе документальное.

В частности, к таким документам относится финансовая отчетность, протоколы и диктофонные записи совещаний, приказы, служебные записки и т.д. Фактически любой конфиденциальный документ становится потенциальным объектом внимания криминально настроенного инсайдера.

При этом имеет значение уровень IT— грамотности инсайдера, который напрямую зависит от его образования и занимаемой должности. Как следствие, инсайдер из IT-отдела более компетентен в информационных технологиях, чем инсайдер из бухгалтерии, а потому его приемы хищения информации будут более изобретательными.

Большинство инцидентов, исследованных в банковском и финансовом секторах, не были технически тонкими или сложными. Обычно использовалась не уязвимость информационных систем или сетей, а правила бизнеса или политика организации. Виновниками же оказывались лица, не имеющие отношения к технике или разбирающиеся в ней на уровне рядового пользователя[4].

В 87% случаев инсайдеры использовали простые команды зарегистрированных пользователей. Лишь иногда применялись специфические технические знания о мерах безопасности систем. Нет свидетельств того, что какой- либо инсайдер сканировал компьютерные системы для обнаружения уязвимостей для их последующего использования.

В 70% случаев инсайдеры использовали или пытались использовать системные уязвимости в финансовых программах, процессах или процедурах (например, в проверке бизнес-правил), в 61% случаев — уязвимости, оставленные разработчиками в конструкции аппаратных средств, программном обеспечении или сетевой инфраструктуре.

В 78% случаев инсайдерами были авторизованные пользователи. В 43% случаев инсайдер использовал свое имя и пароль, а в 26% — имя и пароль других сотрудников. Использовались и необслуживаемый терминал, имеющий подключение к системе, и методы социального инжиниринга (например, получение доступа путем манипуляции персоной или персонами, которые могут разрешить или облегчить доступ к системе или данным).

Только 23% инсайдеров использовали специфические технические знания[5], а 17% обладали уровнем доступа системного администратора. И, наконец, 39% инсайдеров не знали о существовании технических мер безопасности в организации.

Известно, что большинство инцидентов обдумывалось и планировалось заранее. Как правило, имелись лица, знавшие о намерениях или планах злоумышленника — они часто были либо прямо вовлечены в планирование инцидента, либо получали выгоду от его результата.

В 81% инцидентов инсайдеры заранее планировали свои действия.

В 85% инцидентов был кто-то, кроме инсайдера, кто имел полные или частичные знания о намерениях инсайдера, его планах и/или деятельности: лица, вовлеченные в инцидент и/или имеющие от него пользу (74%); сотрудники (22%); друзья (13%); члены семьи (9%).

В 61% случаев лица, знакомые с инсайдером, знали о его намерениях, планах, деятельности.

В 31% инцидентов присутствовали признаки того, что инсайдер что-то планирует: хищение паролей административного уровня, копирование информации с домашнего компьютера в систему организации, встречи с бывшими сотрудниками для помощи в изменении финансовых данных.

В 35% инцидентов инсайдер вел подготовительную работу.

В  65% инцидентов инсайдеры не рассматривали возможных негативных последствий своих действий.

Исследования криминологических особенностей личностей, совершающих преступления в сфере инсайда, позволяют прийти к выводу о том, что большинству из инсайдеров-правонарушителей присущи общие черты и свойства, а именно:

— наличие корыстно-потребительского стремления к легкой наживе за счет преступного изъятия и использования конфиденциальной информации;

— устойчивая деформация сознания, нигилистическое отношение к законам, искажение общественных принципов и нравственных правил жизни, некритическая и завышенная оценка своей личности;

— укоренение пороков: пьянства, употребления наркотиков, увлечения азартными играми и т.д[6].

В заключение отметим, что правонарушителем в сфере инсайда может стать любой человек, владеющий информацией, недоступной для других. В России, в отличие от Запада, еще не сложилась практика осознания всеобщей регламентации большинства сфер жизнедеятельности, и поэтому относительно простой способ наживы с помощью инсайда не воспринимается обществом как тяжкое преступление.

У этой категории преступников побудительным мотивом совершения инсайдерских правонарушений, как правило, выступают такие распространенные человеческие качества, как корысть, месть, неосторожность, стремление к материальному благополучию, пренебрежение интересами других людей в угоду удовлетворения личных амбиций, стремление занять высокое устойчивое положение в обществе. К этому можно добавить завышенную самооценку, правовой нигилизм и культуру воспитания.

Наиболее ценными сведениями, исходя из вышесказанного, владеют высокопоставленные сотрудники (топ-менеджеры). Следовательно, они и представляют наибольшую опасность.

Пока не будут введены законы, предусматривающие ответственность топ-менеджеров за правонарушения в сфере инсайда, включая разглашение или продажу информации сторонним лицам, пока не будет осуществляться реальное наказание, преступления в этой сфере будут продолжаться.

 

Библиография

1 Курило А., Голованов В. Инсайдер:  портрет на фоне банка// Банковское дело в Москве, 2006. № 1. (133). С. 1.

2 Станкевич В. Инсайдеры не дремлют. Защищайте информацию. // IT Бел.  2009. № 3. С. 42.

3 Там же.

4  Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", National Threat Assessment Center United States Secret Service, Cert® Coordination Center Software Engineering Institute Carnegie Mellon University, August 2004.Требовалось специальное мастерство в ИТ: программирование, создание скриптов, работа в сети, информационная безопасность, архитектура и конфигурация систем.

5 Курило А., Голованов В. Указ. ст.

6 Есберген Алауханов. Криминология. Учебник. - Алматы. 2008. - 429  с.1.