Расследование инцидентов
<br>Комментарий Дениса Калемберга, руководителя направления по работе с клиентами финансового сектора компании "Аладдин Р.Д."
Ради чего стоит выявлять виновных в инцидентах информационной безопасности и можно ли добиться возмещения ущерба?
По мере роста бизнеса увеличивается ценность коммерческих сведений, хранимых и обрабатываемых в информационных системах организации. Ее менеджменту, а также владельцам информационных ресурсов стоит почаще задумываться о защите данных, ведь во многих случаях финансовые потери являются следствием проблем в сфере информационной безопасности. Относительно молодой рынок России только начинает взращивать профессиональных управленцев, которые умеют грамотно защищать свой бизнес от внешних и внутренних угроз.
В последнее время число рисков, связанных с инцидентами в области информационной безопасности и способных нанести серьезный ущерб компании, в том числе репутационный, заметно выросло. В кризис многие компании откатились к сомнительным методам конкурентной борьбы. В частности, они нередко используют экономический шпионаж.
К сожалению, большинство руководителей пока не отдают себе отчета в том, какими последствиями может обернуться недостаточное внимание к информационной безопасности, и не задумываются серьезно о мерах по защите информационных ресурсов. В таких компаниях, как правило, вспоминают об этом, только когда серьезный инцидент (вторжение, мошенничество или саботаж) уже произошел. Нередки ситуации, когда представление о рисках в компании весьма размыто, неформализовано и по сути носит вид голословных утверждений. Службы безопасности уделяют много времени борьбе с внешними угрозами, упуская из виду, что наиболее серьезные риски для бизнеса находятся внутри компании.
Слабость фундаментальных правил
Эдвард Уайлдинг, эксперт в области расследования компьютерных преступлений, автор книги «Компьютерные улики: руководство для проведения расследований», сравнивал инсайдера с бомбой замедленного действия. Очень важно, чтобы все сотрудники и менеджеры департаментов знали, когда, как и куда им стоит обратиться в случае подозрения в мошенничестве, неправомерном использовании компьютера или преступлении сотрудника. Если в данной схеме есть сбои, то руководство может не получить информации о серьезном правонарушении, и последствия могут оказаться трагичными не только для бизнеса, но и для сотрудников.
Во многих компаниях имеются службы безопасности и расследований, которые первыми должны быть поставлены в известность о подобных инцидентах. Они ответственны за выявление всех обстоятельств дела и реагирование на нештатные ситуации. Свою эффективность доказали также телефоны доверия и схемы анонимной работы со свидетелями.
В этой схеме поведения, взятой скорее из учебника по ИБ, есть множество изъянов. Во-первых, велик соблазн скомпрометировать коллег по работе, если сообщение будет анонимным. Во-вторых, во многих компаниях просто нет внутренних планов и регламентов, описывающих процедуру реагирования на инциденты, связанные с враждебными или преступными действиями сотрудников. По оценкам Дениса Калемберга, руководителя направления по работе с клиентами финансового сектора компании «Аладдин Р.Д.», сегодня подобные регламенты существуют максимум в 5% коммерческих компаний, причем чем крупнее компания, тем с большим вниманием относятся к данному вопросу.
На случай инцидента важно иметь четкую процедуру пошагово проработанных действий. Эта процедура в виде блок-схемы должна описывать все входы и выходы и не иметь двойственных толкований действий, чтобы можно было быстро среагировать на противоправное событие. Без привлечения внешних консультантов эту задачу решить крайне сложно. Но если привлекать, то им придется открыть особенности работы службы безопасности, а на это способны решиться далеко не все, поскольку далеко не все имеют достаточный опыт работы в вопросах безопасности с внешними специалистами. Для подготовки эффективных процедур нужно иметь не теоретический, а практический опыт расследования инцидентов. К сожалению, людей, имеющих подобный опыт, в России крайне мало.
В результате на практике, когда возникает необходимость разрешить чрезвычайную ситуацию в области ИБ, чаще всего собирается комитет, организуется активная дискуссия, которая без четких, заранее подготовленных правил и действий может легко перерасти в скандал. Старшие сотрудники и руководители департаментов пытаются предпринять что угодно (в том числе обвиняют друг друга), чтобы снять с себя ответственность за случившееся. Опасность такого подхода в том, что, пока идут горячие споры, драгоценное время уходит, а никаких действий для снижения ущерба, восстановления работы, обнаружения и преследования злоумышленников не предпринимается. Подобные способы могут привести к серьезным ошибкам, наиболее распространенная из которых — голословное обвинение сотрудника, основанное на слухах и предположениях. В такой ситуации подозреваемый будет все отрицать и впоследствии постарается уничтожить следы своих действий.
Путь судебных практик
По мнению Дениса Калемберга, суды России в целом готовы к рассмотрению дел, связанных с инцидентами в области инсайдерства, но из-за того что компании очень редко правильным образом организуют процесс сбора доказательств, сотрудники, уволенные по статье за разглашение конфиденциальной информации, нередко обжалуют свое увольнение через суд, причем успешно. «Известен случай, когда в результате передачи сотрудником своего пароля было совершено несанкционированное списание денежных средств со счета компании, — рассказывает Калемберг. — Данный сотрудник был уволен по статье за нарушение политик информационной безопасности, но доказательная база не была должным образом оформлена. В результате он подал на своего работодателя в суд, выиграл дело и затем уволился уже по собственному желанию».
Российские суды не очень-то горят желанием рассматривать дела, связанные с инцидентами в области ИБ. Как правило, подобные дела считаются незначительными. Кроме того, очень сложно предоставить суду убедительную доказательную базу. Цифры, пользовательские записи, журналы изменений и пр. остаются непонятными суду. Экспертов, к которым они могли бы обратиться за комментариями, крайне мало. Как результат — уровень доверия к подобной доказательной базе чрезвычайно невысок. В итоге рассмотрения дел затягиваются, суды тормозят с принятием решений и либо оставляют дело без внимания в связи с недоказанностью, либо дают условные сроки.