Uploaded by Bogdan Nesatiy

доклад (2)

advertisement
Министерство науки и высшего образования Российской Федерации
ФГАОУ ВО «Севастопольский государственный университет»
Институт информационных технологий
Кафедра «Информационная безопасность»
РЕФЕРАТ
на тему
«Персонал как основной канал
утечки конфиденциальной информации»
по дисциплине
«Организационное и правовое обеспечение
информационной безопасности»
Выполнили: студенты гр. ИБ/б-21-1-о
Проскуряков К. А.
Шапошник В. Р.
Варецкий Б. В.
Принял:
Севастополь
2024
доцент Костюков А. Д.
2
СОДЕРЖАНИЕ
Введение .................................................................................................................. 3
1. Прецеденты утечки конфиденциальной информации через персонал .
4
2. Мотивация сотрудников создания инцидентов утечки информации ......... 5
3. Способы избежания возникновения утечек информации ............................ 6
Заключение .............................................................................................................. 7
Список источников ................................................................................................. 8
3
ВВЕДЕНИЕ
В современном мире, где информация стала одной из самых ценных и
стратегически значимых ресурсов, вопросы защиты конфиденциальных
данных выходят на первый план. В условиях стремительного развития
цифровых технологий и глобализации бизнеса, утечка конфиденциальной
информации может нанести серьезный ущерб репутации компании, привести
к значительным финансовым потерям и даже угрожать её существованию.
Одним из ключевых факторов, влияющих на безопасность данных, является
человеческий фактор. Персонал, обладающий доступом к конфиденциальной
информации, становится потенциальным каналом её утечки.
В данном реферате будут рассмотрены основные причины утечек
информации через сотрудников, методы предотвращения подобных утечек
и примеры реальных инцидентов.
4
ПРЕЦЕДЕНТЫ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ ЧЕРЕЗ ПЕРСОНАЛ
В 2019 году произошла крупная утечка данных клиентов Сбербанка.
По информации СМИ, утечка произошла из-за действий сотрудника банка,
который продал данные клиентов на черном рынке. В результате утечкибыли
скомпрометированы данные 60 миллионов кредитных карт. Сбербанк
оперативно выявил виновного сотрудника и принял меры дляпредотвращения
подобных инцидентов в будущем.
В 2022 году произошла утечка данных клиентов сервиса
«Яндекс.Еда». На одном из форумов были опубликованы персональные
данные более 6 миллионов пользователей, включая их имена, адреса и номера
телефонов. По результатам расследования выяснилось, что утечкапроизошла
из-за действий одного из сотрудников, который имел доступ кбазе данных
и передал информацию третьим лицам.
В 2024 году Ленинский районный суд Оренбурга вынес приговор
сотруднику офиса обслуживания одного из сотовых операторов за продажу
данных клиентов. Подсудимый незаконно перевыпустил несколько SIM-карт
и продал их третьим лицам. Также он за деньги скопировал ипередал личные
данные четырех абонентов. Сотрудник признал свою винуи был приговорен
к одному году и десяти месяцам исправительных работ с удержанием 10%
заработка и штрафу в 200 тысяч рублей. Ему также запретили работать с
конфиденциальной информацией в течение трех лет.
В апреле 2023 года произошла утечка секретных документов Пентагона
в чатах Discord. Джек Тейшейра, сотрудник Национальной гвардии ВВС
США, имевший доступ к конфиденциальной информации, начал публиковать
документы на сервере Discord. В результате утечки стали доступны около 100
документов, касающихся военных возможностей Украины и прослушивания
союзников США. Тейшейра был арестован и обвинен в нарушении закона о
защите данных.
5
ОСНОВНЫЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ
Самыми многочисленными каналами утечки информации являются
следующие 3 большие группы:
1. материально-вещественные;
2. визуальные и визуально-оптические;
3. технические.
Как видно, персонал как канал утечки информации здесь не указан, это
происходит из-за того, что персонал касается всех указанных каналов утечки,
прямо или косвенно. Подробнее влияние и участие персонала в этих каналах
утечки будет рассмотрено далее
Материально-вещественный канал
Материально-вещественный канал утечки информации — это способ
несанкционированного вывода информации с помощью физических объектов и
материалов. Этот тип утечки связан с использованием различных предметов и
устройств, которые могут быть физически перемещены из защищённой среды в
незащищённую.
Основные методы и средства утечки информации
Существует множество методов утечки информации через материальновещественный канал, которые включают в себя следующие:
1. Документы и носители информации:
• Бумажные документы: Вынос оригиналов или копий документов,
содержащих конфиденциальную информацию.
• Электронные
носители: Использование USB-накопителей,
CD/DVD, жёстких дисков для переноса данных.
2. Мобильные устройства:
• Смартфоны
и планшеты: Фотографирование документов,
копирование файлов.
• Ноутбуки: Перенос данных через подключение к корпоративной
сети.
3. Персональные предметы:
• Одежда и аксессуары: Скрытые карманы, специальные сумки для
защиты от детекторов.
6
•
Письменные принадлежности: Использование ручек и блокнотов
для записи и выноса информации.
Визуальный и визуально-оптический канал утечки информации
Визуальный канал утечки информации включает методы, при которых
информация перехватывается непосредственно путем наблюдения за её
отображением (например, чтение с экрана монитора или бумаги). Визуальнооптический канал утечки информации включает использование оптических
устройств, таких как бинокли, телескопы, камеры, для получения данных на
расстоянии.
Основные методы и средства утечки информации
1. Непосредственное наблюдение:
• Чтение с экрана: Получение информации путем взгляда на
монитор компьютера или другого устройства отображения.
• Чтение документов: Просмотр печатных документов, находящихся
на столах, досках или других открытых местах.
2. Оптические устройства:
• Бинокли и телескопы: Использование оптических приборов для
наблюдения за удалёнными объектами, такими как экраны
компьютеров или документы в офисах.
• Камеры
и видеозаписывающие устройства: Незаметное
использование камер для записи отображаемой информации.
3. Фотографирование и видеозапись:
• Мобильные телефоны: Фотографирование экранов мониторов или
документов с помощью камер телефонов.
• Специальные
шпионские
устройства:
Использование
миниатюрных камер, встроенных в предметы одежды или
аксессуары.
7
Основные технические каналы утечки информации
Технические каналы утечки информации включают в себя различные
методы и средства, использующие электронные устройства и сети для
перехвата, копирования или передачи конфиденциальных данных без
разрешения.
Основные методы и средства утечки информации
1. Сетевые каналы:
• Перехват данных в сетях: Использование снифферов для
перехвата данных, передаваемых по локальной сети или Интернету.
• Malware и шпионское ПО: Внедрение вредоносного программного
обеспечения, которое передает конфиденциальные данные
злоумышленникам.
2. Беспроводные каналы:
• Wi-Fi сети: Перехват данных, передаваемых по беспроводным
сетям, с помощью специализированного оборудования.
• Bluetooth и другие беспроводные технологии: Использование
уязвимостей в беспроводных протоколах для получения доступа к
информации.
3. Технические средства перехвата:
• Аналоговые
и цифровые прослушивающие устройства:
Использование микрофонов и других средств для записи звуковой
информации.
• Специализированные устройства: Применение устройств, таких
как кейлоггеры, для записи нажатий клавиш и других действий
пользователя.
4. Социальная инженерия и фишинг:
• Фишинговые атаки: Получение конфиденциальной информации
путем обмана пользователей через поддельные сайты или
сообщения.
• Социальная
инженерия: Манипулирование сотрудниками
организации для получения доступа к информации.
8
ЗАЩИТА ОТ УТЕЧКИ ИНФОРМАЦИИ С ПОМОЩИ
ПЕРСОНАЛА
Для всех рассмотренных в ходе данной работы каналов утечки
информации выбраны меры, которые помогут усилить информационную
безопасность предприятия от утечки с помощью персонала.
Материально-вещественный канал
1. Физический контроль доступа:
•
Ограничение доступа: Разработать строгую систему пропускного
режима для сотрудников, обеспечивая доступ к конфиденциальной
информации только тем, кто действительно нуждается в ней по
своим должностным обязанностям.
•
Система видеонаблюдения: Установить камеры видеонаблюдения
в зонах, где обрабатывается конфиденциальная информация, чтобы
фиксировать любые подозрительные действия.
2. Проверка выносимых предметов:
•
Контроль сумок и личных вещей: Проводить обязательный
осмотр сумок и личных вещей сотрудников при выходе из здания
или из защищённых зон.
•
Металлоискатели и сканеры: Использовать металлодетекторы и
сканеры для выявления попыток выноса носителей информации или
других предметов.
3. Технические меры:
•
Шифрование данных на носителях: Обязательное шифрование
данных на USB-накопителях, жёстких дисках и других переносных
носителях информации.
•
Ограничение использования внешних носителей: Установить
политики, запрещающие или ограничивающие использование
внешних USB-устройств, CD/DVD и других носителей.
4. Организационные меры:
9
•
Регулярные проверки и инвентаризация: Проводить регулярные
проверки и инвентаризацию конфиденциальных документов и
носителей информации.
•
Обучение
персонала:
инструктажи
по
Проводить
вопросам
регулярные
безопасного
тренинги
и
обращения
с
конфиденциальной информацией.
Визуальные и визуально-оптические каналы
1. Физические меры защиты:
•
Экранные фильтры: Установить фильтры конфиденциальности на
мониторах компьютеров, чтобы ограничить угол обзора и
предотвратить просмотр экрана посторонними.
•
Шторы и жалюзи: Закрывать окна и стеклянные двери в офисах и
переговорных
комнатах,
чтобы
предотвратить
возможность
визуального наблюдения снаружи.
2. Организационные меры:
•
Политика чистого стола: Ввести правило, согласно которому
сотрудники должны убирать все документы и выключать мониторы
при уходе с рабочего места.
•
Размещение рабочих мест: Организовать рабочие места таким
образом, чтобы экраны компьютеров не были видны посетителям
или коллегам, не имеющим доступа к конфиденциальной
информации.
3. Технические меры:
•
Защищенные помещения: Обеспечить, чтобы помещения, где
обрабатывается
ограниченный
конфиденциальная
доступ
видеонаблюдения.
и
были
информация,
оборудованы
имели
системами
10
•
Детекторы оптических устройств: Использовать устройства для
обнаружения скрытых камер и других оптических приборов,
которые могут быть использованы для записи информации.
4. Обучение и инструктажи:
•
Обучение сотрудников: Проводить регулярное обучение по
вопросам защиты информации от визуального наблюдения,
включая распознавание потенциальных угроз.
•
Инструктажи по безопасности: Обеспечить, чтобы все сотрудники
знали и соблюдали правила обращения с конфиденциальной
информацией.
Технические каналы
1. Технические меры:
•
Шифрование
данных:
Использовать
сильные
алгоритмы
шифрования для защиты данных как при передаче, так и при
хранении.
•
Антивирусное ПО и фаерволы: Установить и регулярно обновлять
антивирусное программное обеспечение и межсетевые экраны для
защиты от вредоносного ПО и несанкционированного доступа.
•
Мониторинг и анализ трафика: Внедрить системы мониторинга и
анализа
сетевого
трафика
для
обнаружения
аномалий
и
Разработать
и
потенциальных утечек данных.
2. Организационные меры:
•
Политика
информационной
безопасности:
внедрить политику информационной безопасности, включающую
правила
использования
корпоративных
сетей,
устройств
и
программного обеспечения.
•
Управление
доступом:
Использовать
системы
управления
доступом, чтобы контролировать, кто и какие данные может видеть
и изменять. Применять многофакторную аутентификацию для
доступа к критически важным системам.
3. Физическая защита оборудования:
11
•
Защита серверных и коммуникационных узлов: Размещать
серверы и коммуникационное оборудование в защищённых зонах с
ограниченным доступом и видеонаблюдением.
•
Безопасное хранение резервных копий: Обеспечить физическую
защиту резервных копий данных, хранящихся на внешних
носителях или в облачных хранилищах.
4. Обучение и повышение осведомлённости:
•
Обучение по кибербезопасности: Проводить регулярные тренинги
для сотрудников по вопросам кибербезопасности, включая методы
социальной инженерии и фишинга.
•
Информационные
кампании:
Разработать
информационные
кампании, чтобы повысить осведомлённость сотрудников о
возможных угрозах и мерах защиты.
12
5. МОТИВАЦИЯ СОТРУДНИКОВ СОЗДАНИЯ ИНЦИДЕНТОВ
УТЕЧКИ ИНФОРМАЦИИ
Мотивация сотрудников сливать конфиденциальную информацию
может быть различной и включать несколько ключевых факторов.
Одной из самых распространенных причин является финансовая выгода.
Сотрудники могут продавать конфиденциальную информацию конкурентам
или на черном рынке, получая за это значительные суммы денег. Это может
касаться как коммерческой тайны, так и личных данных клиентов.
Сотрудники, испытывающие недовольство своим работодателем из-за
несправедливого отношения, могут использовать утечку информации как
способ мести. Такие действия часто мотивированы желанием навредить
компании или ее руководству.
Некоторые сотрудники могут руководствоваться идеологическими
соображениями, считая, что раскрытие информации послужит общественному
благу. Это может касаться политических или социальных вопросов, когда
информация публикуется для привлечения внимания к определенной
проблеме.
Иногда сотрудники могут оказаться под давлением со стороны третьих
лиц, которые используют шантаж или угрозы, чтобы заставить их раскрыть
конфиденциальную информацию. В таких случаях сотрудник действует
против своей воли, чтобы избежать негативных последствий.
Наконец, утечки информации могут происходить из-за небрежностиили
халатности
сотрудников.
Это
часто
связано
с
недостаточной
осведомленностью о правилах безопасности или несоблюдением процедур
по защите данных. В результате случайные ошибки могут привести к
серьезным утечкам.
13
ЗАКЛЮЧЕНИЕ
Защита конфиденциальной информации является критически важной
задачей для любой организации. Для предотвращения инцидентов утечки
необходимо использовать комплексный подход, включающий технические,
организационные и правовые меры. Технические меры включают шифрование
данных и системы мониторинга. Организационные меры сосредоточены на
обучении сотрудников и разработке политик безопасности. Правовые меры
включают заключение соглашений о неразглашении и соблюдение
законодательства. Эти меры помогают минимизировать риски и обеспечить
надежную защиту конфиденциальной информации.
14
СПИСОК ИСТОЧНИКОВ
1) Утечка в Discord в США вызвала беспокойство из-за нового типа
угрозы
нацбезопасности
//
Известия
URL:
https://iz.ru/1499465/2023-04-16/utechka-v-discord-v-ssha-vyzvalabespokoistvo-iz-za-novogo-tipa-ugrozy-natcbezopasnosti
(дата
обращения: 16.05.2024);
2) Сотруднику салона связи в Оренбурге вынесли приговор за продажу
данных
клиентов
//
Оренбург
Медиа
URL:
https://orenburg.media/?p=250571 (дата обращения: 16.05.2024);
3) «Яндекс.Еда» признана потерпевшей по делу об утечке данныхклиентов
// Интерфакс URL: https://www.interfax.ru/russia/878055 (дата обращения:
16.05.2024);
4) Суд раскрыл детали утечки данных клиентов из СберБанка в 2019 году
// Банки.ру URL: https://www.banki.ru/news/lenta/?id=10941698 (дата
обращения: 16.05.2024).
15
16
Download