Как защититься от инсайдеров?

Question

[Ульрих]

Профессионалы, нужна ваша помощь!
Мы имеем: небольшая компания (до 60 человек), занимается геологией и геодезией. Я админ. Руководство внезапно решило, что пора защищаться от утечек информации, в частности от инсайдеров. Бюджет: 0 рублей, т.е. использовать коммерческие решения не вариант. Ломаные тем более. Увольняться тоже не предлагайте :) Двое детей, кредит, ну вы понимаете. Интересуют конкретные методы борьбы с утечками "своими силами". Серверы все на Linux.

Вот что я придумал:
1) Отключить интернет тем сотрудникам, кому он в принципе не нужен. Для остальных использовать белые списки сайтов.
2) Доступ к шаре "работа" только тем, кто имеет допуск (геологи и геодезисты), остальному персоналу закрыть.
3) Из папки "работа" убрать старые проекты, оставить только актуальные. Старые в архив, тоже с ограниченным доступом.
4) Использовать только корпоративную почту (сейчас половина сотрудников пользуются mail.ru)
5) Запрет записи на физические носители (уже сделано средствами групповых политик)
6) Аудит SAMBA (кто какие файлы открывал, удалял и т.п.)

Какие еще реальные методы вы можете предложить?

Товарищи, давайте по существу! Понятно, что на 100% мы защититься не сможем, но по-максимуму усложнить попытки воровства документов

Comments

[abcd0x00]

Ещё слой шифрования на внутренних каналах передачи. Иначе можно к проводам подключить сниффер. В древние времена Митник заходил под видом уборщика и использовал подобные вещи.

Answer 1

[Оля Миньзюк]

Вот примерный перечень внутренних документов, который у вас должен быть:
Положение, в котором вы определяете состав информации, которая является конфиденциальной для вашей организации;
Положение о сохранении конфиденциальной информации;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Положение о работе с иностранными клиентами и их представителями;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.

Также я бы на вашем месте прописывала в договоре с контрагентами пункт о сохранении конфиденциальной информации (Например, прописываются санкционные меры при реализации угрозы конфиденциальной информации).
Вообще к построению системы защиты информации от инсайда разумно подходить с точки зрения права, организационных мер и программно-технических решений.

Вот хороший, учебник по ИБ, он хоть и 2004 года, но основные моменты прописаны хорошо lc.kubagro.ru/zi.pdf

P.S. Вы говорите об инсайде, но не задумываетесь о том, что может происходить непреднамеренная утечка информации (хотя, если верить исследованиям, именно на неё приходится основная доля потерь конфиденциальной информации).

Comments

[Ульрих]

Спасибо!

Answer 2

[nirvimel]

Бюджет: 0 рублей

Как защититься от инсайдеров?

Во имя справедливости я бы вынес из этой конторы все до последнего *.doc и предложил бы любому конкуренту, кто готов вложить в защиту от инсайдеров чуть больше чем ноль рублей.

Comments

[Ульрих]

Я тоже за справедливость, но вот пока у меня нет возможности уволиться и утащить с собой все документы. К моим методам еще что-нибудь можете предложить?

[nirvimel]

Ульрих: Нормальные в целом методы. Запрет на монтирование внешних носителей, плюс доступ в Сеть через прокси с фильтрацией по белым спискам должен неплохо сработать.
В дополнение могу предложить:
1. Логгирование всех распечаток на принтерах (на лазернике 600 dpi на один лист А4 можно нанести сотни мегабайт).
2. Полный запрет на самовольное использование внешних носителей (не только на запись). Кому что-то реально нужно, обращаются к администратору. Цель: предотвратить занос "умного" софта (это могут быть не обязательно исполнимые файлы, но и *.doc с макросами, а на макросах тоже можно много написать для автоматизации выкачки по различным каналам утечки).
3. В дополнении к белым спискам, на прокси настроить по умолчанию блокировку POST запросов (точнее всех методов, кроме GET) и зачистку тела HTTP-запроса (после заголовков ничего не должно следовать), исключения временного действия раздавать лично. Цель: предотвратить утечку через постинг в социалочках, на форумах и в чатах (при автоматизации этого процесса через этот канал тоже можно быстро слить гигабайты архивов).

[Ульрих]

nirvimel: вот это уже мне нравится! Запишите это в ответ, я потом помечу его как один из вариантов решений

[АртемЪ]

nirvimel Вообще то за это админу платят зарплату.

Answer 3

[xmoonlight]

1. Запрет на использование на рабочем месте ЛЮБЫХ электронных устройств, принесённых извне (ноут, планшет, мобильник и т.д.).
2. Запрет запись/триггинг входящих/исходящих звонков
3. Мониторинг экранов ПК.
4. Видео-контроль за всем рабочим помещением и за рабочим местом сотрудников
5. Работа с сетью через цифровые сертификаты, весь не сертифицируемый трафик - блокируется, сертифицируемый - мониторится и логируется.
6. Подписывание соглашения о неразглашении информации и мерой ответственности в случае его несоблюдения.
7. Всё, что распечатывается (включая физ.место установки принтера) - должно мониториться и логироваться.

И на заметку: чтобы вынести много - нужно мало: режим ДНК
Достаточно базовых ориентиров, чтобы восстановить всё по-памяти выйдя из офиса.
Говоря про карту: координаты?! а зачем?!))
мне лишь нужно знать название ближайшего населённого пункта, вектор направления (по часам: 12,1,2,...,11 или градус: -180/180) и длину такого вектора.
Если нужен точный контур (или 3D-модель грунта) - пишем в виде списка векторов движения с заданной точностью прям с экрана монитора на бумагу.
Неточный контур - пишем экстремумы по секторам (от центра объекта).

А лучше - подумайте: что в Вашей компании является конкурентным преимуществом?

Comments

[Ульрих]

Спасибо, ответ по теме!
1) Как за этим следить? Видеонаблюдение? Забирать телефоны при входе на работу и выдавать при выходе? :) У всех есть маленькие дети, которые периодически звонят мамам.
2) АТС, к сожалению, аналоговая. Вопрос о переходе на цифру будет подниматься. Опять таки, при наличии сотовых телефонов, никто не будет звонить по рабочему, если захочет что-то кому-то передать
3) На данный момент везде установлено VNC. У меня просто физически времени не хватит за всеми следить :)
4) Имеете ввиду камеры видеонаблюдения? Они просто должны быть или направлены на мониторы?
5) тут я не совсем понял
6) Это будет, я поговорил с "кадрами"
7) Это уже упоминали, будет

Конкретно речь идет про dwg файлы и файлы документации (doc, pdf)

[xmoonlight]

Ульрих:
1. Только рамка и отбирать. Как вариант - оплачивать переадресацию на телефон компании (который будет соотв, логироваться).
2. См. п.1
3. Для этого - есть фриланс: программно можно записать и отловить все сессии VNC в полностью автоматическом режиме и также - настроить триггеры (если замечена подозрительная активность, например "простой изображения на экране больше среднестатистического времени").
4. Лучший вариант - над головой сотрудника и направленна на стол, т.е. монитор - чтобы "вскользь" попадал. А вот всё, что делает он - было видно хорошо.
5. https://ru.wikipedia.org/wiki/IPsec + firewall
6. УРА!
7. Про камеру - там, надеюсь не забыли над принтером.

Через GET-запрос + JS можно слить любой файл, если к нему есть доступ на чтение тела из браузера.
1. Запретите доступ к этим файлам из всех приложений, кроме доверенных, у доверенных - ограничьте доступ к папкам.
2. Запретите переименование нужных файлов из файлового менеджера.
3. Запретите вставку бинарных данных из буфера обмена в web-браузер.

[АртемЪ]

Ульрих: Ответ простой - заниматься этим исключительно в рамках своих обязанностей как админа.
А камерами, рамками, и прочим пусть занимаются безопасники если они есть или никто не занимается, но это не ваша проблема.

Answer 4

[Владимир Куц]

Руководство внезапно решило, что пора защищаться от утечек информации

Бюджет: 0 рублей

Затея, заранее обреченная на провал.

Answer 5

[e2-e4]

Внутренние нормативные документы, SIEM (есть open source), обучение, тестирование персонала, DLP, архив электронной почты, разделение сети

Comments

[Ульрих]

Вот за SIEM спасибо, изучаю open source решения

Answer 6

[mace-ftl]

Я в такой ситуации сам написал DLP-систему ну и там вагон софта по теме )))

Безопасники есть в конторе вообще? Ибо если нет то это тупо тебе дополнительный гемор, даже если решение будет бесплатным - данные то мониторить руками всё равно...

Если это только увеличит тебе объём работы, а оклад не увеличит - не рекомендую вообще ничего делать, как ни странно - крайним назначат

Comments

[Ульрих]

Нет, безопасника нет. но я планирую после частичного внедрения уже перечисленных методов просить прибавку к зарплате :)

[mace-ftl]

Ульрих: ну класс, тебя уволят и возьмут чела на ткую же ЗП только ему ещё и систему надо будет поддерживать )))

Блин, ну пусть хотя бы ежемесячно выделять на аренду софта, ну или тупо делегируют работу на аутсорс, с нулевым бюджетом это только гемор кому-то лишний, зачем?

[Ульрих]

mace-ftl: ну если уволят, то пусть потом кто-то другой мучается это всё поддерживать :D Думаю, он тоже там долго не проработает) Но как я уже говорил, увольняться по собственному я не хочу.

[Ульрих]

mace-ftl: я рассмотрю ваш вариант, но позже :)

Answer 7

[Алексей Ульянов]

Система документоборота с разграничением прав, историей просмотров и правок тоже полезный инструмент. Но не уверен что есть бесплатные достойные варианты.