18 января 2013 г.

Об утечке информации и ее расследовании: поздно пить боржоми?

К многочисленным бедам компании AMD, американского производителя процессоров, некогда грозного конкурента Intel и Nvidia, добавились новые.
Неутешительный финансовый отчет за 3 квартал прошлого года (более свежий пока не опубликован) привел к тому, что авторитетные аналитики крупнейших порталов, таких, как CNET, All Things D, Bloomberg и Reuters предсказывают сокращение числа работников компании на 10, 20 и даже 30 процентов. А это, кроме очевидных финансовых проблем, приведет и к реализации новых рисков, связанных с миграцией персонала. Причем проблемы утечки мозгов и информации не просто предположительно будут, они уже возникли. И никакие акты о не конкуренции, о которых мы любим с тоской вспоминать в России, не помогли.
AMD подала жалобу и требование о судебных ограничениях в отношении четырех своих бывших высокопоставленных менеджеров, перешедших в компанию Nvidia и прихвативших с собой порядка 100 тысяч файлов чувствительной информации о деятельности компании, относящейся к трем интересным группам: конфиденциальная информация, коммерческая тайна и собственность компании.
В заявлении и комментариях к нему часто упоминается замечательное слово «форензика» (в трактовке Н.Федотова – компьютерная криминалистика), но ни разу не говорится о предпринятых мерах по предотвращению возможных утечек информации. Суть дела проста, как апельсин, - вице-президент терпящего бедствие производителя процессоров переметнулся к конкурентам, позвал с собой группу коллег-товарищей не с последней парты и попросил их в качестве доказательства лояльности новому работодателю скачать что-нибудь полезное, что те в течение нескольких месяцев добросовестно (если это слово вообще употребимо в данной ситуации) и делали. Среди выбранного в качестве прощального сувенира от покидаемого работодателя – бизнес-стратегия, названная компанией «строго конфиденциальной», стратегия лицензирования и лицензионные соглашения с ключевыми заказчиками, технологические наработки и контакты с крупными контрагентами (а это, среди прочего, поставки процессоров для игровых консолей Xbox, PlayStation и Wii U), и даже внутренняя база данных AMD «Perforce» с более чем 200 файлами, содержащими ноу-хау, помеченными маркировкой «конфиденциально».
Все это подтверждено в ходе внутреннего расследования, которое даже выявило факт гугления одним из обвиняемых в недобросовестной конкуренции способов скачивания больших объемов информации. Как утверждают представители AMD, в договорах со всеми менеджерами были прописаны обязательства о неразглашении коммерческих секретов и соблюдении конфиденциальности, однако помогло это в реальной ситуации мало.
Потому, как давно известно: правила, выполнение которых не проверяется, не работают. И точка.
Из всех комментариев в Интернете к данному событию я выделю один крайне здравый: «Я работаю в компании, которая просто блокирует доступ к USB, и такие вещи не происходят. AMD надо будет поучиться».
Это лишняя иллюстрация к вечному: «Что имеем, не храним, потерявши плачем». Новейшие наработки, часть из которых, по мнению экспертов, по-прежнему превосходит аналоги Intel и Nvidia. Тяжелое финансовое положения из-за многочисленных ошибок в выборе стратегии развития и управлении. Бегство лучшего и сокращение остального персонала. И полное пренебрежение риск-менеджментом, контролем за утечками и управлением правами на электронные документы.
Можно теперь требовать судебного запрета на использование украденных файлов, на найм работников конкурентами и пытаться восстановить свои нарушенные исключительные права на результаты интеллектуальной деятельности. Но птичка вылетела. И, как известно, после определенных событий, пить боржоми поздно. Надо было думать и защищать секреты до, а не после.
Кстати, рецепт специально для производителей софта, железа и прочего конкурентоспособного товара на ИТ и ИБ рынке. Посмотрите внимательно, что украли – материалов в Интернете сейчас очень много. И сравните со своими перечнями информации, составляющей коммерческую тайну. Если они есть, конечно. Можно будет узнать много интересного. И сделать выводы.

7 комментариев:

  1. Я думал о выделенном комментарии вы сказали "здравый" с иронией, а вы действительно так считаете. Это же несерьёзно, ИТ-специалист с соображалкой легко утащит нужную информацию с компьютеров и с закрытыми USB-портами, ведь есть и сеть, и другие порты, и бумага, и аналоговая дыра.

    ОтветитьУдалить
  2. Алексей Лукацкий (от лица Cisco Systems) и ряд коллег регулярно публикует статьи типа: с каждым годом лояльность сотрудников зависит от предоставляемой им свободы коммуникаций и т.п. По их словам наличие таких свобод является не менее важным чем размер заработной платы.
    То есть - отключите USB, запретите Интернет, запретите приносить свои устройства, запретите работать дома и в дороге - и вам придется поднимать зарплату в 2 раза чтобы удерживать сотрудников. Не говоря о снижении эффективности бизнес-процессов.

    Так что не всё так просто.

    ОтветитьУдалить
  3. 2Алексей. Если следовать Вашей логике, не надо ставить антивирус - найдется Stuxnet или Duqu, не нужны IDS/IPS - не все атаки имеют зафиксированные сигнатуры, ни к чему МЭ - его можно обойти и т.д. Построение системы ИБ - это снижение рисков до приемлемого уровня, не более. Панацей и решений, "исключающих неправомерные действия," как любят писать регуляторы, не бывает. Системы управления электронными правами IRM от Oracle или RMS от MS очень сильно затрудняют подобные нарушения, хотя сложны и дороги. DLP позволяют их выявить на этапе действия, а не после него, как в рассматриваемом случае. Аналог и бумага для 100 тысяч файлов? Вряд ли последствия были бы такими же. И говоря о кудесниках от ИТ, обходящих любые запреты, Вы не обратили внимания на маленький нюанс - это были не гуру. Один из них искал в Интернете способы скачивания больших массивов данных.

    ОтветитьУдалить
  4. При всем моем глубоком уважении к А.Лукацкому и другим неназванным авторам, никак не могу согласиться с Вашим утверждением. Там, где человек приходит работать, а не шариться в Интернете за счет работодателя, работать, а не получать зарплату, решая на службе личные дела, контроль и запреты к негативным последствиям не ведут. Если работа интересная, работодатель нормальный, зарплата белая и большая - ничего менять не придется. Я сам вводил систему мониторинга и ограничений не раз, там где работал, и ставил эту работу заказчикам. И никто не не уволился. А вот увольнения после этого по инициативе работодателя были. Находили очень много интересного. И увольнения как раз приводили к повышению эффективности бизнес-процессов.
    Все непросто. Но надо выбирать, секреты или полная свобода.

    ОтветитьУдалить
  5. Михаил, раз уж были упомянуты, то приведу эти несколько ссылок:
    http://lukatsky.blogspot.ru/2013/01/blog-post_11.html
    http://www.pcweek.ru/themes/detail.php?ID=143991
    http://i-business.ru/blogs/23293
    http://lukatsky.blogspot.ru/2012/09/dlp-russia-2012.html

    Основная моя идея была не в том что защищать не нужно.
    Нужно, но запрещать всё подряд не получится.

    И социальные сети придется разрешать и USB и мобильные устройства и облачные сервисы и виртуальные рабочие места, и новые сервисы видео/голосовой связи. Но не всем и не всегда.

    Скорее всего полностью контролировать все технологии, все каналы обмена информацией не удастся или будет стоить слишком дорого.
    Так что нужно оценивать риски, выбирать. Рассчитывать в том числе и на организационные меры, на программы повышения лояльности.

    И на счет проблем DLP писал Алексей Волков.
    http://anvolkov.blogspot.ru/2012/11/dlp.html
    Предотвратить передачу очень сложно. Большинство владельцев DLP не включает активное предотвращение, так как за ложные срабатывания получат по шапке.

    Так что не не стоит сильно критиковать AMD.
    Вполне возможно что они обнаружили утечку как раз с помощью DLP.
    И теперь они, находясь в цивилизованной стране, пытаются решить проблему законно - через суд.

    ОтветитьУдалить
  6. Знаю несколько компаний, которые не применяют DLP, но перед увольнением ключевых сотрудников:

    как только возникло намерение, сразу же лишают сотрудников всех полномочий в системах и ограничивают сетевой доступ, блокируют доступ к их АРМ и ноутбукам.
    Либо эти сотрудники передают дела в присутствии другого сотрудника, либо они временно работают на чистых АРМ.

    Но и такие меры не всегда помогают. Если сотрудник подозревает что его уволят или сам планирует уволится, он может за несколько месяцев до этого принять меры.

    ОтветитьУдалить
  7. Сергей, я никогда не предлагал защищать все или все запрещать. Как раз наоборот. Надо ограничивать действия в отношении критичной информации, ну, например, составляющей коммерческую тайну. Проблема многих СИБ именно в том, что пытаются защищать все. Но если уж действительно минимизировать риски - одной DLP для этого мало. Нужна еще IAMS хорошо настроенная и реализующая ролевую модель, и IRM или RMS, и система аудита для баз данных, если такая инфа есть в них. И кое-что еще в зависимости от конкретных условий. И в облаках такой информации не должно быть, и на личных гаджетах в общем случае, хотя возможны и нюансы.
    А по поводу ограничения прав намеченного к увольнению - считаю все эти меры бессмысленными. Он уже ничего не наработает, зачем ему чистый комп? По поводу нескольких месяцев. При хорошей и правильной постановке дела единственный способ хищения может быть переписывание на бумагу с экрана или его фотографирование, что существенно ограничивает возможности злоумышленника.

    ОтветитьУдалить