Незаконни кибер дейности, свързани с измами във финансовия сектор на САЩ

Доклад за резултатите от изследване на заплахите от „вътрешни”хора

Изследването и доклада за неговите резултати е извършено от CERT Insider Threat Center, част от  Carnegie Mellon University’s Software Engineering Institute

Този Доклад описва резултатите от ново изследване на  заплахите, произтичащи от действията на злонамерени „вътрешни” хора. В Доклада са разгледани технически и поведенчески примери за 67 „вътрешни” и 13 „външни” случаи на финансови измами, извършени в периода 2005 - 2012 г.  На базата на тази информация са разработени рискови индикатори за зловредни дейности на „вътрешни” хора в банковия и финансов сектори.

 Като цяло Доклада има за цел да помогне на частния сектор, държавните институции, и правораздавателните организации на САЩ в работата им за превенция, възпиране, разкриване, разследване и управление  на заплахите към банковия и финансов сектори, произтичащи от злонамерени „вътрешни хора”.

Опита ми от работата в направлението банкова сигурност (в т.ч. информационна сигурност на банковите системи), дава необходимото и достатъчно основание да твърдя, че банките в  нашата страна имат сходни проблеми (ако не и по-големи) по сигурността, свързани със злонамерените „вътрешни” хора. В този смисъл Доклада би могъл да бъде много полезен на ръководителите на звената за банкова сигурност, анализ на риска и информационни технологии.

Връзка към Доклада:

http://www.sei.cmu.edu/library/abstracts/reports/12sr004.cfm

Смекчаване на заплахите към информационната сигурност, предизвикани от злонамерени „вътрешни хора”

Този кратък материал има за цел да опише основни елементи от съдържанието на Common Sense Guide to Mitigating Insider Threats - 4th Edition / от декември 2012, разработка на  Software Engineering Institute, организация за изследвания и развитие, спонсорирана съвместно от Министерство на отбраната на САЩ и Carnegie Mellon University.


Забележки:  
1. Навсякъде по-долу в текста под „Ръководство”  да се разбира „Common Sense Guide to Mitigating Insider Threats - 4th Edition”;
2. За целите на това Ръководство под злонамерени „вътрешни хора” или злонамерен „вътрешен човек” се разбира настоящ  или бивш служител, контрактор или бизнес партньор, който отговаря на следните критерии:

- има или е имал упълномощен достъп до мрежа (и), системи или данни /информация на организацията;
- умишлено превишава или умишлено използва този упълномощен достъп по начин, който нарушава конфиденциалността, интегритета или наличността / достъпността на данни / информация или на информационните системи на организацията, като цяло.

ВЪВЕДЕНИЕ
Заплахите, предизвиквани от „вътрешни хора” се реализират  чрез комбинация от технически, поведенчески и организационни приоми и трябва да бъдат отчетени в съответните политики, процедури и приложени технологии в съответната организация. В този смисъл, това Ръководство е предназначено за мениджърите на организацията, вкл. и тези от звената за човешки ресурси, правно осигуряване, ИТ, сигурност и др. Ръководството ще помогне на висшия мениджмънт да разбере целия обхват на проблема от заплахите, предизвиквани от „вътрешни хора”, а също създава обективни предпоставки за обсъждане на този проблем с целия личен състав на организацията, както е приложимо.

В Ръководството са описани 19 (деветнадесет) практики, които организациите би трябвало да въведат в изпълнение, с цел превенция и прихващане / разкриване на заплахите, предизвикани от „вътрешни хора”. Към всяка от тези практики има примери за неприемливи събития по сигурността, за организации, които не са внедрили съответната практика. В допълнение са разгледани и предизвикателствата, свързани с внедряване на съответната практика, решения за нейната практическа реализация и връзката на тези решения с решения / препоръки в международно признати стандарти по сигурността. 

В Ръководството са разгледани 6 (шест) базови групи  в организациите, имащи отношение към сигурността, а също и съответните практики, които би  трябвало да внедрят за противодействие на заплахите от „вътрешните хора”. Тези базови групи са:
- Човешки ресурси;
- Правно обслужване;
- Сигурност (физическа);
- Информационни технологии (вкл. защита на информацията);
- „Собствениците” на данни / информация;
- Разработване / придобиване на софтуер 

Основните практики, за противодействие на заплахите от злонамерени „вътрешни хора”, обект на разглеждане от това Ръководство са, както следва:
1. Оценка и анализ на рисовете към организацията от заплахи, произтичащи от „вътрешни хора” и бизнес партньори.
2. Ясно и точно документиране, и последователно  прилагане на политиките, и контролите по сигурността.
3. Провеждане на периодично обучение и/или запознаване на всички служители на организацията с потенциалните заплахи към сигурността, произтичащи от „вътрешни хора”, и последствията от тяхната реализация.
4. Наемане на персонал, наблюдение и противодействие на неприемливо поведение.
5. Предотвратяване и управление на нежелателни последствия, произтичащи от  състоянието на работната среда.
6. Познаване на активите (от всякакъв тип) на организацията.
7. Въвеждане на строги политики и практики за управление на паролите за достъп.
8. Прилагане на принципа за разделяне на задълженията и делегиране на най-малко привилегии.
9. Изрично определяне на споразумения за каквато и да било „облачна” ИТ услуга (ползвана от организацията), и специално, за ограничаване на достъпа и наблюдение на способностите.
10. Създаване на стриктен контрол на достъпа и наблюдение (политика за наблюдение и контрол) на привилегированите потребители.
11. Въвеждане на процес на контрол за промените в ИТ системите.
12. Внедряване на система за управление (вкл. за корелация ) на информацията и възникналите събития по сигурността.
13. Наблюдение и контрол на отдалечения достъп от всички крайни точки, вкл. от мобилни устройства.
14. Разработване и прилагане на цялостна процедура по сигурността при прекъсване на трудовите взаимоотношения.
15. Внедряване на сигурни процеси за временно запазване, архивиране и възстановяване на информацията.
16. Разработване и внедряване в организацията на цялостна програма за противодействие на заплахите, произтичащи от злонамерени  „вътрешни хора”.
17. Определяне на базови критерии за оценка на нормалното поведение на мрежовите устройства.
18. Обръщане на особено внимание и бдителност към социалните медии.
19. Противодействие към неупълномощеното „извличане” на данни.

В Ръководството, освен традиционните заплахи от настоящи или бивши служители на организацията са разгледани и някои допълнителни аспекти на заплахите от „вътрешни хора”, както следва:
- „Негласни” споразумение с външни за организацията лица – Много от „вътрешните хора”, които крадат или променят данни / информация са били наети от от външни лица, в т.ч. от организираната престъпност или  от чужди организации / държави;
- Бизнеспартньори – Проучванията регистрират нарастване на престъпленията  от „вътрешни хора” на утвърдени / благонадеждни бизнес партньори, на които е предоставен достъп до мрежите, системите и/или данните на своите клиенти;
- Сливания и придобиване на бизнес организациии – Съществува високо ниво на риск от заплахи от „вътрешни хора”в организациите, придобити от друга организация. Организациите трябва да разберат увеличаващия се риск от заплахи от „вътрешни хора”, както в придобиващата, така и в придобитата организация, още повече, че служителите са подложени на допълнителен стрес и нестабилен вътрешен организационен климат;
- Културни различия – Въпросите свързани с културата биха могли да повлияят на поведението на служителите – напр. служител, който е отрасъл в среда извън страната или е бил дълго време извън страната е възможно да не може да  покаже поведение и маниер, възприети в страната (организацията);

Всяка от практиките (19 бр.)  е детайлно описана в следния формат:
1. Наименование на практиката
2. Кое звено от организацията има отношение към практиката (изпълнява, контролира, разработва и т.н.) – напр. „Човешки ресурси”, „Правно осигуряване”, „Физическа сигурност (охрана)”, „ИТ” и др. (както е приложимо за конкретната организация)
3. Описание на мерките за защита
4. Предизвикателства за внедряване
5. Примери, свързани с практиката
6. Конкретни решения за реализация на практиката

Връзка  към  Common Sense Guide to Mitigating Insider Threats - 4th Edition:
www.sei.cmu.edu/reports/12tr012.pdf

Въпроси (и повече информация), свързани с темата, вкл. и по практическото изграждането на цялостна система за противодействие на заплахите, произтичащи от злонамерени  „вътрешни” хора, могат да поставят чрез електронна поща на адреси:

infosecservicebg@gmail.com
infosecservice@study-security.com
Пламен Каменов / +359 886 655 315

Какво (не как) трябва да направим за да изградим Система за управление на информационната сигурност (СУИС) ?

Практиката ми в проектирането, изграждането, внедряването и одитирането  на СУИС на организации от държавната администрация, индустрията, услугите, банковия сектор, а също, и множеството проведени курсове за обучение по въпросите на информационната сигурност,  ме мотивира да разработя и да започна да публикувам кратки, практически препоръки, свързани с изграждането на СУИС, в съответствие с изискванията на ISO 27001 и препоръките в останалите приложими стандарти от фамилията ISO 27000.

В публикациите ще бъдат предоставени практически препоръки за следните основни въпроси, свързани с информационната сигурност:
- Въведение в информационната сигурност и системите за нейното управление;
- Какво е „обхват на СУИС”? Само подробен Списък на информационните активи на организацията – или има и нещо друго, свързано с оценката на тези активи ?  Какво да направим за да оценим качествено и количествено нашите информационни активи?
- Какво е „оценка и анализ на рисковете към информационните активи”?  Какво трябва да направим за да бъдат нашите оценки и анализи реалистични?
- Какво е „противодействие на рисковете към информационните активи”?  Какво трябва да направим за да намалим рисковете към нашите информационни активи  и/или последствията от тяхната реализация?
- Какво, по същество означава „СУИС” (не като съкращение)? Какво управляваме с тази система (отговора не е „информационната сигурност”)? След като управляваме, можем ли да въздействаме на заплахите към информационната сигурност и/или на нашите уязвимости / слабости по сигурността? 
- Какво е „документиране на СУИС” ? Какво и защо го документираме?
- Какво от СУИС можем да направим в „домашни условия”?

Надявам се, че тези публикации ще помогнат на всички имащи необходимост и намерения да изграждат СУИС, като им дадат практическа информация за  това, което трябва да извършат.

В препоръките ще бъдат отразени и очакваните промени в изискванията към СУИС, съгласно ISO 27001:2013.

Публикациите ще бъдат налични в този блог и за тях ще има съобщения и във Facebook.

ISO 27001 и ISO 27002 - очакваните нови версии

Както вече публикувах преди време, до края на 2013 г. се очаква официално да бъдат публикувани новите версии на стандартите за Системи за управление на информационната сигурност (СУИС)  ISO 27001 и ISO 27002. Разбира се, след това ще се появяват и нови версии на всички останали стандарти от фамилията 27000, които пряко са свързани с променените изисквания в ISO 27001 (както това е направено вече с ISO 27002).
Към момента, са налични за свободно разпространение работни, неофициални  варианти на ISO 27001 и ISO 27002. Тези варианти отразяват състоянието на стандартите към м. март 2013 г., когато завърши процеса на предложения и обсъждания и са подготвени лично от мен, като цялостни документи. Разбира се официалните версии на тези стандарти, вероятно ще се различават от работните варианти, които предлагам, но се надявам (на практика съм сигурен), че разликите ще бъдат само от редакционен и технически характер.

За всички, които с интересуват от работните, неофициални варианти на ISO 27001 и ISO 27002, могат да направят заявка за получаване в електронен вид на e-mail:

infosecservicebg@gmail.com
infosecservice@study-security.com
+359 886 655 315 / Пламен Каменов