Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1536 / 238 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 21:

Семинары

Семинар 5. Кейс-стади: безопасность в MACRO

Цель занятия

  • Ознакомиться с разделом "Описание ситуации"
  • Предложить решения, которые позволили бы исправить ситуацию с обеспечением безопасности информации в компании с использованием продуктов Microsoft
  • Поэтапно разобрать поведение компании в описанной ситуации, описанное в разделе "Предпринятые меры", и оценить правильность каждого из шагов
  • Прокомментировать мнение аналитиков о том, что единственный метод противодействия инсайдерской угрозе состоит в найме на работу честных сотрудников
  • Перечислить современные технологии защиты информации, позволяющие снизить риск от человеческого фактора

Описание ситуации

" MACRO " (сокр. от Major Aerospace Corporation founded by Ronald and Onsi ) является ведущей мировой авиакосмической корпорацией и крупнейшим производителем пассажирских самолетов. Кроме того, "Макро" разрабатывает и выпускает военные вертолеты, электронные и оборонные системы, ракеты, спутники, современные информационные системы и системы связи. "Макро" занимает лидирующие позиции в области противоракетной обороны, пилотируемых космических полетов и услуг в сфере поддержки и послепродажного обслуживания авиатехники.

В истории компании "Макро" отражен весь путь мировой авиации и космонавтики, от создания одним из основателей компании Чарльзом Рональдом самолета для перевозки почты до строительства на околоземной орбите Международной Космической Станции. "Макро" на протяжении многих лет остается лидером авиационно-космической отрасли, предлагая заказчикам самые современные технологии и инновационные решения.

Заказчики компании находятся в более чем 90 странах мира. По объемам продаж "Макро" является одним из крупнейших экспортеров в США.

Штат авиационного гиганта насчитывает более 160 тыс. сотрудников в 70 странах мира. Сфера деятельности, глобализация, ужесточение конкуренции и быстрая динамика рынка оказывают влияние на принципы ведения бизнеса и предъявляют жесткие требования к ИТ-инфраструктуре компании. Информатизации бизнес-процессов и мобильности сотрудников в "Макро" давно уделяется много внимания: так, уже в 2005 г. порядка 50% сотрудников в своей деятельности использовали корпоративные ноутбуки.

Однако оказалось, что наличие большого парка современных технических средств может быть не только преимуществом, но и прямой угрозой для бизнеса. В ноябре 2005 г. года был похищен лэптоп с приватными данными 161 тыс. бывших и нынешних служащих авиастроительного гиганта. Преступники завладели именами, номерами социального страхования и в некоторых случаях банковской информацией. Еще больше омрачило ситуацию заявление официального представителя компании о том, что проблема кражи на самом деле является не единственным источником опасности: только в 2005 году фирма потеряла 250 ноутбуков из используемых 75 тыс.

После инцидента с компрометацией данных сотрудников руководство "Макро" пообещало внедрить самые современные методы защиты информации, в том числе и шифрование данных на мобильных компьютерах и выпустило директиву о шифровании чувствительных данных. Однако когда в апреле 2006 г. у сотрудника отдела кадров компании "Макро" в аэропорту был украден мобильный компьютер, хранившийся на нем файл с приватными сведениями работников компании, которую корпорация "Макро" поглотила в 2000 г., оказался незашифрованным.

Официальный представитель компании сообщил, что хранение конфиденциальной информации в открытом виде является нарушением политики ИТ-безопасности фирмы "Макро". Между выпуском упомянутой директивы, обязывающей служащих шифровать такие данные, и инцидентом в аэропорту прошло целых 5 месяцев. Сотрудник, допустивший кражу, попытался оправдать свою халатность тем, что не заметил конфиденциальный файл, проводя ревизию своего жесткого диска после ноябрьского инцидента.

За этим последовала новая кража: в ноябре 2006 г. был похищен лэптоп из автомобиля сотрудника компании "Макро". В результате приватные сведения 362 тыс. сотрудников оказались скомпрометированы. Нанесенный компании ущерб был оценен в 147 млн долл.

Предпринятые меры

  • Компания "Макро" оповестила всех своих нынешних служащих по e-mail, а бывших сотрудников обычной почтой о том, что их имена, номера социального страхования, а в некоторых случаях еще адреса и номера телефонов, были скомпрометированы в результате кражи ноутбука.
  • Каждый пострадавший получил бесплатный мониторинг финансовой активности.
  • В компании был проведен аудит всех мобильных компьютеров, используемых сотрудниками отдела кадров.
  • На каждый ноутбук было принудительно установлено программное обеспечение для шифрования данных
  • Все служащие, работающие с конфиденциальной информацией на лэптопах, были направлены специальные тренинги.

Несмотря на масштабные преобразования в компании, проблемы с информационной безопасностью не были исчерпаны. В июле 2007 г. инспектор подразделения контроля качества "Макро" был арестован за кражу конфиденциальных документов. В течение 2 лет работник собирал различные сведения, а затем предложил подборку корреспондентам газеты The Seattle Times. Представители "Макро" отказались сообщить, каков же реальный экономический ущерб от действий сотрудника. По некоторым оценкам, инсайдер украл около 320 тыс. различных документов общей ценностью до $15 млн. На его домашнем компьютере обнаружили контакты нескольких журналистов. Кроме того, были найдены свидетельства, что сотрудник компании делился с ними закрытой информацией. Данные инсайдер копировал с помощью обычной флэшки. По словам самого фигуранта истории, таким способом он собирался привлечь внимание к проблемам на предприятии.

Отдельные аналитики связывают проблему инсайдерской угрозы с появлением современных технологий переноса данных и невозможностью каждый день досматривать каждого работника: даже если представить, что служба безопасности пошла на такие меры, работник мог бы переслать материалы по электронной почте. Единственный выход из ситуации они видят в том, чтобы нанимать на работу честных людей.

Комментарии эксперта (Денис Зенкин, директор по маркетингу компании InfoWatch)

  • "Слишком много внутренних инцидентов зарегистрировано на авиагиганте в последнее время. Это дает основания полагать, что политика безопасности <в компании> неверна."
  • "Масштабы, в которых <компания> теряет ноутбуки, должны были заставить компанию выпустить директиву о шифровании еще несколько лет назад. Однако лучше поздно, чем никогда"
  • "Уверен, компания … правильно поступила, что решила принудительно оснастить ноутбуки средствами шифрования и дополнительно обучить персонал".
  • "<Инсайдер>украл документы из многих подразделений. В <компании> заявили, что < инсайдер >нарушил политику компании. Однако это вина ИТ-службы, что сотрудник мог работать с ненужными ему директориями. Доступ работников к данным необходимо строго регламентировать."
  • Нужно "… непосредственно работу с файлами контролировать с помощью систем защиты от утечек. Тогда количество внутренних инцидентов будет сведено к минимуму"

Краткие итоги

Участники семинара систематизировали знания о мерах по обеспечению информационной безопасности, а именно:

  • На конкретном примере оценили риски и угрозы, связанные с человеческим фактором и мобильными устройствами в обеспечении информационной безопасности;
  • Развили навыки поиска решений проблем информационной безопасности, сопряженных с человеческим фактором ;
  • Приобрели опыт профилактической и предупреждающей деятельности по отношению к информационным угрозам
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Владимир Малиновский
Владимир Малиновский
Россия, г. Москва
Сергей Пальгуев
Сергей Пальгуев
Россия, Н. Новгород, ВВАГС, 2003