Внешние и внутренние нарушители информационной безопасности: кто они

В учебниках по информационной безопасности нарушителей принято делить на внешних и внутренних. Внешний — это страшный хакер в капюшоне, который ломится в сеть. Внутренний — это обиженный сотрудник, который решил слить базы. Но для производства эта классификация работает иначе.

Методика ФСТЭК выделяет три принципиально разные фигуры: внутренний нарушитель (свой же технолог или оператор), внешний нарушитель (конкуренты, хакеры, диверсанты) и поставщик (тот, чье оборудование и ПО уже стоят в цеху). У каждого своя мотивация, свои возможности и свои методы борьбы.

Сегодня мы говорим с Игорем Краевым, генеральным директором компании «Стратегия РА», о том, как выстроить отношения с каждым из этих персонажей и почему партнерская модель с собственным персоналом эффективнее тотальной слежки.

Игорь, в прошлых статьях мы говорили про последствия, про технику, про организацию. Сегодня — про личности. Кто именно угрожает производству и почему это важно?

Потому что, не понимая мотивации нарушителя, мы строим защиту вслепую. Ставим дорогой сетевой экран от внешних атак, а станок ломает свой же оператор, который случайно уронил флешку в чай. Или покупаем немецкий контроллер, не проверяя, нет ли там «закладки» от спецслужб.

ФСТЭК требует оценивать риски по трем категориям: внутренний нарушитель (свои люди), внешний нарушитель (чужие) и поставщик (те, чьи руки уже внутри нашего периметра). Стратегия защиты для каждой из этих категорий должна быть разной. И везде ключевую роль играет не только техника, но и отношения с людьми.

1. Внутренний нарушитель: технолог, оператор, инженер.

Психологический портрет: это свой человек. Он знает, где лежат ключи, какие пароли на контроллерах, когда приходит сменщик. Он может быть врагом умышленно (обида, подкуп) или неумышленно (усталость, некомпетентность, халатность). Статистика говорит, что 70% инцидентов на производстве связаны именно с действиями своих.

И как защищаться от своих? Ставить камеры в каждом углу и тотально прослушивать?

Это тупиковый путь. Тотальная слежка рождает только тотальное сопротивление. Люди начинают ненавидеть безопасность, прятать ошибки, работать «назло». Эффективная стратегия — превратить персонал из объекта защиты в субъекта безопасности, в партнера.

Неочевидные партнерские решения:

1. Программа «Белый конверт»: создаем систему анонимных сообщений, которой люди действительно доверяют. Не корпоративная почта, а внешний независимый канал, куда можно сообщить о проблеме, ошибке коллеги, подозрительном поведении, не боясь наказания. Обезличенная обработка сообщений, отделяет зерна от плевел и передает руководству уже агрегированную информацию. Важно: ни одного наказания по итогам «белого конверта» в первый год — только благодарности и устранение проблем. Люди должны поверить, что сообщать — безопасно и почетно.
2. Инженеры безопасности из числа технологов: в каждой смене выбирается (не назначается сверху, а именно выбирается или вызывается добровольно) один оператор, который становится «капитаном безопасности». Ему доплачивают, его учат, он проходит тренинги у партнера. Его задача — не шпионить за коллегами, а быть «глазами и ушами» на месте, помогать коллегам не делать глупостей, объяснять, почему нельзя вставлять свою флешку. Это создает горизонтальный контроль, который эффективнее вертикального.
3. Геймификация безопасности: люди любят соревноваться. Вводите рейтинги цехов по количеству выявленных рисков, по скорости реакции на учения, по результатам фишинг-тестов. Победители получают премии или ценные призы. Но ключевое — победа должна быть публичной и почетной. Это формирует моду на безопасность.
4. Ритуалы и истории: самый мощный инструмент управления внутренним нарушителем — устное народное творчество. Для этой цели обязательно привлекайте партнера, который поможет собрать и растиражировать «страшилки» и «героические истории» из жизни предприятия. «Помните, как Петрович не проверил флешку и цех встал на сутки?». Это работает сильнее любой инструкции.

А если внутренний нарушитель — умышленный саботажник?

Здесь нужны дополнительные контуры. Принцип «четырех глаз» и «непрерывного видеоконтроля с аналитикой». Критические операции (смена уставок, перезагрузка контроллеров) должны выполняться только вдвоем, с видеозаписью и с автоматической фиксацией в неизменяемом журнале. Но даже в этом случае важно, чтобы люди понимали: это не недоверие, это защита их самих от ложных обвинений.

2. Внешний нарушитель: конкуренты, хакеры, диверсанты

Психологический портрет: это профессионалы. Они не ломятся в открытый шлюз, они изучают предприятие месяцами. Их цели — кража технологий, остановка производства, дискредитация бренда, шантаж. Они используют социальную инженерию, фишинг, длительные высокотехнологичные кибератаки.

Здесь партнерство с персоналом тоже работает?

Это единственное, что работает против сложных атак. Потому что внешний нарушитель всегда бьет в самое слабое место — в человека. Он пришлет письмо главному инженеру от имени гендиректора, он позвонит оператору и представится техподдержкой Siemens. Техника здесь бессильна. Нужна «живая сеть доверия».

Неочевидные партнерские решения:

1. Внешний ситуационный центр: партнер создает для предприятия круглосуточный канал связи. Но не для машин, а для людей. Если оператор увидел что-то странное (письмо, звонок, поведение системы), он звонит не в IT, а партнеру. Партнер за 15 минут анализирует, проверяет по своей базе угроз и дает заключение: «Это атака, делайте то-то». У человека нет страха, что его сейчас начнут учить или накажут. Он просто передает информацию профессионалу.
2. Программа «Тайный покупатель» от безопасности: партнер регулярно (но нечасто, чтобы не привыкли) проводит сложные социально-инженерные атаки на предприятие. Не фишинг, а реальные сценарии: звонок «из ФСБ» с просьбой срочно установить программу, подосланный курьер с «обновлением», «проверка пожарной безопасности». Цель — не наказать, а выявить, кто клюнет, и обучить именно этих людей персонально.
3. Сеть внешних контактов: партнер связывает службы безопасности разных предприятий в неформальную сеть. Если на заводе N в соседнем регионе зафиксирована новая атака, партнер через час предупреждает всех. Это создает эффект коллективного иммунитета.

3. Поставщик ПО и оборудования: невидимый нарушитель

Психологический портрет: это не враг в классическом смысле. Это компания, которая продала вам станок с уже установленным софтом. Но в этом софте могут быть закладки (специально или случайно), уязвимости, недокументированные возможности. А еще у поставщика есть удаленный доступ для диагностики, которым могут воспользоваться третьи лица.

Как защищаться от того, кто уже внутри периметра и кого нельзя выгнать, потому что станок нужен?

Только партнерством и дополнительными контурами, которые делают поставщика прозрачным.

Неочевидные решения:

1. «Золотой образ» и контракт на обновления: при покупке оборудования мы фиксируем его «золотой образ» — эталонную прошивку, эталонную конфигурацию. Любое обновление от поставщика проходит через партнера: разворачивается на тестовом стенде, анализируется на предмет изменений, сравнивается с эталоном. Только после этого — разрешение на установку. Это должно быть прописано в контракте как условие приемки.
2. Тотальный мониторинг удаленного доступа: удаленные подключения поставщика для диагностики — это самый опасный канал. Его не нужно запрещать, но нужно пропускать через шлюз-посредник. Весь сеанс записывается, команды анализируются, доступ возможен только по двухфакторной аутентификации. Поставщик не имеет прямого доступа к контроллеру, он видит только «отзеркаленную» копию.
3. Независимый аудит кода (для ПО): если используется сложное ПО от вендора, пригласите партнера, который проведет его независимый анализ (когда это возможно) или хотя бы анализ поведения — что оно «стучится» наружу, какие файлы читает, куда отправляет данные. Часто выясняются интересные вещи.
4. Программа осознанного выбора: дружите с партнерами профессионалами, которые помогают предприятию оценивать вендоров не только по цене и мощности, но и по «чистоте». Есть ли у них закладки в истории? Как быстро они закрывают уязвимости? Дают ли они доступ к исходному коду для аудита? Это должно стать критерием тендера.

Игорь, если свести все воедино, какой должна быть архитектура безопасности, учитывающая всех трех нарушителей?

Архитектура, построенная на принципе «доверяй, но проверяй с партнером». Она состоит из трех слоев:

1. Первый слой — человеческий: это система вовлечения персонала (капитаны безопасности, белые конверты, геймификация, ритуалы). Люди должны хотеть защищать завод, как свой дом. Это достигается не запретами, а уважением и партнерством.
2. Второй слой — внешний контур: это партнерский сервис обслуживания, который мониторит аномалии, проводит учения, связывает с другими предприятиями. Это круглосуточная «скорая помощь» для персонала.
3. Третий слой — независимый контроль поставщиков: это золотые образы, шлюзы удаленного доступа, аудит обновлений. Поставщик должен работать в прозрачном «аквариуме», где все его действия видны.

И в каждом слое снова фигурирует партнер. Какова его итоговая роль в этой сложной системе?

Партнер — это внешний независимый мозг, который соединяет эти слои. Внутренняя служба безопасности часто замыливает глаз, боится конфликтов, зависит от политики. Партнер приходит и говорит:

• Для внутреннего нарушителя: «Давайте сделаем так, чтобы люди сами захотели нам помогать. Я организую белый канал, я обучу капитанов, я придумаю игру.»
• Для внешнего нарушителя: «Я буду вашим щитом 24/7. Звоните мне, если что-то странное. Я предупрежу о новых атаках.»
• Для поставщика: «Я проверю каждую прошивку. Я не дам удаленному доступу убить ваш завод.»

При этом партнер не заменяет внутреннюю службу, а дополняет и усиливает ее, дает ей компетенции, которые невозможно содержать внутри.

Как измерить, что отношения с каждым типом нарушителя выстроены правильно?

1. По внутреннему нарушителю: количество анонимных сообщений (не жалоб, а именно сообщений о рисках и ошибках) должно расти в первый год, а количество инцидентов — падать. Это значит, люди поверили каналу и начали помогать.
2. По внешнему нарушителю: время от начала атаки до ее обнаружения . С партнерским сервисом обслуживания оно должно сократиться до часов, а не недель.
3. По поставщику: количество обновлений, которые не прошли проверку партнера (забракованы из-за рисков). Если таких 10-15% — вы в зоне риска. Если 0% — вы либо не проверяете, либо у вас идеальные поставщики, что бывает редко.

Игорь, итоговая мысль. Почему сегодня невозможно защититься от всех трех нарушителей в одиночку?

Потому что мир стал слишком сложным. Внутренний нарушитель требует психологии и доверия, внешний — разведки и контрразведки, поставщик — инженерного аудита. Ни у одной компании нет ресурсов развивать все три направления идеально.

Партнерство — это не про слабость. Это про разумное разделение труда. Вы занимаетесь производством, а партнер занимается тем, чтобы ни свой, ни чужой, ни поставщик не смогли это производство остановить. И ключевое звено здесь — ваш собственный персонал. Если они станут вашими союзниками, а не объектами слежки, вы выиграли. Если нет — проиграли еще до того, как хакер нажал на кнопку.