11.10.2009

«Ничего личного» в вопросе информационной безопасности

Ничего личного в вопросе информационной безопасности

На создание этой статьи меня подтолкнул недавний просмотр фильма о корпоративном шпионаже «Ничего личного» с Джулией Робертс и Клайвом Оуэном в главных ролях.

Ни один человек, являющийся владельцем портативного или стационарного компьютера, не застрахован от такого неприятного инцидента, как кража. Одни воруют ради «легкой» наживы, другим же важна, прежде всего, информация, которая также ведет к материальным благам, но уже совершенно иного масштаба.

Торговля конфиденциальной информацией – прибыльный бизнес в современном обществе. СМИ пестрят опубликованными сведениями частной жизни. Показательно, что чаще всего жертвами похитителей ноутбуков становятся публичные люди: политики, музыканты, писатели и т.д. И это не случайно – их персональный помощник зачастую хранит поистине уникальный материал: личные записи, телефоны и адреса друзей (знакомых), рабочие материалы (стихи, версии песен для нового альбома, неизвестные композиции) и т. д.

У писателя Луи де Берньера («Мандолина капитана Корелли») прямо из дома похитили компьютер, где находились главы его новой книги. А в 2001 году произошел один из самых громких скандалов, связанных с кражами портативных компьютеров — во время выступления Ирвина Джейкобса перед журналистами и литераторами исчез его ноутбук. Компьютер был оставлен без присмотра буквально на 15 минут. По словам самого Джейкобса, исполнительного директора Qualcomm, ноутбук содержал коммерческие тайны компании и мог представлять интерес «для иностранных государств»...

Информация уже давно стала одной из важнейших ценностей современного мира. Объемы конфиденциальной информации растут с каждым днем и для её хранения необходимы очень надежные системы. В связи с этим вопрос информационной безопасности на сегодняшний день весьма востребован. Его решение является необходимым условием конкурентоспособности той или иной компании, служит гарантией ее эффективного развития и успешного будущего.

Плачевно потеря информации отражается на руководителях предприятий. Храня важную информацию личного и делового характера в своих уже незаменимых ноутбуках, они ломают голову над тем, как же уберечь ее от воров.

НО НАИБОЛЕЕ ОСТРО ВОПРОС ЗАЩИТЫ ДАННЫХ СТОИТ ПЕРЕД ОПЕРАТОРАМИ СОТОВОЙ СВЯЗИ, ПРОМЫШЛЕННЫМИ ПРЕДПРИЯТИЯМИ, СТРАХОВЫМИ КОМПАНИЯМИ И В СФЕРЕ ЮРИДИЧЕСКИХ УСЛУГ.

Поэтому уважающие себя компании, преследуя цель защитить коммерческую тайну, все чаще обращаются за помощью к ИТ-специалистам, и принцип деятельности любой серьезной ИТ-компании состоит в максимальном содействии предприятиям и организациям в создании надежной системы корпоративной безопасности. Без ложного преувеличения, можно сказать, что ставки высоки – сумма ущерба при взломе системы защиты информации на предприятии почти всегда превышает стоимость разработки средств компьютерной защиты. Любая утечка баз данных влечет за собой серьезные финансовые потери – от потери клиентов до полного уничтожения бизнеса... и, находясь в безвыходном положении, любая компания готова заплатить n-сумму денег за свою же конфиденциальную информацию, лишь бы сохранить свой бизнес.

Конечно, не существует единой четкой методики комплексного решения для реализации системы надежной информационной безопасности. Каждый конкретный случай – это индивидуальный подход и к обеспечению защиты информации со стороны ее создателей, и к несанкционированному доступу к информации со стороны злоумышленников.

Внедрение решений для защиты конфиденциальной информации включает в себя следующие этапы:

1. Аудит информационной безопасности – обследование предприятия на предмет угрозы хищения, утраты, уничтожения, подмены, модификации и отказа от подлинности данных; изучение возможных вариантов утечки информации из-за халатности или злонамеренных действий персонала и текущей системы документооборота

2. Построение системы защиты персональных данных – составление математической модели основных информационных потоков и дефектов в них.

3. Планирование и реализация проекта – моделирование наиболее вероятных действий злоумышленника, желающего получить доступ к данным.

4. Разработка политик безопасности – создание на основе полученных данных индивидуальный для каждого конкретного случая комплекса организационных, административных, программных и технических решений для защиты информации, обеспечивающие частичное или полное перекрытие каналов утечки:

Управление доступом – идентификация пользователей, ресурсов и персонала системы; опознание и установление подлинности пользователя по вводимым учетным данным; допуск к определенным условиям работы согласно регламенту, предписанному каждому отдельному пользователю; протоколирование обращений пользователей к ресурсам (отслеживание некорректного поведения пользователей системы); своевременное реагирование на попытки несанкционированного доступа к данным посредством сигнализации, отказов и задержке в работе.

Шифрование данных – криптографическая защита информации для обработки, хранения и передачи информации на носителях и по сетям связи (данные преобразуются в форму, бессмысленную без ключа шифрования-расшифровки).

Цифровая подпись – реализует контроль доступа к внешним и внутренним устройствам компьютеров в масштабах корпоративной сети и многие другие приемы.

Печально, но техника защиты информации всегда отстает в своем развитии от технологий, которыми пользуются взломщики. Не составляя подробной инструкции, обозначим лишь некоторые пути захвата информации, которые любят смаковать писатели и режиссеры шпионских произведений:

  • перехват электронных излучений;
  • принудительное электромагнитное облучение (подсветка) линий связи;
  • применение подслушивающих устройств;
  • дистанционное фотографирование;
  • перехват акустических излучений и снятие информации с копировальной техники (как в «Фирме» Джона Гришема, хотя там эта методика была направлена на удержание сведений внутри фирмы);
  • копирование носителей информации с преодолением мер защиты;
  • маскировка под зарегистрированного пользователя;
  • маскировка под запросы системы;
  • использование программных ловушек;
  • использование недостатков языков программирования и операционных систем;
  • незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;
  • злоумышленный вывод из строя механизмов защиты;
  • расшифровка специальными программами зашифрованной информации;
  • информационные инфекции, DOS-атаки, программы-шпионы и т. д.

«Профессиональные» взломщики, охотящиеся за ценными сведениями, не жалеют средств для обхода защиты и ИТ-безопасности. Они постоянно создают новое вредоносное и шпионское ПО, которое способно ликвидировать информацию – логическая бомба (уничтожение или нарушение целостности информации), троянский конь, вирус, червь, перехватчик паролей и т. д.

По статистике большинство краж данных происходит из-за небрежности и невнимательности сотрудников (это всегда наиболее уязвимое место системы), а отнюдь не благодаря хитроумным уловкам «вредителей». Чем больше людей взаимодействуют с хранящейся в базах коммерческой информацией, тем сложнее процесс защиты данных, ведь необходимо всем участникам документооборота предоставить доступ для работы с базами данных.

ПОЭТОМУ И ТАКТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА СРЕДНЕСТАТИСТИЧЕСКИХ ПРЕДПРИЯТИЯХ ДОЛЖНА БЫТЬ НАПРАВЛЕНА ПРОТИВ ЭТОГО:

  1. регулярное резервное копирование наиболее важных массивов данных, их защита;
  2. надлежащее хранение информации (накопление конфиденциальной информации зачастую не имеет централизованной архитектуры, и чем сложнее база, тем сложнее обезопасить данные от утечки информации; благо, что на сегодняшний день существует широкий круг систем хранения и обработки информации;
  3. профилактика заражения компьютерными вирусами объекта защиты информации;
  4. контроль и архивирование электронной почты в масштабах предприятия;
  5. смарт-карты и электронные ключи для аутентификации;
  6. шифрование данных на диске персональных компьютеров.

Информационная безопасность на любом предприятии постоянно подвергается новым и с каждым разом все более изощренным атакам. В ней действует принцип непрерывного развития — вслед за ростом уровня взломщиков созданная однажды технология защиты информации должна постоянно совершенствоваться.

ВМЕСТО ЗАКЛЮЧЕНИЯ

Согласитесь, что ситуация, которую можно наблюдать на сайтах многих ИТ-компаний, а также компаний, оказывающих бухгалтерские или юридические услуги, иногда немного смущает. Их веб-представительства содержат самостоятельный раздел, озаглавленный «Наши клиенты», где представлен довольно внушительный список предприятий, страховых компаний, банков, воспользовавшихся услугами данной компании. Здесь же присутствуют даты и полное описание выполненных работ.

С одной стороны мы видим весьма эффектный PR-ход, но с другой стороны – что получает взамен Клиент? Правильно, полную незащищенность и уязвимость со всех сторон. Кто может гарантировать, что злоумышленник, жаждущий получить конфиденциальную информацию не «прижмет» сотрудника ИТ-компании (либо любой консалтинговой компании) к стенке?  И здесь вступает в силу как раз тот человеческий фактор, о котором писалось выше. Злоумышленникам не нужно даже изобретать хитроумных планов...

Одно дело размещать на сайте клиентов компаний, торгующих мебелью, занимающихся ремонтными работами, разработкой сайтов на крайний случай, и совсем другое – публиковать на сайте клиентов компаний, внедряющих и переписывающих базы 1С, оказывающих услуги в сфере ИТ, бухгалтерского учета или ведения юридических дел. Радует только одно, что ИТ-компанию выбирают не через Интернет. ИТ – это та сфера услуг, которая, в основном, носит рекомендательный характер, и о своих Клиентах серьезные ИТ-компании предпочитают не распространяться, деликатно ограничиваясь выражением «нашими клиентами являются предприятия различных сфер деятельности».

Текст: Ольга Лоскутова, специально для lacerta.su