Автор: Алексей Черненков, начальник службы информационной безопасности ОАО "Технобанк".

Проблема утечки (потери) информации существовала всегда, и данное направление будет развиваться и прогрессировать.

Чаще всего руководство организации или компании попросту не задумывается, а большинство даже не знает, насколько их конфиденциальная информация доступна злоумышленникам.

Понятие "утечка информации" подразумевает, что информация была украдена, повреждена, утеряна, подделана или заблокирована (к примеру, сменили пароль доступа к файлу). Для организации эта информация может быть "на вес золота", а может вовсе не стоить ничего.

Чтобы определить степень значимости информации, применяют градацию ее ценности (в стандартах используют понятие "актив"). Исходя из этого, оценивается и стоимость ее восстановления. Она зависит от размера предприятия, направления ее деятельности и многих других параметров. Скажем, утечка информации по бухгалтерской базе малой фирмы может стоить одну-две тысячи долларов, а утечка данных об инновационном проекте корпорации может оцениваться в миллиарды долларов.


Кому нужна информация?

Если ваша информация представляет ценность, то желающие ее заполучить всегда найдутся. Обычно таких людей разделяют на внешних и внутренних злоумышленников.

Внешние – это те, которые находятся за пределами вашей организации, как технически, так и физически. К примеру, хакеры, бывшие сотрудники и т.д.

Внутренние – это сотрудники организации. Они считаются самыми опасными, так как у них уже есть минимальный доступ к информации, а дальше многое зависит от их навыков. По статистике, около 60-80% утечек информации приходится на сотрудников компаний!

Если подойти более плотно к проблеме утечки информации, то стоит понимать цели и мотивы внешних и внутренних злоумышленников, стремящихся завладеть вашей информацией. Например:

• денежное вознаграждение (оно может быть как за саму информацию, так и за ее блокировку, уничтожение и т.д.);
• месть или обида на организацию или сотрудника организации, за то что "некрасиво" уволили;
• любопытство ("а смогу ли я" или "а что там прячут") – мотив тех, кто занимается самоутверждением и "поиском приключений" на свою голову;
• убрать организацию с поля "игры" (в ситуации тендера, важной сделки, захваты рынка);
• случайное раскрытие информации по незнанию или получению ошибочного доступа к информации;
• карьерный рост или попросту "подставь сотрудника" (или начальника) – распространено в интригах внутри организации и т.д.


Уровни утечки информации

Существуют такие уровни утечки информации (обратите внимание на то, что границы между ними условны):

1. физический;
2. программный (это абстрактное обозначение, так как программы используются во всех разделах);
3. уровень отказоустойчивости;
4. лингвистический (слухи).

Рассмотрим подробнее каждый из уровней утечки информации.

1. Физический уровень.

Это фундамент безопасности. C этого уровня начинается любая защита, поэтому очень важно сделать ее не только надежной, но и максимально удобной и гибкой в работе.

Самые распространенные варианты утечки информации на этом уровне:

• Открытые помещения без системы персонально доступа ("двери нараспашку").

• Рабочее место – просто "банк" информации: тут пользователи оставляют пароли к компьютеру, важные документы, сотовые телефоны, флешки и кошельки.

• Мусорные корзины. Не во многих компаниях стоят уничтожители бумаги, и сотрудники выбрасывает свои записи в мусорную корзину (зачастую даже не рвут листы). Поэтому уборщица помещений может знать о компании значительно больше, чем многие другие ее сотрудники.

• Стационарный рабочий телефон. Довольно редко ведется наблюдение и собирается информация о том, кто, кому, когда звонит и какую информацию передает. Поэтому используют запись телефонных разговоров. Наиболее распространено это в крупных компаниях, намного реже – в средних и малых.

• Факсовый аппарат. Даже в самых неумелых руках он может стать опасным предметом. К примеру, в руках секретаря, которому принесли на подпись важные контракты. Отослав копии по факсу и слегка задержав документы, секретарь может поспособствовать тому, чтобы конкуренты сделали вашим партнерам предложение попривлекательней.

• Сотовый телефон, смартфон, планшет или иное мобильное устройство. Сомнений не возникает в многофункциональности всех этих устройств, которые порой не уступают персональному компьютеру. Они мобильны, их легко спрятать, и практически любой сотрудник может незаметно отправить мобильно с телефона фотографию, e-mail, sms, mms и т.д. с любой, в том числе конфиденциальной информацией.

• Сейфы. Распространенная ситуация: в кабинете стоит сейф, из замка которого торчит ключ, и в рабочей суете никто даже не смотрит, кто его открывает, что берет и т.д.

• Копировальная техника. Только в последнее время постепенно начинает внедряться система установки паролей для того, чтобы сделать ксерокопию. Но даже при установленной системе зачастую пароли пользователей известны многим, они редко меняются, поэтому практически каждый может сделать копию каких-либо конфиденциальных документов.

• Камеры общего видео наблюдения (видеорегистраторы) и электронные дверные замки. К ним можно получить доступ, зная модель устройства, так как если нет тонкой настройки данных устройств, то в них заложены базовые тестовые коды доступа, которые иногда забывают убрать. К примеру, на одном электронном дверном замке достаточно было набрать 12345 – и вот вы заходите в закрытое помещение.

• Подслушивающие устройства, скрытые камеры. Мало кто из руководства следит за этими вещами. Обычная уборщица может положить крошечную "таблетку" в горшок с цветами и – вот все секреты руководящего состава известны злоумышленниками. Также пренебрегают звукоизоляцией: порой, стоя у кабинета, можно слышать, кто и о чем там говорит.


2. Программный уровень

Это наиболее популярный и частый уровень утечки информации. Постоянно появляются новые системы и программы, а с ними и возможности для "теневого" доступа к конфиденциальной информации.

Разделим программный уровень на подгруппы:

• веб-сервисы;
• чат-системы;
• почтовые системы (или e-mail);
• внешние носители;
• периферийные устройства;
• файловые системы;
• стенография;
• удаленный доступ;
• базы данных;
• компьютерные сети.

Веб-сервисы (странички, сайты, форумы, социальные сети и т.д.).

Многие организации используют системы различной фильтрации и блокировок, чтобы ограничить доступ в web-системы. Понятно, что без выхода в интернет эффективной работы не будет, поэтому приходится искать компромисс, чтобы решить вопрос доступа. На любой открытой и закрытой (с входом по логину и паролю) страничке, сайте, форуме можно выложить конфиденциальную информацию, и заметить это бывает очень сложно, особенно без специального программного обеспечения.

Из личного наблюдения: порой даже удивительно, насколько много личной информации о себе люди публикуют в интернет. Фэйсбук, Контакт и Одноклассники хранят в себе информацию о своих пользователях не только в текстовом формате, но с фото и видео отчетом, с хронологией и комментариями участников "историй". А в Твиттере можно узнать, что ел человек на завтрак, обед и ужин, причем в мельчайших подробностях, и при этом не нужно даже за ним следить, он сам (!) все опишет.

Интернет-магазины – еще одно пространство для возможного мошенничества, рассчитанного на "выкачивание" денег через оплату банковскими картами. Довольно сложно отличить реальный сайт от "поддельного", и если данные о вашей пластиковой карте скопирует злоумышленник, то это может привести к разовой или регулярной потере сумм с вашего счета.

Чат-системы (ICQ, Skype, Jabber и т.д.).

Эти системы используют повсеместно, дома и на работе, и через них проходит большой поток информации, как деловой, так и личной (флирт, бытовое общение и т.д.). Поэтому в организациях блокируют доступ к внешним чат-системам, а оставляют только внутренние, рабочие. Возникают вопросы у компаний, осуществляющих некоторые бизнес-процессы, к примеру, через скайп…
Чат-системы зачастую используют для распространения слухов и сплетен, но о них чуть позже.

Почтовые системы (или e-mail).

Электронная почта – инструмент, без которого современному человеку практически не обойтись, но одно дело когда это необходимо для бизнеса, другое – личная переписка. Поэтому организации используют свои почтовые системы, но блокируют внешние (mail.ru и т.д.). Однако даже в этом случае не всегда можно проследить, какую информацию отправляет сотрудник по почте, рабочую или конфиденциальную. Пример: человек работает над новым проектом и хочет поработать дома, но дома нужного файла нет, поэтому он отправляет его со своего рабочего ящика на личный. По сути, имея доступ к личному ящику этого сотрудника (а пароли к ним, зачастую просто смешные, из серии "password" или год рождения), вы получаете доступ к новому проекту.

Внешние носители (флешки, диски, дискеты, мобильные устройства и т.д.).

Они используются повсеместно. Это очень удобно и очень опасно, особенно для конфиденциальной информации. Если ваш носитель попадет в чужие руки, то потери не миновать, особенно если информация была не защищена.

Известно, что наиболее частый "переносчик вирусов" – это флешки. И по тому, в каком состоянии находится флешка, можно сделать выводы хозяине носителя и его системе защиты. Радует, что в последнее время все чаще используются системы антивирусной защиты и шифрования носителей.

Периферийные устройства (принтеры, сканеры, МФУ и т.д.).

На первый взгляд, безобидные устройства, но мало кто следит, кто и что печатает на принтере, в каком количестве, ксерокопии каких документов делает, какие документы сканирует – там может быть любая конфиденциальная информация. Есть случаи, когда фото документов делали через веб-камеру.

Файловые системы (HTTP, FTP, torrent и т.д.).

Очень удобный сервис, благодаря которому можно иметь доступ к файлу с любой точки, где есть интернет. Можно не только скачать файл, но и выложить его на всеобщее обозрение. Известно, как быстро распространяются фильмы по торрент-сетям. А если выложить файлы коммерческого характера – они мгновенно могут быть "нигде и везде" одновременно.

Стенография

Может использоваться стенография физическая (на бумаге или ином предмете) и виртуальная (компьютерная). Специальная техника, компьютерные программы и системы позволят хорошо прятать информацию.

Примеры использования стенографии для передачи информации:

• Ваш сотрудник печатает письмо вашему клиенту (в нашем случае злоумышленнику, соучастнику), в общем тексте которого спрятан тайный текст (это делается при помощи специальной программы). При распечатке и чтении письма, вы ничего не заметите. А "наш клиент", получая это письмо, опять же с помощью программы "раскодирует" тайное послание с конфиденциальной информацией.
• Ваш сотрудник отправляет по электронной почте рекламный буклет в виде картинки вашему клиенту (и, опять же, это злоумышленник и соучастник). С виду на фото ничего нет, просто реклама, но с помощью специальной программы там может быть спрятан текст или файл (по принципу матрешки).

Удаленный доступ (RDP, Radmin, TeamViewer и т.д.).

Очень удобная система, но в то же время крайне рискованная. Если раньше удаленным доступом пользовались "ленивые администраторы", то сейчас есть программы, которые скачиваешь с интернета – и запускаешь без предварительной установки (портативная версия). Пара минут – и вы уже транслируете ваш рабочий стол в интернет, и, следовательно, зайдя из дома, можете скачивать любую информацию с рабочего компьютера, а заодно наполнять "домашними" вирусами сеть компании.

Базы данных (SQL, Oracle и т.д.)

Они есть практически в любой организации, и чтобы досконально разобраться во всех маневрах с утечками информации из них, понадобится не одна страница. Самым частыми случаями является копирование базы данных клиентов и т.д. А дальше эту копию используют по разным направлениям, в зависимости от целей злоумышленников.

Компьютерные сети (LAN, WAN и т.д.).

Без них выше перечисленные системы не смогли бы работать, а глобальная сеть интернет не смогла бы существовать, поэтому утечки тут повсеместны. Самый частый случай – это прослушивание потоков данных. Во избежание этого часто используют такие шифрованные каналы связи, как VPN (виртуальные частные сети), шифрованные протоколы связи типа HTTPS и т.д.

Существует такая практика: в некоторых государственных организациях в кабинетах используют два компьютера, один с выходом в интернет, а второй только внутри сети. Да, это не рационально, но решение очень простое, и зачастую весьма надежное.


Немного о базовой защите на персональном компьютере. В быту ее называют "антивирус", хотя на текущий момент чистых антивирусных программ практически не осталось и чаще встречается многоуровневый комплект из: антивируса, анти-спама, фаервола, проактивной защиты и т.д., тут уже, кто во что горазд. Несомненно, данное программное обеспечение помогает, но при условии того, что обновления баз (или сигнатур) знаний этого "охранника" систематически обновляются. Обычно обновления выходят каждые 4 часа, а у нас, бывает, неделями, а порой, и месяцами не "обновляются".


3. Уровень отказоустойчивости.

Этот уровень проявляется при возникновении таких непредвиденных обстоятельств, как пожар, затопление, сбои в электричестве и т.п. Многие считают, что с ними ничего подобного не случится. И до поры до времени так и происходит… Однако стоит все же позаботиться о противодействии утечки информации вследствие форс-мажора.

Самым распространенным методом достижения отказоустойчивости считается создание резервной копии информации ("бэкапа"), то есть дополнительного хранилища данных: резервного носителя информации или сервера, на который собирается вся информация с определенной периодичностью. Ценность резервной копии в том, что если информацию потеряли или повредили, то ее можно восстановить с минимальными потерями. Поэтому и стоит почаще делать резервные копии. Тут есть нюанс: на практике персонал попросту не знает или не владеет опытом восстановления из резервной копии, особенно если это сложная система, а не файлы из офисных приложений.

Следующий пункт отказоустойчивости – электропитание. Крупные организации имеют автономные генераторы и используют бесперебойные блоки питания ("бесперебойники"), которые позволяют продолжить работу при скачках напряжения. Это препятствует потере данных и дает возможность корректно завершить все операции при перебоях электричества.

Последним пунктом идут датчики:

• пожарный: устанавливается повсеместно;
• датчик температуры: очень актуален для серверных помещений, где перегрев оборудования может привести к негативным последствиям;
• датчик воды: если потек кондиционер или трубы отопления – оборудование может спасти ситуацию.

4. Лингвистический или уровень слухов.

Это очень большой подраздел информационной безопасности, для полноценного раскрытия которого мало одной статьи. Поэтому сейчас мы рассмотрим его тезисно.

Считать слухи безобидными и незначимыми – весьма неосмотрительно, так как они могут перевернуть "верх дном" любую информацию и сделать ее доступной большому числу людей, распространяясь с большой скоростью.

Конечно, слухи – это человеческий фактор, который просчитать очень сложно, а тем более – отследить, кому и какую информацию передает человек.

Многим известно, как слухи о тайных сделках или банкротстве влияли на котировки акций компаний, а слухи о руководителе портили репутацию компании. В случаях с руководителями зачастую не последнюю роли играют секретари, имеющие близкий допуск как к самому руководителю, так и информации с которой он работает и т.д. Такой человек может длительное время собирать "нужную" злоумышленниками информацию, и при этом его работа не будет вызывать подозрения.

Слухи – это очень тонкий и сильный инструмент. Управляющий ими (при достаточной квалификации) может управлять потоками информации, в том числе и ее утечками.


Что же делать, как сохранить важную и ценную информацию?

Чаще всего руководство организации приходит в недоумение от сумм и сроков внедрения систем защиты от "всего", которые предлагает служба безопасности. Закономерны вопросы: "За что платить такие деньги?", "Надо ли столько разных систем?", "Насколько это надежно?" и т.д.

И тут начинается период анализа и обсуждений. Безусловно, "от всего" защититься невозможно. Но "высота забора равна высоте его самого низкого участка..." Поэтому для начала принципиально важно установить, что для вас и вашей организации действительно ценно. Защита от дурака и от профессионала строится по разным принципам и, как следствие, используются разные бюджеты. К примеру, хакеры могут использовать пароли из комбинации букв и цифр до 25 символов и уникальные системы шифрования носителей, и это позволяет им успешно защищать свою деятельность.

Итак, для определения рисков, критериев безопасности, круга заинтересованных лиц и их квалификации, нужно время и силы, но это может стать вашими первыми шагами в большом направлении информационной безопасности...