В конце ноября СМИ сообщили о том, что россияне (в основном жители московского региона) понесли очередную тяжелую утрату. В свободной продаже появился диск с базой данных Пенсионного фонда. По количеству пострадавших и объему раскрытых персональных данных (всего 7 миллионов записей) этот инцидент превзошел аналогичный случай двухлетней давности с "обнародованием" базы данных МТС. Население возмущается, специалисты задумываются.

Как и в нашумевшем случае с МТС объяснений вопиющему случаю находят много, однако понимающему человеку ясно: это мог сделать только сотрудник организации, причем отнюдь не любой. И сколько бы ни говорили об угрозе Интернета и т.д., 90% угроз кражи корпоративной информации исходит от сотрудников: жадных, любопытных, обиженных, мстительных. На каждую масштабную кражу информации приходится сотня более скромных по размеру, о которых к тому же пострадавшие компании предпочитают умалчивать. Кто добровольно положит деньги в банк, который "прославился" утечкой информации о своих клиентах?

О серьезности утечки информации говорит и статистика. Так, по данным Ernst&Young (Global Information Security Survey 2004), в области внутренних угроз наблюдается наибольший рост озабоченности ИТ-профессионалов. Респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей (60%). Этот показатель опередил такие "громкие" темы, как спам (56%), DoS-атаки (48%), финансовое мошенничество (45%) и бреши в системах безопасности ПО (39%) и уступил лишь угрозе со стороны вирусов и червей (77%). А по данным Association of Certified Fraud Examiners американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. В 2003 г. общий объем таких потерь составил около $660 млрд. (это не опечатка!). 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников. Исследование Ernst&Young по проблемам электронного мошенничества свидетельствует: 20% работников уверены в утечке конфиденциальной корпоративной информации со стороны коллег.

Для анализа безопасности всегда удобно поставить себя на место злоумышленника, решившего унести с работы ценную информацию. Один из самых простых способов – распечатать информацию на принтере и прихватить листы домой. Контролировать этот процесс в корпорации легко: установить программу мониторинга печатающих устройств, а также поставить общий принтер в хорошо обозреваемом месте.

Другой канал утечки – Интернет. Файл с заветной информацией можно отправить по электронной почте или сложить на внешний FTP-сервер (в том числе и через веб-интерфейс). Для перекрытия этого канала используются межсетевые экраны, а также специальные программы для анализа содержимого трафика. Можно использовать и ручную (неизбежно выборочную) перлюстрацию почты через доступ к почтовому серверу организации.

Одни из этих механизмов защиты можно обмануть, другие в принципе неспособны перекрыть какие-то каналы. Но! Опыт показывает, что если сотрудники осведомлены о том, что за интернет-деятельностью ведется контроль – охота использовать Интернет для антикорпоративной деятельности отпадет. Кстати, через Интернет не так много можно и "унести", ограничив пропускную способность или введя лимит на интернет-трафик для конкретных пользователей.

Остается еще одна тропа для информации – внешние носители. Вот они без преувеличения могут помочь за один присест вынести абсолютно ВСЮ доступную пользователю информацию. Совсем не заметно для нас прогресс в области компактных запоминающих устройств сделал еще вчерашние шпионские истории детским лепетом. Хит сезона – гигабайтный "свисток" (USB-память) за 80 долларов. Через год по такой цене будет продаваться 4-гигабайтный. А есть еще записываемые компакт-диски (и вытесняющие их DVD), USB-винчестеры (20 и более гигабайт). Не вызывающими подозрения атрибутами современного горожанина стали цифровые фотоаппараты, MP3-плееры, мобильные телефоны и часы (которые кроме обычного назначения, являются вместительными запоминающими устройствами). Ну и такую мелочь, как 3-дюймовые дискеты, тоже еще рано сбрасывать со счетов. Все это совершенно незаметно можно внести и вынести даже на режимное предприятие.

Разумным и простым способом противодействия этому является закрытие портов и внешних устройств компьютера. Оно может проведено как программно, так и аппаратно.

Программное закрытие портов удобно тем, что позволяет гибко управлять использованием портов – например, разрешить пользоваться на конкретном компьютере приводом CD-ROM администратору, но запретить то же самое пользователю. Другое преимущество – отсутствие необходимости изменения конфигурации компьютеров.

Программ-"локеров" не так и много: для написания таких утилит необходимо глубокое понимание тонкостей как программной, так и аппаратной части современных компьютеров. У больших разработчиков до этой задачи руки не доходят (хотя частично какие-то функции ограничения работы с внешними носителями есть и в Windows), поэтому нужные нам программы выпускаются небольшими компаниями. Заслуженной репутацией пользуется программа DeviceLock, продвигаемая российской компанией Smartline (www.smartline.ru). Первая версия программы создана в 1996 году, поэтому качеству и надежности программы стоит доверять. Основная версия программы создана для Windows NT/2000/XP/2003 (есть и отдельная версия для Windows 9x). Cобственно на примере этой программы видно преимущество программного ограничения доступа в отличие от физического. Программа не запрещает, а управляет доступом. DeviceLock позволяет назначать права доступа для пользователей (и групп пользователей) к внешним портам (COM, LPT, USB, IEEE 1394, IrDA, Wi-Fi, Bluetooth) и приводам (дисководы, приводы СD и DVD). Причем доступ можно контролировать во времени (разрешать- запрещать в определенные часы и дни недели). Для удобства пользователей есть возможность заранее авторизовать устройства, подключаемые к внешним портам – во многих компаниях используется ПО, защищаемое аппаратными ключами. Во избежание лишних ограничений возможна также организация доступа к сменным носителям (дискеты, жесткие диски, CD) только в режиме чтения.

Некий дискомфорт вносит сомнение – можно ли обмануть подобную программу? Как говорится, случаев не зарегистрировано. Тем же, кто боится довериться программной защите, предлагаем воспользоваться аппаратной защитой.

Собственно, аппаратная защита – предельно проста. На рабочие станции пользователей просто не устанавливаются дисководы для чтения компакт-дисков и дискет. Надо позаботиться и о том, чтобы пользователь не мог восстановить справедливость самостоятельно – например, опечатать корпус. С портами ситуация аналогичная – если сами разъемы портов (USB, COM, LPT) в системном блоке выполнены в виде планок, то их просто не надо устанавливать при сборке. Довольно часто бывает, что разъемы находятся на самой материнской плате – тогда здесь приходится приложить выдумку. Например, выпаять разъемы из материнской платы (операция, конечно, со стороны варварская, но безопасность важнее, да и сделать это можно аккуратно). Есть случаи, когда в российских компаниях разъемы на пользовательских компьютерах заливали специальным клеящим составом – как говорится, два в одном – и защита и пломбировка.

В любом случае, угроза внутренней утечки для многих организаций слишком серьезна, чтобы пренебрегать таким аспектом, как защита портов и сменных носителей.