Безопасность информации сегодня не роскошь и не причуда руководства, а вопрос «обезопасить или не обезопасить?» даже не поднимается - ответ очевиден, как очевидна необходимость чистить зубы утром и вечером. Говорят лишь об уровнях безопасности, а они различны: от зачастую наплевательского отношения к «взломоустойчивости» домашнего ПК, на котором в девяносто девяти случаях из ста в наличии лишь установленный при покупке антивирус с отродясь не обновлявшимися базами до паранойи - в хорошем понимании - владельцев информационных систем банковских и режимных учреждений. И, согласно философскому постулату «истина где-то посередине», основной удар принимают на себя структуры, находящиеся на равноудаленном расстоянии от бесшабашности первых и культивируемых страхов о возможной утечке данных вторых, а это в подавляющем большинстве случаев компании среднего уровня.
«Фрагментарная» безопасность не стоит и ломаного гроша. Что толку выстраивать монументальный межсетевой экран, если сотрудники, не прилагая особых усилий, могут вынести информацию на компакт-диске или флэш-брелке, тем самым допуская утечку данных изнутри. Может, потому и приносят ощутимые плоды лишь комплексные меры - от грамотно построенной сетевой инфраструктуры до драконовских административных методов? Последнее - излюбленное детище системных администраторов и тема для обсуждений внутри треугольника «руководство - системный администратор - менеджер по персоналу».
Сетевая безопасность - удел высококлассных специалистов, дилетантам здесь делать нечего. Нередки случаи, когда, движимые желанием сэкономить на окладе сетевика, руководители компании нанимают «продвинутого студента», подвергая таким образом угрозе всю свою локальную сеть, точнее, данные, циркулирующие внутри нее. Разумеется, провода не загорятся и серверы будут выглядеть все так же внушительно, но работа вполне может оказаться парализованной на несколько дней, а убытки вследствие простоев в сотни раз превысят сэкономленную на сисадмине «дельту». Поэтому трезвомыслящие руководители все-таки предпочитают связываться с профессионалами, предоставляющими определенные гарантии за, естественно, соответствующую их уровню зарплату, дабы не повторять судьбу того самого скряги, вынужденного платить дважды.
Сеть защищена, проблемы остались
Будем считать, что сеть надежно защищена от вторжений: муха не пролетит без соответствующего электронного письма или SMS администратору, подозрительная почта отправляется «куда следует», серверные антивирусы ежедневно обновляются и просеивают весь трафик. Хотя для начала стоит задуматься - кому интересно информационное содержимое локальной сети компании? По большому счету, всех желающих проникнуть туда, куда их не приглашают, можно разделить на две большие категории: либо конкуренты, либо серьезные сетевые взломщики. Причем последним содержимое локальной сети может быть совершенно ни к чему, у них другие цели. Предположим, компания успешно торгует карандашами. Обороты, конечно, не миллиардные, но дело идет довольно бойко - есть и постоянное подключение к Интернету, и выделенный сервер. Разумному хакеру вовсе не резон обижать такой бизнес, но ему требуется плацдарм для нападения, например, на банк - в этом случае использовать для атаки свой личный компьютер небезопасно (даже самый что ни на есть профессиональный взломщик может или ошибиться, или оставить незаметный след, по которому его в конце концов вычислят). Поэтому выбирается промежуточная «площадка» - взламывается безобидный сервер, затем берется управление «на себя», и уже от имени этого сервера можно относительно спокойно взламывать банковскую сеть, если в таковой, разумеется, будут не закрытые вовремя бреши. В случае обнаружения атаки все претензии предъявляются к карандашной компании, которая знать ничего не знает, но проблемы все-таки получит.
Изложенное в очередной раз говорит лишь о том, что сетевая безопасность необходима всегда и в полной мере - как в банке, так и в любой структуре, имеющей выход в Интернет.
Несколько другие цели преследуют конкуренты - у них-то как раз имеется прямой интерес ознакомиться с вашими внутренними документами, объемами продаж и поставок, грядущими маркетинговыми акциями и другой полезной для них информацией. Но и здесь - в случае надежной защиты сети - им остается либо уйти несолоно хлебавши, либо проявить чудеса классического шпионажа. Который в данном случае означает взаимодействие с сотрудниками. «Подружиться» с системным администратором - это поистине недосягаемая мечта, поэтому ее мы даже рассматривать не будем. Засланный казачок-администратор способен мощно развернуть лицом к конкуренту всю картину внутренних перипетий, и руководству останется лишь срочно его уволить - после выяснения обстоятельств утечки данных, разумеется. Будем же отталкиваться от неподкупности и патриотизма сисадмина, постоянно ведущего незримый бой с сотрудниками своей же компании, ведь, как известно, профилактика инцидента гораздо эффективнее устранения последствий.
«Свой» среди своих
Как отмечалось, безопасность может называться таковой, лишь когда она комплексная. Приведем некоторые цифры, свидетельствующие о соотношении сетевых и «внутренних» атак: по данным Федерального бюро расследований США, в 45% случаев утечки конфиденциальных данных виновны свои же сотрудники. То есть сетевая безопасность - полдела, следует приучить к порядку сотрудников, а еще лучше - сделать утечку данных невозможной при всем желании.
Проблема усугубляется еще тем, что обнаружить внутренний «сквозняк» многократно сложнее, чем выявить проблему в сетевой инфраструктуре. У грамотного администратора все операции тщательно журналируются и архивируются, поэтому при желании можно поднять лог-файлы хоть годичной давности и отследить, кто и откуда. С людьми, разумеется, все не так просто - ни один психически здоровый злоумышленник не станет афишировать свою подпольную деятельность, поэтому встает задача предупредить подобные происки в корне. Гениев, способных запоминать электронную таблицу в тысячу строк, в расчет не принимаем - с такими уж совершенно точно ничего не попишешь, но среднестатистических граждан можно и нужно оградить от возможности приторговывать конфиденциальными документами.
Досадно, что в некоторых компаниях слишком явно прослеживается инертность по отношению к веяниям безопасности. Например, трехдюймовыми дискетами уже давно никто не пользуется, а дисководы массово стали изымать из офисных ПК лишь два-три года назад. Зато за это время устройства для записи компакт-дисков упали до копеечной цены и ими вдохновенно комплектуют «конторские» машины. Итак, задача номер один - договориться с поставщиком компьютерной техники об их изъятии либо изъять самостоятельно, так как при современном уровне «дружелюбности» операционных систем для записи данных на CD-носитель не требуется никаких специальных навыков, по уровню утилитарности операция сведена до банального дискетного обмена данными.
Аналогичная ситуация с портами USB - при нынешних ценах за мегабайт USB-флэш-памяти овладеть технологией офисного шпионажа неспособен лишь патологически ленивый человек. То есть, с антишпионской точки зрения, приемлемый рабочий компьютер должны обладать единственной возможностью обмена информацией - посредством локальной сети. Еще более интересный и идеологически правильный вариант - терминальная организация рабочих мест, позволяющая обходиться даже без жесткого диска. Однако здесь большую роль может играть цена конечного решения, ведь подобные системы, массово продвигаемые на рынке, далеко недешевы. Существуют и бесплатные альтернативы, например на базе ОС Linux (но такая схема не всегда может отвечать требованиям конкретного бизнеса) или при использовании специфического программного обеспечения, имеющегося лишь для ОС семейства Windows.
«Безобидные» цветочки
С другой стороны, единственный путь информации - через локальную сеть - также достаточно спорен. Если файл нельзя записать на флэш-брелок или компакт-диск, значит, его можно отправить по электронной почте либо выложить на потаенный FTP-сервер, откуда его впоследствии заберут. Конечно, можно существенно ограничить круг лиц, имеющих доступ к работе с электронной почтой или сетью Интернет, однако даже на самых посвященных не стоит слепо полагаться на сто процентов, тем более такой отбор - скорее исключение, чем правило, и e-mail и www пользуется подавляющее большинство сотрудников компании.
Интересный момент: компании зачастую с огромным энтузиазмом подходят к обеспечению физической безопасности офиса, задействуя внушительных охранников, пропускные турникеты, дорогие и сложные системы идентификации по отпечаткам пальцев, сетчатке глаза и т. д., но при этом оказываются беззащитными перед собственным компьютерным парком.
Итак, информация теоретически может быть преднамеренно украдена с помощью сети. Естественно, если делать это «в лоб», например отправив на адрес manager@konkurent.com файл «График поставок 2006.xls», то выявить нарушителя фирменной этики не составит абсолютно никакого труда и тогда бы эта проблема вообще не рассматривалась. Но, к сожалению или к счастью, существуют наработанные механизмы сокрытия сущности файла. Например, файл можно зашифровать, причем не просто представив его как бессмысленный набор символов, а зашифровать «отведя удар». Этот метод называется «стеганография», он дает возможность зашифровать в безобидном звуковом или графическом файле определенную информацию. Казалось бы, на адрес Tanya@besplatnayapochta.com отправлен файл «С 8 марта.jpg» - и администратор это заметил. Будучи человеком ответственным, он изучает копию письма, открывает вложенный файл и видит букет ландышей и красивую цифру «8» - все в порядке. А в это время у компании-конкурента уже начался мозговой штурм по изучению графиков поставок в 2006 году. С этим уже трудно что-либо поделать, единственный выход - никоим образом не дать пользователю инсталлировать программы, не предусмотренные спецификой его работы.
В крупных корпорациях, имеющих большой штат сотрудников и мощную службу внутренней безопасности, эта практика прижилась уже давно: программное содержимое компьютеров администрируется удаленно, и даже обновления к операционной системе устанавливаются централизованно, без ведома пользователя. Если же ограничить доступ к путям обмена информацией невозможно физически - например, если сотрудник работает на мобильном компьютере, конструктив которого обязательно предусматривает пишущий CD-привод и несколько USB-портов, - появление на этом ПК постороннего программного обеспечения неизбежно вызывает интерес и вопросы со стороны служб технической поддержки и безопасности.
Так или иначе, при правильном подходе компьютерная безопасность в огромной степени зависит от системного администратора. Ему под силу и нужную программу установить, и порт в межсетевом экране открыть, и еще многое, что потенциально способного нарушить информационную атмосферу компании. В этой связи все больше компаний предпочитают держать в штате нескольких человек, занимающихся подобной работой, - проконтролировать сисадмина способен только другой сисадмин.
Не стоит забывать и о проблеме утилизации старого компьютерного парка. Данные со старых ПК перекачиваются на новые, но по-прежнему остаются доступными на жестких дисках отживших свое компьютеров. Это относится не только к жестким дискам, но и к компакт-дискам, ленточным картриджам и т. д. Если есть подозрение, что на этих носителях могла сохраниться информация, самый надежный путь - вначале физически их повредить, а уж затем утилизировать.
В случае если старый компьютерный парк не настолько стар, чтобы немедленно отправить его на свалку, компании зачастую предпочитают сделать благотворительный жест - подарить морально «неновые» компьютеры детским домам, школам или иным подобным учреждениям. Понятно, что крушить винчестеры никто не станет, но вот тщательно пройтись по ним утилитами, обеспечивающими низкоуровневое уничтожение информации, - святая обязанность. И жесткий диск цел, и нервы в порядке.
Наивно предполагать, что компьютерная техника боится лишь программно-сетевых атак и происков нечистоплотных сотрудников. Большую роль играет физическая безопасность. В этом плане наиболее показательна защита помещений, где находятся серверы и активное сетевое оборудование - ведь автономность этих устройств и их изолированность от сотрудников являются непреложной истиной.
Достаточно оригинальна, на мой взгляд, постановка дела в одном из банков. В серверной комнате на все время смены запирается вооруженный охранник, единственная задача которого - расстрелять крупную мишень, если загорится красная лампа тревоги. Нет нужды говорить, что мишень нарисована на важном сервере. По словам одного из сотрудников банка, отвечающего как раз за серверы, подобной оговоренной нештатной ситуации еще не возникало, однако уже несколько лет охранник с автоматом исправно несет вахту под замком в святая святых информационной системы банка.
Вот такая политика
В заключение хотелось бы привести в качестве примера действующую в одной из компаний модель корпоративной политики информационной безопасности, которая достаточно точно и емко регламентирует все моменты использования обрудования и программного обеспечения:
«Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов Компании ее сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы.
Следующая политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушение этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения сотрудника и/или привлечения его к уголовной ответственности.
Данная политика может периодически изменяться и пересматриваться по мере необходимости.
- Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам Компании с целью помочь им более эффективно выполнять свою работу.
- Компьютерная и телекоммуникационная системы принадлежат Компании и могут использоваться только в рабочих целях. Сотрудники Компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих Компании компьютеров и телекоммуникационных ресурсов.
- Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (Интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства Компании.
- Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, регулирующие правоотношения в сфере интеллектуальной собственности.
- Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.
- Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством Компании.
- Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора.
- Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.
- Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: «Защищено адвокатским правом/без разрешения не пересылать».
- Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.
- Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб Компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.
- Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.
- Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.»