Хорошо было в то время, когда не было интернета. Конфиденциальный документ был напечатан на бумаге, его можно было положить в сейф, установленный в охраняемом помещении, и таким образом защитить от внешних угроз. Совсем другое дело — день нынешний: вся информация в цифровом виде, системы безопасности регулярно взламываются, в сети легко подцепить вирусы, а сотрудники, имея выход в интернет из вроде бы надежно защищенного офиса, вполне могут переслать секретные данные конкурентам.
По данным аналитического центра российского разработчика систем защиты информации Perimetrix, с 7 по 13 апреля 2008 года произошло 9 утечек только персональных данных, затронувших интересы 584 020 человек и нанесших суммарный ущерб пострадавшим компаниям в размере $68 млн. Правда, следует оговориться, что это информация лишь о тех случаях, которые были обнародованы. Например, среди пострадавших компаний и учреждений нет ни одного российского, но это совершенно не означает, что у нас таких случаев меньше: просто уровень открытости у нас совершенно другой.
Причины утечки информации разные: тут и кража ноутбука, и утеря носителя информации, и ошибки персонала, выложившего в интернет конфиденциальные данные, и инсайд... А сколько взломов систем остались незамеченными либо были скрыты от публики, и сколько секретов, не относящихся к персональным данным, было украдено, никто и не знает. Как же защититься от всех этих внешних и внутренних угроз? И вообще, можно ли как юридическим, так и физическим лицам надежно защитить информацию, которую они ценят?
Криптография против Генпрокуратуры
Защититься от внешних угроз — кражи оборудования или носителей информации, вирусов, взломов, перехвата информации в процессе ее передачи и т. д.— на 100% невозможно, можно лишь снизить вероятность такого события. Осознав этот факт, многие пришли к логичному выводу: нужно сделать так, чтобы, даже украв данные, злоумышленник не смог их прочитать. Другими словами — нужно зашифровать данные с помощью криптографических алгоритмов, используемых программами типа PGP или BestCript (стойкость зашифрованной информации зависит не только от качества алгоритма шифрования, но и от того, насколько "правильно" написана программа, его использующая).
В мире существует довольно много проверенных временем алгоритмов шифрования. В России все, что связано с криптографией, подлежит госконтролю, чтобы заниматься разработкой или распространением криптографических программ, необходимо получить лицензию от ФСБ. Главным стандартом шифрования в России является ГОСТ 28147-89, который родился в недрах 8-го Главного управления КГБ СССР еще в 70-х годах прошлого века. Считается, что в России нельзя получить лицензию на деятельность, связанную с криптографией, если не предоставить спецслужбам черный ход — специальную возможность, которую оставляют разработчики для относительно несложного вскрытия зашифрованных данных. Насколько это соответствует действительности — неизвестно. Кроме того, якобы зарубежные программы шифрования типа PGP, использующие самые популярные там и вроде бы надежные алгоритмы шифрования, также имеют черные ходы, известные американским спецслужбам. Тем не менее россияне собственных силовых структур опасаются гораздо больше, чем зарубежных, и многие не желают покупать лицензированные — т. е. легальные в России — криптографические продукты из-за боязни, что данные могут быть прочитаны силовиками или переданы коррумпированными силовиками конкурентам.
Хотя распространение несертифицированных в России зарубежных программ шифрования у нас запрещено, никто не мешает скачать эти программы с сайтов их производителей, оплатив покупку кредитной картой. Использовать эти программы для своих нужд или нужд своей компании не запрещено, если речь не идет о государственной организации и предоставлении услуг другой компании или клиентам.
Тарас Пономарев, консультант компании "Практика безопасности": Закон требует обязательной сертификации только в том случае, если эти средства так или иначе используются в государственных организациях или для предоставления услуг третьей стороне. Кодекс РФ об административных правонарушениях говорит, что использование несертифицированных средств защиты информации, подлежащих обязательной сертификации (исключая те из них, что составляют гостайну), влечет штраф для граждан в размере от 5 до 10 МРОТ с возможной конфискацией несертифицированных продуктов, для юридических лиц — от 100 до 200 МРОТ, также с возможной конфискацией. В случае использования таких средств защиты для охраны сведений, составляющих гостайну, административный штраф для юрлиц равен 200-300 МРОТ, для должностных лиц — от 30 до 40. Уголовная ответственность предусмотрена законом в случае разглашения данных, составляющих гостайну, а также в случаях, предусмотренных статьей 274 УК РФ.
Использование шифрования данных действительно ставит надежный заслон перед теми, кто пытается получить к ним доступ. Это может подтвердить Андрей Милов (имя и фамилия изменены по его просьбе), которого несколько лет назад арестовали по подозрению в совершении крупного мошенничества.
Андрей Милов: Когда меня арестовывали, то изъяли в том числе и ноутбук — в нем на зашифрованных программой BestCript дисках я хранил документы, которые хотел надежно скрыть от любопытных глаз. К обвинению эти документы не имели никакого отношения, но я все равно не хотел говорить пароль к зашифрованным дискам — на всякий случай, к хозяйственной деятельности любой компании можно при желании всегда придраться. Не получив пароля от меня, следователь передал мой ноутбук в ведомственный НИИ в надежде, что его диски смогут расшифровать специалисты. Там ноутбук пролежал год, но доступ к данным так никто получить и не смог. Когда я знакомился с уголовным делом, то увидел, что Генпрокуратура дважды направляла запросы об оказании правовой помощи в Швецию, где находится компания Jetico, которая и является изготовителем BestCript, с просьбой к компании предоставить возможность расшифровать мои данные, но никто на эти запросы так и не ответил. А вот если бы я воспользовался российской разработкой в области криптографии, то, думаю, все мои данные быстро оказались бы в распоряжении следователя. Данные, конечно, я потерял навсегда, но зато их никто не смог увидеть.
Вполне естественно, что компания Jetico не приняла во внимание запросы российской Генпрокуратуры. Ведь если бы просьба следственных органов была удовлетворена, после обнародования этого факта в интернете компания могла бы подавать заявление о банкротстве: в этой сфере решающую роль играет доверие потребителей к производителю программного обеспечения. Однако, используя такие программы, следует помнить, что стойкость шифрования к взлому путем простого перебора пароля (так называемый брутфорс) зависит как от длины ключа, так и от количества символов в пароле. У Милова данные были зашифрованы ключом длиной 2048 бит, а пароль состоял из 72 символов. Таким образом, чтобы подобрать пароль, нужно было перебрать 722048 вариантов. Даже у суперкомпьютеров на подбор такого пароля уйдут годы, если не десятилетия.
Противодействие клавиатурному шпионажу
Шифрование данных может помочь и в случае кражи у вас ноутбука или флешки, на которую была записана важная информация, и в случае, если ваш компьютер был взломан и в нем орудует злоумышленник.
Однако если за вашими данными идет целенаправленная охота, шифрование не всегда сможет помочь, если вам внедрили "троян", который может записывать все нажатия клавиш на компьютере и отсылать лог-файлы злоумышленнику. Таким образом можно узнать пароль, который вы вводите, чтобы получить доступ к зашифрованной информации.
Не важно, каким образом "троян" оказался у вас в системе — вы подцепили его, открыв зараженное письмо, его установили вам спецслужбы или подкупленный сотрудник, имеющий доступ к вашему компьютеру. Вместе с лог-файлом нажатий на клавиши "троян" может переслать своему хозяину изображения экрана вашего компьютера (так злоумышленники, например, получают пароли к счетам, если их нужно ввести с помощью виртуальной клавиатуры, нажимая мышкой на нужные клавиши) и любые файлы, хранящиеся на вашем компьютере, в том числе и те, которые можно расшифровать с помощью введенного вами пароля.
Поэтому в деле защиты данных не стоит рассчитывать лишь на программы шифрования — антивирусы и программы, способные обнаруживать клавиатурных шпионов, помогут вам отразить внешние атаки на вашу конфиденциальную информацию. Как правило, в серьезные антивирусные программы типа Eset Nod32, Norton Antivirus, антивирусы от "Лаборатории Касперского" и т. д. встроены и компоненты, которые засекают и блокируют деятельность и клавиатурных шпионов.
Кстати, несмотря на то, что шифрование всегда применялось для защиты данных, нашлись злоумышленники, которые поставили криптографию на службу своим интересам. Так, есть вирусы, которые, попадая в компьютер, шифруют папку "Мои документы" и выводят хозяину компьютера сообщение, что он может получить пароль для расшифровки своих данных, а также программу, удаляющую этот вирус, если переведут некоторое количество денег на такой-то электронный кошелек. Если в папке хранились действительно ценные документы, а преступники использовали надежный алгоритм шифрования и писали вирус профессионально, то выхода у вас два: либо распрощаться с зашифрованной вирусом информацией, либо заплатить.
Избежать подобной дилеммы можно, если регулярно "бэкапить" критическую для вас информацию и хранить ее где-нибудь в другом месте. Желательно в зашифрованном виде. И опять же — об антивирусах нужно вспоминать не только тогда, когда "троян" уже поселился в вашем компьютере и вы были неприятно удивлены, обнаружив результаты его действий.
Я знаю, что вы сделали прошлым летом
Если защита от внешних угроз одинаково нужна как компаниям, так и физическим лицам, то противодействие внутренним угрозам — сливу информации инсайдерами или сотрудниками-разгильдяями, актуально лишь для компаний. Но в этой сфере ситуация гораздо запущеннее.
Рынок защиты конфиденциальных данных от утечек (IDLP — Information Leakage Detection and Prevention) еще очень молод. Первая компания, занимающаяся разработкой систем защиты от утечек, появилась лишь десять лет назад. В России рынок IDLP начала развивать основанная в 2003 году компания InfoWatch, являющаяся дочерней компанией "Лаборатории Касперского". Ее руководитель — Наталья Касперская, успешно поработав над созданием продуктов, отражающих внешние угрозы, взялась налаживать борьбу с угрозами внутренними. По данным InfoWatch, около 80% нарушений информационной безопасности вызывается утечками, допущенными внутри компании.
Хотя российские компании, как уже отмечалось, предпочитают не распространяться об утечках информации, некоторые случаи все же попадают в прессу. Например, компания "Вымпелком" ловила сотрудников своего call-центра на продаже информации о владельцах номеров и о входящих и исходящих звонках. Другие компании об обнаружении утечек не сообщали, однако каждый мог убедиться в том, что они были, на Митинском рынке в Москве, где продавались базы данных об абонентах сотовой связи.
Валентин Крохин, директор по маркетингу LETA IT-company: Основная доля хищений сотрудниками компаний конфиденциальной информации приходится на хищение персональных данных клиента (65%), финансовой отчетности (25%) и объектов интеллектуальной собственности (10%). Почти в 70% случаев мошенники использовали портативные устройства — ноутбуки, флеш-карты, КПК, смартфоны и фотоаппараты. В 2007 году объем рынка IDLP составил $26 млн, при этом он растет опережающими весь рынок информационной безопасности темпами. Объем всего мирового рынка в 2006 году, по различным данным, составил около $1,5 млрд.
Наталья Касперская: Существуют три основных технологии защиты конфиденциальных данных от внутренних угроз. Первая — это когда файлы, содержащие конфиденциальные данные, помечают специальными метками. Вторая — когда система в режиме реального времени отслеживает наличие ключевых слов — например, "финансовый отчет". И третья — когда система производит лингвистический анализ всего контента, содержащегося в файле или передающегося через каналы возможной утечки информации. При этом осуществляется контроль всех этих каналов — электронной почты, веб-трафика, принтеров, дисководов и USB-портов, через которые информация может быть скопирована на физический носитель. Одновременно проводится аудит политики в области информационной безопасности компании и отключаются сервисы, избыточные для пользователей.
Администратор IDLP-системы может настроить уровень ее "параноидальности" — например, можно полностью блокировать предположительно конфиденциальную информацию, передаваемую через возможные каналы утечек; можно блокировать с уведомлением офицера по безопасности, который решает, разрешить ли ее передачу или нет; можно разрешить передачу такой информации, занося при этом данные о ее передаче в лог-файл.
В некоторых компаниях есть системы, позволяющие контролировать то, чем сейчас занимается сотрудник, и даже видеть изображение его монитора. Но эти системы неэффективны для борьбы с утечками конфиденциальной информации и служат в первую очередь для контроля за расходованием рабочего времени сотрудника.
По мнению Валентина Крохина, хотя IDLP-системы внедряют в основном крупные компании, наибольшую угрозу утечка конфиденциальной информации представляет для среднего и малого бизнеса. Например, если у "Газпрома" украдут какую-то секретную информацию, компания, хоть и понесет убытки, но продолжит работать. А если у небольшой компании сотрудник "сольет" всю базу данных ее клиентов конкурентам, то компания может и не выжить после этого.
Валентин Крохин отмечает резко возросший за последнее время интерес к IDLP-системам. Еще несколько лет назад, когда его компания решила провести первый семинар по использованию этих систем, на нем присутствовало всего три человека. А в этом году аналогичный семинар не смогли посетить все желающие. Тем не менее широкое внедрение IDLP-систем сдерживается его высокой стоимостью — необходимо не только оплатить сам программный продукт, но и провести аудит информационной безопасности, и оплатить консалтинговые услуги. Средняя стоимость внедрения IDLP-систем — $400-500 тыс. Правда, сейчас компания McAfee выпустила продукт для малого и среднего бизнеса — его внедрение обходится в сумму от $10 тыс. Но надо учитывать, что ведущие позиции на нашем рынке занимают российские разработчики IDLP-систем, прежде всего InfoWatch. Ведь их продукт изготовлен специально для работы с русскоязычной информацией.
LETA IT-company все продукты, которые она предлагает своим клиентам, прежде всего внедряет у себя. Пару лет назад, установив продукт от InfoWatch, LETA IT-company неожиданно выявила у себя утечку: двое менеджеров по работе с клиентами, пользуясь ресурсами компании, привлекали клиентов, а затем предлагали им заключить контракт с другой фирмой. Таким образом нарушалась ценовая политика LETA IT-company, она недополучала прибыль и к тому же несла репутационные убытки. Против этих сотрудников было возбуждено уголовное дело. Валентин Крохин подчеркивает, что решение от InfoWatch помогло не только выявить утечку, но и собрать доказательства незаконных действий сотрудников.
Однако эксперты отмечают, что IDLP-системы не в состоянии на 100% гарантировать защиту от внутренних угроз. Любой программный продукт бесполезен, если сотрудники плохо знают политику информационной безопасности компании и не соблюдают установленных правил. Руководитель QA-дирекции компании "Рамблер" Андрей Кремнев отмечает, что, например, в крупных IT-компаниях очень важной информацией является дата выпуска нового продукта или сервиса. На рынке уже были случаи, когда одна крупная интернет-компания долго готовила к запуску новый сервис, а ее конкурент, узнав дату релиза, выпускал аналогичный сервис на пару дней раньше. У запущенного раньше сервиса была куча недостатков и недоработок, но компания таким образом "смазывала" запуск сервиса конкурента.
Андрей Кремнев: Абсолютную систему защиты от внутренних утечек информации может обеспечить лишь система типа сталинских "шарашек", когда сотрудники живут и работают на территории, обнесенной колючей проволокой, и не имеют никакой возможности связаться с внешним миром. Реальность же такова, что, например, программисты регулярно переходят из одной компании большой тройки ("Яндекс", "Рамблер" и Mail.ru.— "Деньги") в другую. Системы защиты от внутренних утечек могут защитить от кражи исходного кода, но, например, дату запуска того или иного сервиса ушедшему сотруднику совершенно не обязательно пересылать по электронной почте, ICQ или распечатывать на принтере — он вполне способен держать ее в голове. Кроме того, поскольку на рынке существует дефицит программистов и переток кадров из одной компании в другую происходит постоянно, сотрудники конкурирующих компаний часто общаются друг с другом на конференциях или просто за пивом. В процессе общения вполне может быть невольно выдана конфиденциальная информация, поэтому не менее важным пунктом является постоянное обучение сотрудников политике информационной безопасности, принятой в компании. А для того, чтобы доносить ее до сотрудников, ее нужно как минимум разработать.
Таким образом, просто установив специальные программы, невозможно на 100% защититься ни от внешних, ни от внутренних угроз. Другое дело, что и программы, обеспечивающие шифрование данных, и антивирусы, и программы, обнаруживающие клавиатурных шпионов, и IDLP-системы внедрять нужно, но при этом самое главное — это чтобы работала голова. Без знания того, каким угрозам может быть подвержена ваша конфиденциальная информация, а также без осознания важности ее защиты, никакие программы не смогут помочь ни вам, ни вашей компании. Поэтому самое важное — это все-таки человек, а не программы.