Съемные носители – как себя обезопасить?

Дмитрий Михеев
эксперт центра
информационной безопасности
компании “Инфосистемы Джет"

Как минимум можно снизить риски утечки или потери данных или применить best practices в области снижения ущерба.

Кроме очевидных рисков потери и утечки, появились и новые угрозы. Например, необходимость следить за репутационными рисками публичного разглашения информации (вспомним скандалы вокруг Wikileaks). Также приходится задумываться о требованиях новых законов по соглашениям ACTA, за нарушение или подозрение в нарушении которых могут возникнуть проблемы при пересечении границ.

Что же сегодня является съемным носителем?

Очевидно, что это USB-flash и другие типы накопителей на основе flash и жестких дисков – SD, MMC, Compactflash, медиаплееры (mp3 и видео), цифровые камеры, съемные диски. К ним также относятся довольно экзотические на сегодня носители, такие как DVD- и Blue-Ray-диски и даже floppy-диски.

Сейчас одними из самых популярных съемных носителей являются мобильные устройства – смартфоны, планшеты, электронные книги и ноутбуки. Это приводит к расширению списка рисков. По нашей оценке, оснащенность наладонниками и планшетами сотрудников компаний в Москве сейчас может колебаться от 50 до 90%.

С точки зрения службы безопасности, смартфон, планшет или другое подобное устройство – это откровенный и неприкрытый враг, с которым пока не получается справиться. Это удобное и приятное в жизни и работе устройство может совмещать в себе набор свойств, которые приводят к полной невозможности контроля данных, расположенных на них. Технически же это одновременно и носитель данных, и средство их обработки.

Смартфоны и ноутбуки снабжены несколькими каналами связи – беспроводными, проводными, съемными картами памяти. Они могут сами являться съемными носителями. Более того, они могут являться такими съемными носителями, которые требуют специфических средств обмена данными (например, iTunes). В современных реалиях не все средства контроля USB-носителей корректно их определяют, что, в свою очередь, ведет к потере контроля.

Мобильные операционные системы позволяют пользоваться электронной почтой, Web- и другими сервисами – как корпоративными, так и внешними одновременно.

Возможен ли контроль?

При этом на мобильных платформах в настоящий момент не слишком развиты средства контроля, есть инциденты с вредоносным ПО и нет распространенных бесплатных средств защиты. Более того, для некоторых платформ крайне сложно такие средства разработать и внедрить штатным образом, так как платформы могут быть закрыты, либо требовать значительных усилий по освоению.

Особенно ярко проблема начинает "играть красками", если мы вспомним про облачные хранилища и средства обмена данными, такие как iCloud, dropbox и другие. Инциденты с несанкционированным доступом к данным на подобных сервисах уже можно найти в Сети.

При этом очевидные преимущества данных устройств – мобильность, связность, эргономика, компактность – приводят к тому, что ими активно пользуются в работе основные источники утечки и потери данных – технические специалисты сервисных подразделений, продавцы и топ-менеджеры компаний. Именно эти группы сотрудников имеют штатный доступ к ряду классов закрытой информации, часто покидают более или менее безопасные физические и инфраструктурные границы компании и являются наиболее активными пользователями мобильных устройств.

Все вышеперечисленное приводит к тому, что для пользования корпоративными данными с современных мобильных устройств администраторы иногда вынуждены ослаблять уровни безопасности просто для того, чтобы сотрудники, а в особенности руководители компаний, оснащенные новыми красивыми гаджетами, могли выполнять свои задачи.

Какие технические средства доступны администраторам для уменьшения рисков?

Средства ОС Windows в рамках периметра, особенно с применением развернутой инфраструктуры Active Directory, позволяют до некоторой степени ограничить пользователям возможность подключения USB-устройств. Как правило, в компаниях такая инфраструктура уже развернута, в сети доступны описания подобных настроек. Это позволит недорого (без дополнительных вложений) решить проблему для тех рабочих мест, где действительно не нужно включать съемные носители.

Средства контроля политики по съемным носителям позволят делать более тонкие настройки, например указывать для конкретных пользователей разрешенные типы и экземпляры носителей на рабочих местах. Средства общей безопасности тоже могут снять интенсивность рисков.

Все эти средства, как правило, не позволяют контролировать данные, они контролируют только очевидные риски. Кроме того, они действуют не на стороне съемного носителя, а на стороне инфраструктуры компании.

Учитывая проблему богатых возможностями носителей наподобие смартфона, изрядную помощь администратору окажут средства DLP – если мы хотим контролировать данные, лучше использовать средства, которые предназначены именно для контроля данных. В то же время необходимо помнить, что процесс внедрения и настройки потребует определенных технических, административных и финансовых затрат.

Современные системы DLP позволяют обеспечить достаточно точный контроль на рабочих станциях. Для ноутбуков данный подход является, пожалуй, наиболее универсальным решением по ряду проблем безопасности. Этот метод является также самым затратным, так как количество точек инсталляции ПО будет велико. Хотелось бы отметить, что для мобильных платформ практически нет средств DLP, так что они не решают проблему полностью. Административные и технические затраты могут быть значительными: только одна классификация данных на конфиденциальные и открытые может потребовать много времени, добавить седых волос и не привести к результату.

Для контроля данных можно применять средства IRM, особенно в сочетании с DLP-системами. Системы Rights Management предоставляют возможность автоматического шифрования некоторых типов данных при покидании периметра безопасности. Это полезная возможность, но у нее есть значимые ограничения, которые могут помешать практическому внедрению в жизнь. Перед принятием решения о внедрении IRM-системы имеет смысл посоветоваться с интегратором, так как количество подводных камней при внедрении в сложной инфраструктуре может быть довольно велико, как и стоимость такой системы и ошибок при работе с ней.

Если говорить о персональной защите данных, имеет смысл обратить внимание на такие средства, как TrueCrypt, DiscCrypt, PGPDisk, которые позволяют не только зашифровать данные, но и принять некоторые меры против физического воздействия на владельца для получения паролей.

Для прицельного контроля рисков, связанных с мобильными устройствами, сейчас активно развивается спектр решений MDM (Mobile Device Management). В их основные возможности входит обеспечение жизненного цикла устройств, реализация доступа к данным внутри периметра, удаленный мониторинг и очистка устройств в случае утери. Очевидным плюсом таких средств является возможность контролировать мобильные устройства за пределами периметра компании и обеспечивать минимальные требования безопасности за счет автоматической конфигурации, принудительного включения парольной защиты, использования встроенных средств шифрования, контроля установленных приложений на устройствах, проверки на Jail-break, сохранения возможности безопасно удалить данные электронной почты и других приложений. Спектр возможностей данных средств сильно зависит от используемой мобильной платформы. Стоимость внедрения и эксплуатации может быть довольно велика, но заранее внедренное решение может оправдать себя за один инцидент.

Есть ли возможность обойтись без решения данных задач?

Ответить определенно довольно сложно. Все зависит от того, что мы защищаем, от кого и насколько сильно мы хотим удостовериться, что у нас действительно получилось построить эффективную систему. Ответы на эти вопросы индивидуальны для каждой организации, в которой пришло время решать описанные здесь задачи. К сожалению, мы уже ничего не сможем сделать с предотвращением распространения съемных носителей и мобильных устройств – это не получилось сделать с дискетами, что уж говорить в эпоху, когда школьники ходят на учебу не менее чем с 4 Гбайт в кармане или в телефоне. Сейчас самое время произвести переоценку рисков, связанных с использованием съемных носителей, и разработать комплекс как организационных, так и технических мер, позволяющих построить адекватную систему контроля, которая необходима той или иной компании.

Комментарий эксперта

Антон Крячков

директор по продуктам компании “Аладдин Р.Д."

Как показывает опыт, инсайдера никогда не остановить только программно-техническими средствами защиты, сколь бы совершенными они ни были. Самые эффективные меры противодействия инсайдерам – организационные.

Если документ нельзя записать на флешку или мобильный телефон (все порты USB отключены или даже залиты "жидкими гвоздями"), то документ можно сфотографировать с экрана монитора или с распечатки, распечатать в виде QR-кодов, начитать текст документа на диктофон телефона и т.д. Типичной организационной мерой противодействия является запрет на внос телефонов, флешек, фотоаппаратов на контролируемую территорию. Однако не стоит забывать и о работе с персоналом, направленной на то, чтобы сотрудники дорожили своим местом, а также о повышении осведомленности сотрудников о правилах работы с корпоративной информацией. Ведь инсайдеры активно используют социальную инженерию, противостоять которой сможет только осведомленный человек.

Какова же тогда роль в борьбе с инсайдерами программно-технических средств защиты информации?

1. Аудит доступа к защищаемой информации. Аудит (которым часто пренебрегают или ведут формально, регулярно не анализируя журналы событий) поможет своевременно выявить активность потенциального злоумышленника до получения им реального доступа к данным и обеспечит неотвратимость наказания.
2. Маскирование данных для защиты от их утечек через непроизводственные сферы (тестирование, отладка и пр.) и в случае ошибок персонала. Предоставление нарушителю подложных данных, похожих на настоящие, но таковыми не являющихся.
3. Обеспечение конфиденциальности с применением криптографических методов защиты информации. Криптография – самый последний рубеж обороны, который сможет предотвратить нарушение конфиденциальности информации даже тогда, когда все остальные рубежи (организационные меры, комбинаторно-логические методы защиты) преодолены и/или нарушены условия их функционирования.