Рассказывают, что один крупный коммерсант, прочитав книгу о технических методах промышленного шпионажа, схватился за голову: он и не подозревал, что его бизнес настолько уязвим. Действительно, до сих пор бытует заблуждение, что если работать на компьютере, закрывшись в комнате на ключ, -- информация будет в полной безопасности. Между тем это не так. Закрытая дверь абсолютно не мешает злоумышленникам получить доступ к интересующим их сведениям.
На сегодняшний день существует множество технических каналов перехвата информации, и каждый из них требует пристального изучения, особого внимания и принятия мер защиты. К наиболее распространенным и существенным каналам относятся следующие:
- перехват электромагнитных излучений и наводок;
- несанкционированный доступ к конфиденциальной информации, обрабатываемой в технических средствах и системах;
- внедрение программных закладок и компьютерных вирусов;
- перехват информации в каналах связи;
- прослушивание конфиденциальной информации, циркулирующей в помещениях.
«На самом ли деле это так серьезно?» - с таким вопросом мы обратились к Андрею Лобову, директору департамента комплексной зашиты информации фирмы «НТЦ КАМИ» (http://www.kami.ru).
Андрей Лобов:
“Действительно, проблемe защиты информации сегодня уделяется больше внимания, чем когда-либо. Это касается не только государственной тайны, но и конфиденциальной информации, составляющей коммерческую, юридическую, медицинскую, личную и другие виды тайн.
Если говорить о коммерческой информации, то на сегодняшний день она стоит столько, во сколько ее оценивает владелец этой тайны. Все зависит от умения владельца информации и его службы безопасности адекватно подойти к оценке ее конфиденциальности в стоимостном отношении, т.е. к оценке ущерба от разглашения или утечки такой информации, и затем принять решение: стоит или не стоит ее защищать.
Показателен в этом отношении курьезный случай из нашей практики. При проведении мероприятий по защите информации в известной организации хозяин одного из проверяемых кабинетов высказал сомнения по поводу возможности утечки информации из своего кабинета. Через коридор, напротив двери его кабинета, находился, извините, женский туалет, вентиляционная камера которого имела прямое соединение с вентиляционным окном кабинета. Мы попросили помощника начальника и его секретаря вести беседу в кабинете, а его самого пригласили в соседнее упомянутое заведение. Слышимость была почти идеальной - и это без использования каких-либо средств технической разведки. Стоит ли говорить, что отношение к проблеме у хозяина кабинета поменялось ровно на 180 градусов.
Что касается технических аспектов защиты информации, то действительно автоматизация процессов создания, обработки, хранения, передачи конфиденциальной информации активизировала создание и применение новых методов и средств технической разведки, расширила возможность несанкционированного доступа к информации. Например, еще несколько лет назад почти не уделялось внимания борьбе с программными закладками. Сегодня же требования по уровню контроля отсутствия недекларированных возможностей закреплены в руководящих документах Гостехкомиссии РФ. Широкое использование устройств сотовой и пейджинговой связи заставило пересмотреть подход к организационным мерам защиты. Теперь во многих организациях при входе можно встретить таблички с надписью “Использование сотовой связи запрещено” или “Мобильные телефоны сдать в камеру хранения”.
Положение дел
По неофициальным данным, хищения торговых и промышленных секретов обошлись американским компаниям в 1992 году в 100 млрд. долл. По оценкам специалистов, к 2003 году эти потери могут возрасти еще на 50%. В нашей стране созданное осенью 1998 года специальное управление "Р" МВД России только за первые полгода своего существования возбудило более 20 уголовных дел, а отдел по борьбе с незаконным оборотом специальных технических средств изъял одних радиотелефонов и приемников на сумму свыше 3 млн. руб., а прочей аппаратуры типа "жучков" и диктофонов - свыше 100 штук (см. "МК" от 16.12.99). Другими словами, промышленный шпионаж охватывает сегодня все сферы рыночной экономики во всех странах мира, и Россия не исключение.
Приведем всего несколько фактов. В газете "Красная звезда" за 29.03.97 год сказано, что "в ходе проверок, проведенных специалистами Гостехкомиссии России в органах федерального и регионального управления РФ, а также на предприятиях и в организациях, выполняющих оборонные заказы, наблюдается массовое применение дешевых мини-АТС импортного производства. Но никто при этом не учитывал возможность дистанционного управления ими, так называемые полицейские режимы, которые можно использовать, в том числе и для прослушивания помещений, блокирования работы линий связи”. Между тем "российскими спецслужбами постоянно фиксируется использование портативных технических средств разведки дипломатами, иностранными инспекторами во время поездок по России, посещения организаций, учреждений, войсковых частей".
Информационный бюллетень Jet Info (№ 8/1999) приводит следующие данные. В информационном письме Национального центра защиты инфраструктуры США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что всего за две недели июля 1999 года выявлено девять проблем с ПО, риск использования которого оценивается как средний или высокий (общее число обнаруженных слабостей равно 17). Среди "пострадавших" операционных платформ - почти все разновидности ОС UNIX, Windows, MacOS. Это означает, что никто не может чувствовать себя спокойно, поскольку новые слабости тут же начинают интенсивно эксплуатироваться.
Андрей Лобов:
“Действительно, очень важное звено в процессе создания системы защиты информации - это выбор технического решения по закрытию обнаруженных или предполагаемых каналов утечки информации и средств защиты информации. Основополагающий принцип выбора состоит в том, что средства защиты информации (СЗИ) должны быть сертифицированы. НТЦ КАМИ располагает необходимой базой данных о сертифицированных средствах защиты информации, их разработчиках и производителях и способна на основе анализа имеющихся на рынке СЗИ, полученных результатов контроля, возможностей заказчика и требований руководящих документов предложить оптимальный вариант. Зачастую приходится применять не одно, а несколько сертифицированных СЗИ. К примеру, при решении вопросов защиты от несанкционированного доступа сложных информационных АС мы предлагаем использовать компьютеры марки Кami, выполненные в защитном исполнении, систему защиты типа SNet компании «Информзащита» (http://www.infosec.ru), межсетевые экраны и средства организации виртуальных частных сетей “Застава” компании “Элвис +” (http://www.elvis.ru), Антивирус Касперского (http://www.kaspersky.ru), электронные замки различных производителей. Все эти средства прошли соответствующую сертификацию. Выбор СЗИ проводится совместно с заказчиком. Для этого у нас есть выставка-стенд, где можно показать заказчику, что представляет собой то или иное СЗИ, т.е. процесс выбора проходит не “вслепую”.
Поясню, что такое персональный компьютер в защищенном исполнении. НТЦ КАМИ располагает технологией производства ПЭВМ, позволяющей выполнять требования руководящих документов по защите информации, предъявляемые к таким средствам.
В частности, мы располагаем лабораторией по проведению специсследований, оснащенной современными высокоточными средствами контроля. Кроме того, технологический процесс создания этих средств контролируется представителем заказчика, что говорит само за себя”.
Детали
Один из опасных каналов утечки конфиденциальной информации - побочные электромагнитные излучения (ПЭМИ), возникающие при работе электронных устройств (факсимильных и телефонных аппаратов, мини-АТС, компьютеров, принтеров, модемов, сканеров и т. д.). Характер излучения определяется многими факторами; оно может попадать в широкий диапазон частот - от единиц герц до единиц гигагерц, а дальность реального перехвата информации порой достигает сотен метров.
Для проведения полного объема работ по исследованию опасности ПЭМИ необходима дорогостоящая контрольно-измерительная аппаратура с соответствующим метрологическим обеспечением, высококвалифицированный персонал, специальные методики. Конечно, можно проводить исследования и ограниченными средствами. Существуют как инструментальные способы контроля - физическая проверка невозможности перехвата ПЭМИ за пределами контролируемой территории, так и расчетно-инструментальные. Как конкретно это делается, описано в соответствующей литературе.
Андрей Лобов:
“К нам периодически обращаются различные организации с просьбой проконсультировать их в вопросах правильной организации защиты информации. Здесь очень многое зависит от руководителя конкретной компании - он должен быть в высшей степени заинтересован в организации подобных работ.
Понятно, для того чтобы исключить или максимально снизить риск утечки или несанкционированного доступа к конфиденциальной информации, одного желания мало. Необходим целый комплекс мероприятий по защите объекта информатизации. Начать я порекомендовал бы с изучения нормативно-правовой базы в этой области - за последние годы она существенно изменилась. Во-первых, базу для организационного, правового и технологического обеспечения информационной безопасности страны создает утвержденная Президентом РФ 9 сентября 2000 года «Доктрина информационной безопасности РФ», которая стала основой деятельности государственных органов, предприятий и организаций различных форм собственности и граждан в сфере защиты информации. Наибольшее законодательное развитие получило - и это, наверное, правильно и понятно - направление защиты информации, собственником которой является государство.
Вместе с тем существует и определенный правовой вакуум. Например, вы почти свободно можете приобрести носитель, на котором найдете чуть ли не всю персональную информацию о себе… А ведь вы в соответствии с законом имеете право на ее защиту. Откуда и как она “утекает”? Что нужно делать, чтобы это предотвратить? Или другой пример: существует информация, составляющая врачебную тайну. Как она должна обрабатываться? Какие требования должны предъявляться к ее защите? Кто все это должен выполнять? На эти и другие вопросы еще предстоит дать ответы.
Второе вытекает из первого. Государство определило, что деятельность в области защиты информации требует лицензирования. И здесь можно выделить два направления организации работ по защите информации: вы сами непосредственно занимаетесь защитой информации или привлекаете специализированную организацию, имеющую лицензию на этот вид деятельности.
Первый подход влечет за собой создание специального подразделения, подбор специалистов, приобретение дорогостоящей специальной техники и т.п., что требует серьезного финансирования. Думается, что это под силу лишь крупным предприятиям, предприятиям-монстрам. Кстати, на прошедшем весной в НТЦ КАМИ семинаре “Проблемы защиты информации в специальных автоматизированных системах” очень большой интерес вызвал доклад начальника Управления защиты информационных ресурсов и технологий службы безопасности ОАО “Газпром” В. Т. Омельченко. Так вот, он оценил в несколько тысяч долларов только один из разработанных руководящих документов «Газпрома» в области защиты информации. Выводы делайте сами…
Второй подход, безусловно, более доступен. Он состоит в том, чтобы обратиться к специализированной организации, которая имеет лицензию на данный вид деятельности и способна оказать вам требуемые услуги.
По нашему опыту, заказчик, как правило, желает работать с одной организацией, которая бы не просто выполняла какие-то работы или оказывала услуги, но и дала бы определенные гарантии, подтвержденные документально. Наша компания, например, имеет лицензии на деятельность в области защиты информации Гостехкомиссии РФ и МО РФ и аккредитована в качестве организации по аттестации объектов информатизации по требованиям безопасности информации. НТЦ КАМИ располагает необходимой базой и опытом проведения работ.
Комплекс работ по защите информации начинается с разработки совместно с заказчиком ТЗ на создание системы защиты и ее проектирования, а заканчиваются введением в эксплуатацию и аттестацией объекта информатизации по требованиям безопасности информации. Такие работы на сегодняшний день наша компания провела на объектах Российского агентства по государственным резервам, Государственного таможенного комитета России, Министерства обороны РФ и др.”
К слову, лицензирование - это одно из базовых положений Закона РФ "О государственной тайне". Это положение получило развитие с выходом Постановления РФ от 1995 года о сертификации средств защиты информации. В нем определено, что в нашей стране существует пять организаций, который могут сертифицировать средства защиты информации: Гостехкомиссия России, ФСБ, ФАПСИ, Служба внешней разведки, Министерство обороны РФ.
Еще раз о положении дел
Общая система защиты включает в себя аутентификацию сотрудников, автоматическое разграничение их полномочий, защиту от несанкционированного доступа к информации, закрытие технических каналов утечки, а также ряд других элементов. Причем для каждого из этих элементов, как правило, необходимы свои технические средства защиты. Поэтому построение надежной системы защиты информации - дело сложное и дорогое.
Однако, понимая необходимость защиты информации, руководители компаний стремятся, с одной стороны, максимально надежно обеспечить конфиденциальность информации, а с другой - затратить минимум средств. Здесь интересен западный опыт: в Великобритании, для того чтобы упорядочить процесс организации защиты информации, государство предложило свои услуги по проведению добровольной аттестации.
В России к добровольной аттестации прибегают немногие. Есть ряд причин, из-за которых компании избегают официальной аттестации. И стоимость мероприятия - далеко не главная из них. А небольшие фирмы зачастую данную проблему попросту недооценивают.
Конечно, есть и другой подход, когда крупные организации создают свою структуру безопасности, получают необходимые лицензии и организуют собственную систему, не нуждаясь в услугах со стороны. Так что вариантов множество.
Андрей Лобов:
“До сих пор отечественные компании вспоминают о том, что коммерческую информацию надо защищать, лишь после того, как закуплена и внедрена автоматизированная информационная система корпорации. А правильнее было бы изначально проектировать систему в защищенном исполнении, затем разрабатывать соответствующие технические задания, после чего делать технико-экономическое обоснование применения тех или иных средств защиты информации.
В заключение хотелось бы отметить, что возможность стать жертвой той или иной разновидности промышленного шпионажа в наши дни из экзотики превратилась в повседневную реальность. Чем выше класс защищенности автоматизированной системы компании, тем больше мероприятий по защите там надо проводить. Это и установка межсетевых экранов, специальных программно-аппаратных комплексов и программных средств, антивирусного ПО. Еще раз подчеркнем, что затраты на создание полноценной системы безопасности, при всей своей серьезности, несоизмеримо меньше убытков от возможной потери конфиденциальной информации, которая может привести не только к убыткам, но и к полной ликвидации вашего бизнеса”.