Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Массированное вторжение похитителей персональной информации

Дон Маквитти

Борьба с хищением персональной информации — это задача отделов ИТ предприятий. Предлагаемая ниже статья — о том, как защитить ваши данные, ваш персонал и ваш бизнес.

Статистика ужасает: согласно отчету об исследовании хищений персональной информации, проведенном организацией Javelin, в 2005 г. эта проблема обошлась американским фирмам в 56,6 млрд долл. Схемы фишинга (“выуживания” данных) становятся все более и более изощренными и наглыми. Если в мае 2005 г. Антифишинговая рабочая группа обнаружила 3326 фишинг-сайтов, то в мае 2006 г. — уже 11 976. Это самое большое их количество, зафиксированное группой за все время работы. Политические деятели наперебой предлагают ввести соответствующие законы. И мы бы не удивились, если бы власти какого-нибудь штата для острастки приняли как официальную процедуру обмазывать дегтем и вываливать в перьях любого гендиректора компании, уличенной в том, что у нее произошла утечка персональной информации.

Что все это означает для отдела ИТ предприятия? Многое. К решению данной проблемы необходимо подходить с двух сторон. Во-первых, строго контролируйте конфиденциальные данные, чтобы в вашей организации не происходило незаконного разглашения персональной информации о ваших служащих и клиентах; о том, как это осуществить, речь пойдет ниже. Во-вторых, отдел ИТ обязан также обучать служащих тому, как сохранять безопасность данных о клиентах. Проконсультируйтесь у руководителей бизнес-подразделений, как лучше обращаться с такой информацией. Например, можно сделать так, чтобы за пределы компании выходили только предварительно “очищенные” от персоналий данные.

Отдел ИТ также может помочь в обучении служащих приемам безопасного хранения их собственной персональной информации. Предложите, чтобы они (служащие) в своих спам-фильтрах всегда держали включенной функцию антифишинга, а еще лучше, сделайте так, чтобы в спам-фильтрах эта функция по умолчанию была задействована на максимум, и объясните служащим, как ее можно ослабить в случае необходимости. Жертве хищения персональных данных может потребоваться много времени на заполнение документов и переговоры с кредитными организациями, чтобы устранить последствия хищения, поэтому даже самые скромные вложения в защитные меры могут окупиться. Хорошим образовательным ресурсом для решения этого вопроса является сайт Федеральной комиссии по торговле США, посвященный методам борьбы с хищениями персональной информации (www.consumer.gov/idtheft).

Полную версию данной статьи смотрите в 14-ом номере журнала за 2006 год.

Самая больная проблема в вопросе защиты персональной информации — это отсутствие в большинстве организаций четкого представления о точном количестве персональных данных в их системах; не известно, сколько существует копий той или иной части информации, кто и как использует ее, и даже не известно, авторизованы ли ее пользователи. Проясним для себя в самом начале: панацеи от перечисленного выше не существует и нет никакого “окончательного” решения этой проблемы. Но комплексное использование обучения пользователей и применение лучших полученных на практике методов и новых технологий может свести риск к минимуму.

В статье “Поможет ли вам шифрование не потерять работу?” (в этом же номере журнала) мы обсуждаем юридическую ответственность, которую может понести ваша организация, если в ней произойдет хищение персональной информации. Обязаны ли вы всегда заявлять о случаях хищения такой информации? Это зависит от того, в каком штате США находится ваша организация. Следует ли заявлять об этом? Наше мнение — да. Даже если вас не волнует то, что у человека, возможно, из-за этого будут проблемы, учтите, что “акулы пера”, почувствовав кровь в воде, т. е. узнав о том, что вы пытаетесь скрыть факт хищения, тут же набросятся на вас.

Защитите нас от самих себя

Профессионалы по информационной безопасности всегда считали и продолжают считать, что авторизованных пользователей можно и нужно регулярно обучать тому, как защищать персональную информацию от случайного раскрытия. Мы знаем, что даже самые дисциплинированные служащие иногда совершают неразумные поступки, — например, отправляют данные клиентов по электронной почте или берут домой. Но ведь отговаривать сотрудников брать работу на дом не принято в подавляющем большинстве компаний, поэтому пытаться подкрепить политику обучения дисциплинарными мерами — пустая трата времени.

Инстинкт самосохранения требует, чтобы отдел ИТ предприятия был в состоянии преграждать пути потенциальных утечек персональной информации, даже если эти пути прокладываются за пределами здания компании авторизованными служащими. Чтобы создать такую систему предупреждения, нужно сначала проранжировать данные по степени их конфиденциальности, затем точно определить, где находится каждая копия таких данных. Правда, это легче сказать, чем сделать. Вы, например, можете догадываться, кто и к чему именно обращается в вашей главной БД, но знаете ли вы, сколько копий информации по тому или иному клиенту обращается в вашей организации в виде электронных таблиц Excel и баз данных Access? Имеете ли вы представление о количестве СУБД SQL Server, работающих в вашей компании (обычно их много больше, чем думают служащие отдела безопасности), и что в них находится? Скорее всего, нет.

Далее, необходимо отслеживать движение данных. Хотя для этой цели не существует продуктов, которые решали бы задачу от начала и до конца, но есть неплохие средства, с помощью которых можно решить часть проблем. Мы разделили их на три категории: средства, работающие там, где информация извлекается из БД; средства, функционирующие в тех местах, где данные покидают здание компании, и, наконец, средства, работающие с данными, хранящимися за пределами компании.

Средства, работающие там, где информация извлекается из БД. Защититься от собственных неблагонадежных служащих, обладающих определенными техническими навыками, нет никаких способов. Чтобы отследить доступ к БД, нельзя целиком полагаться, например, на ее регистрационный журнал, поскольку последний можно легко подправлять — как до обращения к БД, так и после него. В конечном счете вы вынуждены доверять работникам вашего отдела ИТ и исключить их из числа подозреваемых. Рекомендуемые же нами средства помогут, где это возможно, уменьшить круг служащих, способных обойти защитные меры.

Имеется несколько продуктов, которые уведомят вас о больших количествах извлекаемой информации или о необычных процессах ее извлечения. Это средства фирм Application Security, Imperva, NetContinuum и Tizor Systems. Мы классифицируем их как продукты, предотвращающие “выкачивание” данных из БД. Они могут быть сконфигурированы на отслеживание обращений к информации и на формирование профиля нормальной активности каждого пользователя, позволяющего установить, что именно разрешено ему делать, и сигнализировать при обнаружении ненормальной активности.

Продукты, предотвращающие выкачивание БД, помогут вам, например, поймать с поличным недобросовестного работника вашего отдела продаж, прежде чем он отберет из БД 10 тыс. ваших лучших клиентов, откланяется и перейдет на работу к конкуренту. Используя эти средства, вы сумеете сориентироваться в том, что следует считать обычной активностью пользователей в вашей организации. Переключив мониторы в режим наблюдения, вы можете отследить, какие системы извлекают из вашей главной БД большие объемы информации по клиентам и куда эта информация направляется, и таким образом получить представление о потенциальных каналах утечки данных. Кроме этого, возможна, например, такая ситуация, что у некоторых пользователей остаются активными СУБД-процессы и/или SQL-запросы, уже не являющиеся необходимыми, но никто не задумывается о том, что эти процессы нужно остановить (так как может прозойти утечка информации). Рассматриваемые продукты позволяют выявлять такие случаи.

Чем меньше копий конфиденциальных данных перемещается по сети организации, тем лучше. Поэтому используйте рассматриваемые продукты для обнаружения и прекращения процессов копирования данных, которые стали уже избыточными или ненужными. Если вы установите на ПК пользователей программы-агенты, то некоторые из этих средств смогут даже извещать вас о фактах копирования информации на съемные носители. Зная имя пользователя БД или его сетевое имя — в некоторых системах, — вы сможете ликвидировать “дыры” в вашей инфраструктуре, через которые возможна утечка данных.

По крайней мере один из известных нам продуктов — AppRadar компании Application Security насквозь “прошерстит” вашу сеть на предмет обнаружения всех экземпляров БД, чтобы помочь вам понять, где в вашей сети находятся данные и какие именно из них можно найти в каждом из экземпляров БД. Функциональные возможности вышеназванного продукта стоят тех денег, которые вы на него потратите, поскольку подразделения и отделы организации часто пользуются системами, о которых отдел ИТ и отдел безопасности даже не подозревают. Сейчас мы работаем над сравнительным обзором продуктов по предотвращению выкачивания БД. Он должен появиться в одном из ближайших номеров журнала.

Средства, функционирующие в тех местах, где данные покидают здание компании. Авторизованные пользователи иногда могут способствовать утечке данных случайно. Так, хотя, вообще-то, пересылка персональных данных по электронной почте не приветствуется, но сотрудникам службы по работе с клиентами часто разрешается делать это, а также пользоваться средствами оперативной пересылки сообщений (IM). Но что, если электронное сообщение, содержащее персональную информацию, будет отправлено не тому человеку? Или политика компании запрещает сотрудникам службы по работе с клиентами отправлять конфиденциальные данные по электронной почте и средствами IM, но они тем не менее это делают?

Продукты, предотвращающие выдачу информации из сети, предлагаются компаниями Cisco Systems, Fidelis Security Systems, Port Authority Technologies, Symantec и др. Они могут извещать вас о том, что конфиденциальные данные вышли за пределы здания или скопированы на съемный носитель. Эти средства также ведут протоколы активности пользователей. Они еще несовершенны, и злоумышленник, работающий в организации, может их обойти, используя разные порты, а также шифрование, определенные форматы файлов и выдачу данных по частям. Кроме того, не все продукты одинаковы: некоторые, в частности, не могут обнаруживать вывод информации на принтеры или на USB-устройства. Поинтересуйтесь у производителя о возможностях продукта поддерживать разные форматы данных и разные архитектуры.

Во главу угла следует ставить и пресечение утечек. Например, если конфиденциальная информация о клиенте уже отправлена через какой-то незадокументированный порт на сервер где-нибудь в Румынии, то много ли пользы в том, что вы об этом узнаете задним числом? То же самое можно сказать и о ситуации, когда сообщение с информацией о 1000 ваших клиентов уже было отправлено по электронной почте по адресу, находящемуся за пределами компании. Инструменты, пресекающие выдачу данных из сети, пытаются “взять отпечатки пальцев” у всей критической информации вашей организации, чтобы иметь возможность идентифицировать ее при перемещении по вашей сети. Некоторые из этих средств могут оборвать соответствующее соединение “на полпути”, тем самым спасая вас от неприятностей, связанных с потерей существенных объемов данных. Другие продукты позволяют вам самому устанавливать те или иные ограничения — например, такого типа: “разрешить отправку персональных данных одного человека на один адрес электронной почты; блокировать все попытки отправлять по электронной почте данные по группе клиентов”. Существуют продукты, которые способны анализировать информацию, передаваемую даже в виде архивированных файлов формата .zip, блокируя, таким образом, и этот путь утечки данных.

Все эти продукты имеют функцию ведения отчетов, а большинство из них — функцию оповещения о нарушениях установленной политики. Благодаря этому сокращается время, нужное для содержания системы в необходимом порядке, поскольку ограничивается объем подлежащей просмотру информации. Но ваша политика должна быть достаточно продуманной, чтобы предотвратить обход такой реагирующей на отклонения системы контроля при помощи разных хитроумных методов. Например, если ваша политика разрешает пересылку небольших порций данных, то злоумышленник может постепенно посылать данные об одном человеке на разрешенный адрес электронной почты один раз в час.

Еще одно преимущество систем, о которых идет речь, — то, что они могут сегрегировать доступ к данным разных подразделений вашей организации. Например, если у вас два отдела — коммерческий и некоммерческий — требуют строгого отслеживания их обращений к персональным данным, то эти устройства можно сконфигурировать так, чтобы контролировать обмен информацией между внутренними пользователями и даже информировать отдел ИТ, когда данные клиента отправляются на сетевой принтер. Благодаря этому блокируется еще один возможный путь утечки информации. Многие продукты также могут подавать сигнал тревоги, когда данные копируются на съемный носитель, что является очень важной функцией в наш век USB-брелоков емкостью 4 Гбайт.

Как и все системы безопасности, описанные системы дороги и сложны в установке и обслуживании. Так, отдел ИТ должен постоянно просматривать отчеты и следить за тем, чтобы конфигурация системы контроля все время соответствовала текущим условиям. Но мы считаем, что если вы сможете выделить время и силы для того, чтобы должным образом использовать эти системы, то они полностью окупятся.

Средства, работающие с данными, хранящимися за пределами компании. Эра шифрования для портативных компьютеров — настоящего шифрования, которое нельзя обойти, подключив диск к другой системе и взломав методом “грубой силы”, — наконец наступила. Такие производители, как Intel, PGP и др., применяют самые разнообразные технологии, чтобы защитить ваши данные, когда они находятся “дома” и вне “его”. Есть продукты, значительно усложняющие хищение информации с дисков, и успехи в развитии системных плат и контроллеров скоро позволят ставить задачу следующим образом: зашифровать данный диск так, чтобы им можно было пользоваться только на одном конкретном ПК, и только после ввода пароля. Двухфакторная аутентификация — это большое дело, поскольку, если аутентификация наполовину “привязана”, по сути, к “железу”, взлом должен осуществляться только на той машине, к которой она (аутентификация) была применена.

Мы также наблюдаем появление новых USB-технологий — например, от компании Kingston, — которые зашифровывают данные прямо на USB-носителе. Это позволяет, в частности, коммивояжерам выносить информацию за пределы здания, но при этом она остается в значительной степени защищенной. Такие устройства дороже обычных USB-устройств хранения данных, но они стоят потраченных денег, если данные должны выноситься за пределы здания, а вы не хотите полностью зашифровывать жесткие диски всех ноутбуков компании. Даже в случае шифровки хозяин утерянного ноутбука не может перекрыть все пути утечки информации — остаются, например, временные файлы и т. п. Но захочет ли взломщик этим заниматься? Ведь у него есть более легкие возможности. Тут все дело в степени риска, однако, как мы говорили в предыдущем тематическом обзоре “Оценка рисков при выработке стратегии безопасности ИТ”, полностью устранить риск можно, лишь уйдя из бизнеса (см.: Сети и системы связи. 2006. № 12. С. 90).

Что касается шифрования данных, хранящихся вне территории компании, то в статье, которую вы найдете по адресу nwc.com/showitem.jhtml?docid=1624f1, мы обсудили шифрование на накопителях на магнитной ленте и проанализировали плюсы и минусы трех технологий обеспечения информационной безопасности: шифрование хранимых данных средствами хоста, шифрование средствами внутритрактовых устройств и применение накопителей на магнитной ленте с автоматическим шифрованием (см. nwc.com/showitem.jhtml?docid=1624f2).

В случае если лента покидает здание, то, даже если она попадет по назначению, никогда нельзя быть уверенным, что ее не скопировали по пути. Системы шифрования на магнитных лентах компаний Cisco, Imation, NetApp/Decru и многих других обеспечивают по крайней мере некоторый уровень защиты: они затрудняют кражу персональной информации — и это лучшее, на что можно рассчитывать сегодня. Узнайте у производителя вашей системы шифрования на магнитных лентах, где хранятся шифровальные ключи (некоторые производители хранят их в зашифрованном виде на самой ленте, что мы считаем плохой идеей), и обсудите с ним проблему долговременного хранения ключей. Если у вас есть ленты, которые нужно будет расшифровать через 5 или 50 лет, то вы должны быть уверены, что у производителя имеется механизм, гарантирующий долговременное хранение ключей, позволяющих это сделать.

Игры кончились

Федеральная комиссия по торговле недавно пришла к мировому соглашению с компанией ChoicePoint, которая предположительно нечаянно позволила злоумышленникам получить доступ к файлам 160 тыс. своих клиентов. Какова цена этой небрежности? 10 млн долл. выплат по гражданско-правовым санкциям и 5 млн долл. в качестве возмещения ущерба клиентам-жертвам, по 93,75 долл. каждому пострадавшему. Так на что вы собираетесь тратить больше времени и денег: на конкретные меры по поддержанию защиты персональных данных клиентов от любопытных глаз или на защиту от вирусов? Предотвращение утечки персональной информации становится для администраторов служб безопасности все более и более важным делом по сравнению с защитой систем. Конечно, мы должны выполнять обе задачи, но действительность такова, что “зараженную” систему можно переинсталлировать и восстановить, но ничто не поможет вернуть украденную конфиденциальную информацию..





  
14 '2006
СОДЕРЖАНИЕ

бизнес

• Конец эпохи тотального ИТ-контроля

• Стратегии выживания системного администратора в малой компании

• Oracle предлагает Linux неуязвимый

инфраструктура

• Модификация процессоров помогает осуществлять виртуализацию

• Горячие проблемы ЦОДов

• Предпроект в строительстве ЦОДа

информационные системы

• Алхимия данных

• Как нам лучше всего назвать call-центр

• Практическая экономика контакт-центров

• XBRL устанавливает стандарт отчетности

• «Инфоком—2006»: от Москвы до Екатеринбурга

кабельные системы

• Аудио- и видеобалуны расширяют применение UTP-проводки

• Анализ событий на рефлектограмме

сети связи

• Выполнение программы «Тетрарус»

• Сетевое видеонаблюдение

защита данных

• Массированное вторжение похитителей персональной информации

• Поможет ли вам шифрование не потерять работу?

• Поставщики решений NAC готовятся к наступлению

• Не следует игнорировать приложения Open-Source

новые продукты

• Новый компактный медиашлюз I-Gate


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх