|
|
Обзор
Телеком 2008Обзор подготовлен
При поддержке
Утечка информации является повышенным фактором риска для телеком-компаний. При построении системы защиты следует учитывать как существование различных по уровню влияния типов данных, так и необходимость ювелирного разделения доступа и прав пользователей. В этой связи в каждом конкретном случае эффективнее использовать свой метод DLP.
На предприятиях телекоммуникационной отрасли встречаются различные злоупотребления с использованием санкционированного доступа, как специфические для отрасли — мошенничество с биллингом, хищение абонентской базы и распечаток переговоров абонентов, так и характерные для любого бизнеса хищения финансовой, деловой и любой другой чувствительной информации, представляющей интерес для рынка, конкурентов, спецслужб и преступного сообщества.
Средства массовой информации еженедельно сообщают об огромных убытках компаний, потерявших персональные данные или интеллектуальную собственность из-за злоупотреблений или халатности легальных пользователей. Информация о случаях потери данных российскими компаниями не так часто становится достоянием широкой публики, однако участники рынка информационной безопасности считают, что в России масштаб утечек вряд ли меньше.
Каждая компания выбирает собственную стратегию защиты от внутренних угроз, исходя из имеющихся ресурсов и ценности информации. Техническим аспектам борьбы с инсайдерами посвящено достаточно много обзоров. Каждый производитель программного обеспечения нахваливает свои технологии, однако на рынке остро чувствуется недостаток системного подхода к этой проблеме.
Современный подход к этой проблеме в терминах "ловит — не ловит" и "как обойти" конкретное решение связан с тем, что на рынок продуктов для внутренней безопасности выходят компании, ранее выпускавшие или продававшие решения для защиты от внешних угроз, ориентированные на продажу "коробочных" продуктов. Однако просто купить и развернуть программный комплекс не получится - большая часть работы здесь должна быть выполнена самим заказчиком.
Матрица используемых в телекоме технологий DLP
Нарушитель \ Объект защиты | Топ-менеджер | Офисный сотрудник | Оператор приложения | Привилегированный пользователь |
Системообразующее приложение (биллинг) | Нет доступа | Нет доступа | Терминальный доступ, аудит запросов к БД | Правило "двух рук", журналирование |
Система корпоративной отчетности | Архив контента | Контроль доступа, DLP | Нет доступа | Правило "двух рук", журналирование |
Финансовая система | Приемлемый риск | Нет доступа | Терминальный доступ, аудит запросов к БД | Правило "двух рук", журналирование |
Кадровая система | Нет доступа | Нет доступа | Терминальный доступ, выделенный сегмент сети | Правило "двух рук", журналирование |
Корпоративный портал | Приемлемый риск | DLP | Нет доступа | Правило "двух рук", журналирование |
Система документооборота | Встроенные средства защиты | Встроенные средства защиты, DLP | Встроенные средства защиты | Правило "двух рук", журналирование |
Почтовая система | DLP, Почтовый архив | DLP | Нет доступа | Правило "двух рук", журналирование |
Информация на локальных компьютерах | Шифрование | DLP | Нет доступа | Правило "двух рук", журналирование |
Резервные копии | Нет доступа | Нет доступа | Нет доступа | Анонимизация, Шифрование |
Источник: InfoWatch, 2008
Задача борьбы с внутренними нарушителями не сводится к выбору какого-либо универсального ПО, каким бы оно не было хорошим, а представляет собой регулярную рутинную работу службы информационной безопасности заказчика с использованием целого ряда технических и организационных средств.
Данные, хранящиеся и циркулирующие в информационной системе телекоммуникационной компании, по уровню влияния на бизнес можно разделить на три типа — стратегические, тактические и оперативные.
Стратегические данные — та информация, потеря которой критична для бизнеса. Это данные, за оборотом которых следят регуляторы. В первую очередь к этой группе относятся персональные данные абонентов, особенно консолидированные в массивы базы данных. Также к этой группе можно отнести информацию об операциях абонента и состоянии его счета. Согласно недавно принятому закону, к этой группе должны быть отнесены и персональные данные сотрудников компании.
Такие данные обычно хранятся в биллинговой системе на базе промышленной СУБД, которая сама по себе обладает хорошей защищенностью. Но поскольку доступ к этой системе в той или иной мере обладает практически каждый сотрудник оператора связи, в этом случае невозможно быть "излишне защищенным", поэтому к построению защиты от злоупотребления санкционированным доступом к биллинговой системе нужно подходить с особой тщательностью.
Тактические данные — чувствительные данные, от оборота которых зависит бизнес компании, но их важность определяет владелец, т.е. сама компания, а не регулятор. К этой группе можно отнести информацию, составляющую коммерческую тайну — финансовую информацию, описание тарифной политики и планирующихся маркетинговых программ, внутренний документооборот и другие типы данных, которые позволяют компании отличаться от клиентов и успешно конкурировать на рынке телекоммуникационных услуг. Также к этому типу защищаемой информации можно отнести хранящуюся в цифровом виде интеллектуальную собственность компании.
Такие данные обычно хранятся в специализированных приложениях. Это могут быть системы документооборота или финансов, корпоративный web-портал или просто некое файловое (документное) хранилище. Доступ к этим приложениям имеет определенная группа людей, вовлеченных в процесс создания и обработки этой информации. Для каждого приложения можно определить круг допущенных к критическим данным лиц и выработать свод правил использования санкционированного доступа.
Оперативные данные — неформализованные и неконсолидированные чувствительные данные, создающиеся и изменяющиеся вне защищенных корпоративных систем. К ним можно отнести информацию, хранящуюся на локальных рабочих местах, почтовые сообщения, циркулирующие в корпоративной почтовой системе или системах обмена сообщениями, публикации на внутрикорпоративных блогах, wiki-серверах, специализированных внешних сайтах к которым сотрудникам разрешен доступ и т.д.
Хотя эти данные не систематизированы и чаще всего невелики по размеру, они хранятся и передвигаются внутри и вовне информационной системы. Поэтому они довольно трудно поддаются контролю. К тому же там могут содержаться выдержки из описанных выше чувствительных данных, и за их оборотом необходимо следить с не меньшим вниманием.
Теперь от вопроса "что защищать" необходимо перейти к вопросу "от кого защищать". Существует классификация, делящая пользователей информационной системы на четыре типа — топ-менеджер, универсальный пользователь, оператор и привилегированный пользователь.
Самый "неудобный" тип пользователя — топ-менеджер. Он с большим трудом поддается управлению административными мерами, ценит доступность информации много выше ее конфиденциальности и чаще всего мобилен. При этом именно на его ноутбуке или коммуникаторе может храниться информация, за которую бы дорого заплатили конкуренты. Конечно, вряд ли топ-менеджер компании будет держать на своем компьютере стратегические данные. Но, с другой стороны, практически вся информация на нем представляет коммерческую тайну. К тому же, с его мобильного компьютера наверняка можно удаленно войти в почтовую, финансовую и отчетную систему компании. Поэтому потерянный топ-менеджером ноутбук может привести к очень неприятным последствиям.
Ввиду такой постановки задачи техническое решение по защите от злоупотреблений вообще не имеет смысла, поскольку любые ограничения при внедрении технических решений воспринимаются этой категорией пользователей "в штыки". Даже попытка лишения такого пользователя прав локального администратора обычно заканчивается неудачей — такой пользователь хочет иметь возможность самостоятельно устанавливать на свой мобильный компьютер драйверы устройств и новое программное обеспечение, и у него обычно для обоснования этого есть весьма весомые аргументы.
Многие компании исключают топ-менеджеров из числа злонамеренных нарушителей, переводя их в категорию "доверенных пользователей". Это означает, что риски по злонамеренной утечке информации принимаются, а не уменьшаются. Таких пользователей обычно защищают только от случайных (халатных или незлонамеренных утечек) утечек, в том числе и от потери ноутбука или сменного носителя. Наиболее часто применяемое решение для этой цели — сочетание защиты от неавторизованного пользователя с двухфакторной идентификацией, зачастую с использованием биометрии, со стойким прозрачным шифрованием пользовательских областей диска и временных файлов или же всего диска. Решение по приему таких рисков оправдано, поскольку число подобных пользователей невелико, обычно не более двух десятков. К тому же, такие пользователи, с одной стороны, обычно сильно мотивированы на успех компании, а с другой — осознают ответственность за разглашение чувствительных данных.
Следующий тип потенциального нарушителя – универсальный пользователь. К этому типу сотрудников можно отнести практически всех офисных работников. Такие пользователи характеризуются наличием доступа ко многим корпоративным приложениям, а также к большинству каналов возможной утечки информации — электронной почте, сменным носителям, доступом в интернет, возможностью печати больших объемов данных, системам мгновенного обмена сообщениями и т.д. Эти сотрудники в телекоммуникационных компаниях составляют большинство пользователей информационной системы.
Данную категорию довольно легко лишить возможности устанавливать и запускать потенциально опасные программы, к которым можно отнести не только программы шифрования, но и нештатные файловые менеджеры, позволяющие видеть временные файлы операционной системы, графические и видео-редакторы, позволяющие прятать в избыточных аудио- и видеофайлах большие объемы текста и т.д. Оставив для офисной работы корпоративные клиент-серверные приложения и локальные офисные программы, такого пользователя довольно легко контролировать на предмет защиты от утечек.
Именно на этих пользователей рассчитано большинство присутствующих на рынке решений, именуемых в разных источниках ILP — (Information Leakage Protection), DLP (Data Loss Protection) или IPC (Information Protection & Control). В России больше распространен термин DLP, поэтому будем в дальнейшем придерживаться его. Этот тип решений позволяет контролировать использование и перемещение информации на базе анализа атрибутов файла-контейнера (имени, типа, даты создания или изменения, автора, размера и т.д.), программных меток или содержимого контейнера (лингвистический анализ или цифровые отпечатки). Когда форматы файлов, с которыми работают пользователи, и содержимое этих файлов, которое не должно покидать информационную систему, известно заранее, то DLP-решения показывают исключительную эффективность.
Третий тип потенциального нарушителя — оператор приложения. У связистов это чаще всего сотрудники call-центра или иной службы работы с абонентами. Их роль в корпоративной информационной сети описывается следующим поведением: достаточно полный доступ к ключевому приложению (в большинстве случаев — биллинговой системе, хотя та же модель работает, например, с сотрудниками бухгалтерии, имеющим доступ к финансовой системе). При этом доступ к другим приложениям недоступен или очень ограничен. Действительно, сегодняшние "системообразующие" приложения позволяют формировать, распечатывать или отправлять в виде почтового сообщения любые документы, используя только собственные ресурсы.
Таких сотрудников проще контролировать средствами самого приложения, минимизируя возможность похищения данных с клиентской рабочей станции. Безусловно, эти пользователи не должны иметь прав локального администратора, открытых портов обмена данными, кроме сетевого, не говоря уже о доступе в интернет. Большинство тиражируемых биллинговых приложений позволяют организовывать терминальный доступ к серверной части, выдавая информацию на клиентскую часть в некопируемом формате.
При кажущейся простоте и действенности таких методов защиты операторских рабочих мест, злоупотребления операторов биллинговых систем наиболее часто фигурируют в сводках внутренних расследований и даже уголовных дел. И дело вовсе не в слабости технических средств защиты. Обычно операторы — самые низкооплачиваемые сотрудники. Лицам и организациям, заинтересованным в незаконном получении информации от операторов, удается их подкупить или запугать. Поскольку наиболее частое злоупотребление оператора — хищение информации о переговорах конкретного абонента, им довольно легко имитировать клиентские запросы к интересующей "покупателя" информации. А может даже им вообще и не надо пытаться похитить эту информацию в электронном виде, а всего лишь запомнить ее или переписать с экрана. Здесь уместна аналогия с банками, поскольку чаще всего имеющие сторонние интересы операторы АБС ничего не похищают, лишь сообщают "покупателям" о движении средств по определенным счетам.
Против таких нарушений даже самые совершенные технические средства бессильны. Поэтому защита остроится на регулярном аудите запросов операторов к базе данных средствами приложения, СУБД или специализированного программного обеспечения. Остальное — кадровая и оперативная работа.
Известны случаи превентивного "провокационного" поведения службы безопасности. У источника, утверждающего, что за определенную сумму он может раздобыть распечатку переговоров конкретного абонента конкретного оператора (это может быть частное охранное предприятие или даже анонимный сайт в сети), делается "контрольная закупка" определенной информации. Затем служба информационной безопасности оператора связи в биллинговой системе отслеживает, кто из сотрудников оператора запросил эту информацию, а потом при передаче информации его задерживают с поличным сотрудники милиции. Описания подобных операций время от времени проходят в средствах массовой информации, а значит, эта практика находит свое применение.
Особое место в ряду "системообразующих" приложений являются приложения, хранящие консолидированные персональные данные. В телекоме это — биллинг и кадровая система. Закон требует, чтобы такие системы были "гальванически изолированы" от корпоративной сети. Вкупе с вышеупомянутыми средствами контроля операторов приложений обработка данных в изолированной среде только усиливает эффект защиты от злоупотреблений санкционированным доступом.
Последним рассматриваемым типом потенциального нарушителя является привилегированный пользователь — системный администратор, офицер информационной безопасности, внутренний аудитор информационной системы. Очевидно, что контролировать таких пользователей при помощи тех же технических средств, что применяются для контроля первых трех типов потенциальных нарушителей абсолютно неэффективно. Поскольку эти сотрудники обладают правами снимать любые процессы, они легко могут снять или приостановить любые следящие или запрещающие процессы.
Тем более удивительно читать серьезные исследования по поводу того, как внутренний нарушитель с правами системного администратора может легко обойти все вышеупомянутые технические системы защиты (системы управления доступом, криптографические системы, системы DRM, DLP и аудиторы баз данных). Для защиты от злоупотреблений привилегированных пользователей в операторах связи используются совершенно другие комбинации технических и организационных мер.
К таким мерам можно отнести "правило двух рук", когда ни одну потенциальную опасную операцию не может выполнить один человек. Иногда эта схема реализована через два разных пароля (или две части одного пароля), который должны ввести два сотрудника, лучше всего — с территориально разнесенных рабочих мест. Иногда один сотрудник проводит операцию, а другой подтверждает изменения. Технически эти решения реализованы практически в каждом корпоративном приложении, нужно их лишь активировать.
Также немаловажным элементом профилактики злоупотреблений подобных пользователей является постоянный аудит выдаваемых привилегированных прав доступа. Особое внимание следует обратить на то, чтобы ни один сотрудник компании не мог одновременно иметь права на доступ к ресурсу и права на редактирование журнала обращений к этому ресурсу. Для такого аудита существуют специальное программное обеспечение, часто оно встраивается в систему управления доступом предприятия.
Также пристальное внимание следует обратить на создание и хранение резервных копий. Действительно, зачем рискуя работой, а то и свободой, залезать в защищенные приложения, если можно вынести на ночь резервную копию, продублировать ее и утром вернуть? Эксперты пока не пришли к единому мнению, стоит ли шифровать резервные копии или нет.
Доводы "за" и "против" выглядят приблизительно так: поскольку резервные копии хранятся на ленточных носителях, иногда они дают сбой. Сбой на незашифрованном носителе приводит к потере нескольких символов, а на зашифрованном — всего зашифрованного сегмента. Поэтому шифрование резервных копий приходится дублировать. Однозначного решения пока не придумано — часть компаний хранят резервные копии в зашифрованном виде, часть — в открытом.
Все сходятся лишь в одном — необходимо анонимизировать процесс хранения резервных копий, т.е. разделить системных администраторов на тех, кто знает, что лежит на носителе и на тех, кто имеет к носителям физический доступ. Такие подходы реализованы в промышленных дата-центрах и демонстрируются заказчикам как часть защиты от похищения информации. Поэтому к такому типу защиты склоняются и многие корпоративные пользователи.
Если суммировать все вышесказанное о привилегированном пользователе, приходится констатировать, что в его отношении можно создать лишь эффективную систему "неотвратимости наказания". Т.е. технически помешать привилегированному пользователю очень сложно, однако технически доступно сохранять все записи о его поведении в информационной системе. Зная, что каждый его шаг записывается, только хорошо мотивированный и специально обученный системный администратор может решиться на прямое нарушение.
Это правило, кстати, касается не только системных администраторов. Многие компании уже сейчас архивируют переписку сотрудников и копии файлов, скопированных ими на сменные носители (так называемое "теневое копирование"). Имея достаточно большие архивы, хранящие иногда многие терабайты, со сложными и даже полнотекстовыми индексами, сотрудники безопасности компании получают мощные инструменты анализа. Кроме сбора доказательств о совершившихся утечках информации, реализованных сотрудниками компании, эти архивы позволяют находить и другие злоупотребления — коррупцию, работу на конкурента, нецелевое использование ресурсов компании и т.д.
Нельзя также сбрасывать со счетов программы повышения лояльности сотрудников, повышение их бдительности, и информированности о возможностях манипулирования ими. Как и любая безопасность, внутренняя ИБ — сложное сочетание технических, организационных, юридических и психологических мер.
Главное — понять, что защита от злоупотреблений при санкционированном доступе к корпоративной информации не начинается и даже не заканчивается выбором уникального программного обеспечения, а представляет из себя комплексный процесс контроля создания, хранения и движения информации в компании. Опыт пионеров реализации сотен таких проектов, в том числе, и в отраслеобразующих предприятиях практически всех отраслей экономики России, показывает, что проекты по решению этой задачи могут быть успешно реализованы, они приносят реальную пользу бизнесу и государственным органам. Думается, что в ближайшие годы такие проекты перестанут быть экзотикой и займут свое место в общей системе информационной безопасности предприятия.
Рустэм Хайретдинов