Руководство по утечке информации

О чем речь? Утечка информации – это несанкционированное распространение данных. Несмотря на то, что подобная кража всегда имеет негативные последствия для компании, риски ее возникновения практически невозможно снизить до нуля.

Как предотвратить? Тем не менее, это вовсе не означает, что ничего сделать нельзя. Совмещение грамотной кадровой политики, обучения в сфере информационной безопасности, современных средств защиты позволит значительно снизить вероятность утечки.

Суть утечки информации

Термин «утечка информации» используется для обозначения бесконтрольного распространения важных сведений за пределы компании, объекта, круга лиц, имеющих разрешение на доступ к определенным данным. При выявлении таких фактов необходимо оперативное вмешательство. Безусловно, лучшим вариантом решения подобных проблем является проведение превентивных мероприятий для предотвращения утечки той информации, которая попадает в категорию «ограниченного доступа».

На данном этапе развития технологий доступны четыре средства для передачи информации: лучи света, физические носители (фото, бумага, магнитные накопители и т.д.), звуковые и электромагнитные волны. Все они выступают компонентами систем связи, включающих в обязательном порядке:

• источник данных;
• ретранслятор;
• канал передачи данных;
• приемник;
• объект, получающий сведения.

При использовании одного или нескольких средств передачи данных, которые перечислены выше, человек может случайно или преднамеренно инициировать процесс утечки информации.

В связи с этим возникает необходимость организации контроля, который позволит сделать процесс передачи данных быстрым, надежным и безопасным. В случае отсутствия необходимого уровня защищенности канала передачи данных, когда сведения транслируются без ведома их источника, его называют каналом утечки информации.

Причины утечек информации

Самые распространенные причины утечки информации:

• Недостаточная защищенность чужой информации доверенной стороной.
• Неумелое обращение с системами хранения данных (технические причины).

Такие причины имеют место при наличии условий, допускающих утечку:

• Недостаточный уровень компетенции сотрудников, которые работают в сфере защиты информации, их недопонимание важности сохранности данных, а также безответственное отношение к своей деятельности.
• Использование нелицензионного ПО или не прошедших аттестацию программ по защите клиентов и личных данных.
• Недостаточный контроль над средствами защиты важных сведений.
• Высокая текучка кадров, задействованных в данной сфере деятельности.

Скачать файл

Если произошла утечка информации, то вина за это лежит на работниках и руководителях организации, которая должна была заниматься ее защитой. Атаки злоумышленников можно предотвратить при соответствующем уровне компетентности и профессионализма сотрудников. Отметим, что существуют ситуации, на которые организация, отвечающая за сохранность данных, повлиять не может:

• Глобальные катастрофы.
• Природные катаклизмы.
• Неполадки на техстанциях, выход аппаратуры из строя.
• Неподходящий климат.

Типы каналов утечки информации

Каналы утечки информации — варианты и направления перемещения данных из системы; нежелательная цепочка информационных носителей, один или несколько элементов которой являются нарушителями прав на обработку данных или относятся к разряду специальной аппаратуры для их хищения. Выступают в качестве основного компонента в системе защиты данных и являются фактором информационной безопасности.

Различные виды каналов утечек информации разделяют на две группы: прямые и косвенные. Во вторую группу входят цепочки, которые не запрашивают доступ к специальной аппаратуре информационной системы. Прямым каналам необходим доступ к аппаратному оборудованию.

Приведем примеры косвенных каналов утечки информации:

• Пропажа, кража или утеря информационного накопителя, исследование неудаленной корзины.
• Прослушивание, дистанционные снимки.
• Перехват электромагнитных устройств.

Примеры прямых каналов утечки информации:

• Человеческий фактор. Утечка данных из-за несоблюдения режима коммерческой тайны.
• Непосредственное копирование данных.

Каналы утечки данных разделяют по физическим параметрам и особенностям функционирования:

• звуковые – прослушивающие устройства, запись, подслушивание;
• звуко-электрические — получение данных посредством звуковых волн с последующей пересылкой через электрические сети;
• вибро-звуковые — сигналы, которые появляются в результате преобразования звуковых волн при их воздействии на элементы строительных конструкций или инженерных систем;
• оптические: фото и видеосъемка, визуальное наблюдение;
• электромагнитные — получение информации путем снятия индуктивных наводок;
• радио- и электро-сигналы от встроенных подслушивающих систем;
• материальные — предоставление данных на бумаге или других информационных носителях.

Каналы технической утечки информации в зависимости от вида систем связи разделяются на:

• Электромагнитный

Преобразованные информационным сигналом электромагнитные излучения передающих средств связи могут быть перехвачены мобильной аппаратурой служб радиоразведки и передаваться в специальный центр для обработки и расшифровки данных. Такой канал пользуется большой популярностью для подслушивания разговоров по мобильным устройствам или обычному телефону.

• Электрический

Этот канал также используется для перехвата разговор по телефону. В процессе подслушивания вся информация сразу может записываться на специальные устройства и потом передаваться по радиосвязи в центр для ее обработки и анализа.

• Индукционный

Канал для перехвата данных, который не требует прямого подключения к системам связи. Информационные элетросигналы при прохождении по проводам формируют электромагнитное поле, что создает условия для перехвата с помощью индукционных датчиков (используются для съема сигналов с симметричных кабелей высокой частоты).

Сигналы, перехваченные датчиками, усиливают, разделяют частотные каналы и информацию, которая передается по отдельным каналам, и сохраняют на записывающем устройстве или записывают высокочастотный сигнал на специальное оборудование.

Технические каналы утечки информации бывают естественными и искусственно созданными. Первый вид появляется в ходе обработки данных специальными средствами (электромагнитные каналы) в результате формирования побочных излучений.

Кроме того, естественные каналы появляются из-за наводок информационных сигналов в проводах электрического питания устройства обработки данных, соединительных линиях дополнительного оборудования и систем (ВТСС), а также в сторонних проводниках (низковольтные сигналы утечки данных).

Второй вид каналов утечки информации появляется в результате внедрения в системы информационной обработки электронных приспособлений, обеспечивающих перехват данных, или является результатом высокочастотного облучения средств информационной обработки.

5 признаков уязвимости информации в компании

• Не сформирована корпоративная концепция в сфере безопасности

Отсутствие продуманной концепции корпоративной безопасности и мер по реализации режима охраны коммерческой тайны несет потенциальную угрозу утечки информации. Разработка политики компании в этой сфере дает понимание каждому сотруднику, как работает система и что он должен делать для контроля передачи данных.

В свою очередь, режим коммерческой тайны приводит политику информационной безопасности в соответствие правовым нормам. Разработка корпоративной концепции в данной сфере позволит перейти от пустых слов к системе задокументированных правил.

• Высокий уровень текучести кадров или сокращение

В перечне следствий кризисных явлений, которые мы наблюдаем в последнее время, особое место занимают высокий уровень ротации специалистов и массовые сокращения работников на предприятиях. Такая ситуация создает угрозу утечки информации. В состоянии недовольства своим увольнением сотрудники могут способствовать неконтролируемому вытеканию конфиденциальных данных.

Высокий уровень кадровой текучести негативно влияет на мотивацию специалистов. Компании предпринимают разные шаги для решения таких проблем. Прежде всего, они пытаются усилить контроль увольняющихся работников и сотрудников, понижаемых в должности или заработной плате. Для этого используется специальное программное обеспечение (к примеру, SecureTower).

Кроме того, проводятся работы разъяснительного характера в трудовых коллективах. Суть таких мероприятий состоит в напоминании об ответственности в случае разглашения коммерческой тайны, которая, как правило, предусмотрена трудовыми договорами. Понимание работником последствий таких действий часто помогает избежать утечки информации.

• Соцсети, мессенджеры, email

Развитие интернет-технологий оказывает непосредственное влияние на поведение сотрудников компаний на рабочем месте. Сегодня большинство коммуникаций совершаются с использованием различных чатов и социальных сетей. Работники, которые не имеют отношения к интернет-среде, встречаются все реже. Всего лишь десятилетие назад работа онлайн была уделом квалифицированных кадров, поэтому и угроз утечки информации было значительно меньше.

Теперь же сотрудники стали более подготовленными, а риски для информационной безопасности значительно возросли. Социальные сети, электронная почта и мессенджеры сегодня становятся основными каналами утечки информации. Ситуацию, когда они не контролируются на предприятии, можно сравнить с автомобилем, который стоит на улице с включенным зажиганием без присмотра.

• Деловые поездки и командировки

На предприятиях есть работники, которые много времени проводят в командировках, часто организуют встречи с партнерами, поставщиками и клиентами. Это еще одна угроза утечки информации. На деловые встречи и в командировки сотрудники могут брать с собой корпоративные планшеты или ноутбуки для организации презентаций и решения других задач. Все это может привести к утечке конфиденциальной информации с серьезными последствиями для бизнеса.

Необходим контроль сотрудников, которые часто находятся за пределами предприятия. Для этого используется программное обеспечение, способное работать в автономном режиме и хранить всю информацию о работе специалиста на корпоративной компьютерной технике в ходе командировки.

После возвращения такого сотрудника специалист службы безопасности может проверить, имела ли место утечка информации, составляющей коммерческую тайну, или были нарушены требования корпоративной безопасности. К примеру, работник в ходе деловой поездки совершил запрещенную внутренними инструкциями отправку документов на USB-накопитель.

• Неконтролируемый оборот документов на предприятии

Необходимо принять меры по ограничению доступа к важной информации тех сотрудников компании, должностные обязанности которых не предполагают работу с такими данными. На предприятии должен внедряться контроль документации, позволяющий предотвратить ее попадание к посторонним. Собственники бизнеса и руководители фирм не всегда имеют представление о том, какие последствия их ожидают в том случае, если документация их предприятия окажется в руках определенных лиц.

Нередко важные конфиденциальные документы становятся общедоступными. Нужно определить список реальной важной информации и сведений, которые не должны попадать к посторонним., сделать разграничение прав доступа и внедрить процедуры обращения с коммерческой тайной. Только так можно предотвратить утечку информации и наказать виновных, если это все же произойдет.

Здесь перечислен далеко не полный список признаков наличия угроз утечки информации, требующих внимательного отношения со стороны руководителей компаний. Если, изучая его, вы вспомнили о фактах из жизни своей фирмы, возможно, ваше предприятия уже находится в зоне риска. Значит, нужно срочно предпринять меры по укреплению информационной безопасности.

Первые действия при обнаружении утечки информации

При выявлении подтвержденного случая утечки информации можно говорить о необходимости реформы внутренней системы информационной безопасности. Нужно проанализировать некоторые характеристики инцидента. Это поможет устранить последствия утечки информации и предотвратить такие факты в будущем. Следует выяснить:

• Какие данные и в каком объеме потеряли конфиденциальность.
• Когда произошла утечка и сколько времени прошло до ее выявления. Если о таком факте вы получаете сведения от сторонних лиц, можно говорить о наличии существенных «пробоин» в системе безопасности информации.
• Кто допустил утечку данных или являлся ее организатором, какие преследовал цели.
• Кто и каким образом воспользовался конфиденциальными данными.

После установления всех обстоятельств инцидента следует быстро исправлять ситуацию. Важно не просто устранить последствия утечки информации, а сделать все необходимое, чтобы такая ситуация не повторилась.

Определение размеров утечки

О факте хищения данных можно узнать от работника компании, который его заметил, или с помощью сигналов специального программного обеспечения. В первом случае для устранения последствий инцидента нужно найти виновника и рассказать ему, какие меры наказания могут быть приняты за создание угрозы информационной безопасности. После этого необходимо предпринять меры для дополнительной защиты канала утечки данных.

Теперь рассмотрим ситуацию, когда факт хищения информации был установлен системой DLP, осуществляющей контроль информационных каналов. Аналитический функционал системы обеспечивает фиксацию всех перемещений данных. При этом возможности обойти такой контроль нет. Система DLP способна выявить нарушения, даже если работник будет отправлять данные скриншотами в личной переписке со своего смартфона. Злоумышленник будет выявлен и понесет соответствующее наказание.

Напоминаем, что хищение информации является правонарушением, за которое виновник может быть приговорен к лишению свободы. Примеры таких ситуаций, которые происходят с предприимчивыми людьми, не знающими норм закона, встречаются в разных странах мира.

Поиск виновных

Утечка данных может быть преднамеренной или непреднамеренной. Рассмотрим потенциальные варианты случайной утери конфиденциальной информации:

• Работник, не подумав, открыл е-мейл со спамом, перешел по вредоносной ссылке, что позволило вирусной программе загрузиться на рабочем ПК. В результате произошла утечка части базы данных.
• Из-за редкой смены паролей или использования одного пароля для нескольких сервисов мошенники получили доступ к конфиденциальным данным.
• Работник отправил важную информацию, используя незащищенную вай-фай сеть в кафе, в результате чего она попала в открытый доступ.

Преднамеренная утечка информации отличается продуманным характером. При этом, такие случаи можно отслеживать и пресекать. Рассмотрим некоторые варианты таких утечек:

• Работник записал важную информацию на флэшку или дисковый накопитель, а затем вынес ее за пределы организации.
• Сотрудник осуществлял передачу секретных данных через личный мобильный телефон или планшет посторонним лицам, объясняя это тем, что на его персональные устройства не распространяются требования информационной безопасности.

В каждом из описанных выше примеров выявление виновных может обеспечить правильно настроенная система безопасности информации.

Устранение последствий утечки данных

После установления факта утечки информации следует предпринять ряд первоочередных мер:

• точно установить каналы, где произошла потеря данных, что обезопасить их в будущем;
• выявить виновных и применить к ним соответствующее наказание;
• провести стабилизационные мероприятия в соответствии с последствиями утечки информации: сообщить об инциденте партнерам, клиентам, а в особых случаях прокомментировать ситуацию в СМИ.

5 принципов информационной безопасности компании

• «Принцип системного подхода»

К вопросу защищенности информации от утечки следует подходить комплексно, начиная с отбора сотрудников, их обучения и заканчивая внедрением правил работы (сейчас речь не о технических нормативах, а больше о бытовых, к примеру, «важную документацию на рабочем столе нельзя складывать лицевой стороной вверх»).

На предприятии необходимо внедрить нормативы общения по телефонам, порядок идентификации посетителей и тех, кто звонит сотрудникам компании. Уже после этого можно переходить к разработке системы информационной безопасности, включающей сеть, компьютерное оборудование и технологии.

• «Принцип информационного шума»

Не следует быть полностью уверенным в собственной защищенности. Не стоит доверять важные и конфиденциальные данные различным носителям, облачным сервисам, шифрам и т.д. Важно понимать, что корпоративная информация может попасть посторонним лицам, поэтому она должна представляться в такой форме, чтобы несведущему человеку было сложно в ней разобраться.

• «Принцип разделения информации»

В организации только руководитель должен знать всю информацию о защите информации от утечки. В этом случае злоумышленнику придется собирать обрывки данных из большого числа источников.

• «Принцип раскладывания по разным корзинам»

Пробуйте хранить и пересылать данные, используя несколько каналов. К примеру, никому не отправляйте одновременно логин и пароль. Пароль можно отправить по внутренней защищенной почте, а логин сообщить лично по телефону.

• «Принцип здоровой паранойи»

Адекватная паранойя может свести утечку данных на нет. Нужно подозревать всех, не стоит думать, что современные технологии могут все. Помните, что любая информация может попасть посторонним. Попробуйте подстроить «учебную» утечку информации, а потом проследить за действиями персонала и определить виновника.

Профилактика утечки информации

Существует много способов, которые фирма может использовать для минимизации риска утечки данных. Приведем ряд действий, которые позволят повысить уровень информационной безопасности:

• Внедрение концепции безопасности

Чтобы снизить риск утечки информации, важно разработать и внедрить политику в сфере безопасности. Кроме защиты конфиденциальных данных, она должна обеспечивать защищенность учетных записей, имеющих доступ к ним. Это связано с тем, что и аккаунты, и информация – это два фактора, которые всегда присутствуют в любом примере утечки информации.

• Принцип минимизации привилегий

Это один из наиболее важных моментов в вопросах предотвращения утечки информации. Принцип минимизации привилегий предполагает, что все работники (аккаунты), включая и привилегированных, имеют уровень доступа исключительно в соответствии с должностными функциями.

Другими словами, особенно это касается аккаунтов с привилегированным доступом, необходимо исключить возможность доступа к данным при отсутствии в этом служебной необходимости. Если каждый сотрудник получает доступ только к необходимым ему ресурсам, существенно снижаются риски компрометации аккаунтов.

• Корпоративная политика паролей

Если вы внедрите корпоративный режим контроля паролей, то ваша компания получит надежную защиту от атак на всех уровнях авторизации. Необходимо внедрить систематический мониторинг и отключение скомпрометированных или слишком простых паролей. Это минимизирует возможности для взлома или подбора паролей с использованием программных или ручных способов.

Если же вам не нравятся требования по частой смене паролей, рекомендуем применить двухфакторную аутентификацию и использование в паролях минимум 14 знаков. При этом нужно предварительно проверить базу утечек. Если здесь обнаружен установленный пароль, его нужно изменить, в противном случае он может использоваться постоянно.

• Повышение квалификации сотрудников

Этот шаг можно считать самым важным. Компания обязана направлять свои ресурсы на обучение персонала. К примеру, организуйте проведение курсов «Как быстро понять, что вас атакуют мошенники». Такие мероприятия должны быть обязательными для работников. Если вы решите потратить немного средств на курсы повышения квалификации, то они гарантированно окупятся с торицей. Если обучение поможет избежать хотя бы одной утечки информации, ваши инвестиции уже будут оправданными.

Программные средства защиты от утечки информации

Комплексные программные средства защиты от утечки информации предназначены для обеспечения безопасности всего информационного периметра. С их помощью можно обеспечивать сохранность данных в большинстве случаев, включая кибератаки и деятельность инсайдеров. В сфере информационной безопасности применяются следующие виды программных средств:

• программы анализа контента;
• криптографической защиты;
• DLS-системы.

Отдельно следует рассмотреть программы для анализа и контроля контента. Такие средства обеспечивают фильтрацию трафика, который передается на сторонние серверы. Их размещают между внутренними сетками компаний и выходами в глобальную сеть. Средства контентного анализа осуществляют обработку данных, разбивая их на служебные области, внутри которых информацию разделяют по критериям, заданным отделом безопасности.

Наиболее простой метод предполагает определение пометок «конфиденциально» или «для служебного пользования». При этом отправляемое сообщение должно шифроваться либо преобразовываться в графические или аудио файлы методами стеганографии.

Криптографическое ПО обеспечивает шифрование информации на жестких и переносных накопителях, в пакетах данных, отправляемых по каналам связи. Ключи от шифра находятся на отдельных носителях, которые надежно защищены. В этом случае после хищения диска злоумышленники не смогут расшифровать защищенную информацию. К описанному способу Microsoft предлагает дополнительный вариант защиты, когда дешифрацию данных можно осуществить только при наличии соответствующих пользовательских прав.

Кроме внедрения специального ПО и оптимизации системной конфигурации специалисты в сфере информационной безопасности предприятий должны в рамках организационно-технических решений регулярно осуществлять мониторинг внутренней сети на предмет закладных устройств (электронные средства перехвата данных) и исследования по выявлению побочных электромагнитных излучений и наводок.

Такие мероприятия проводятся с использованием специального оборудования. Система защиты от утечки информации предполагает организацию пропускного режима на подконтрольном объекте, наличие срытых устройств, выявляющих электромагнитные излучения от различных посетителей, включая клиентов и представителей ремонтных компаний. Важно предотвратить угрозу внедрения в охраняемой зоне закладного оборудования, перехватывающего аудио информацию.

Обеспечить максимальный уровень защиты от утечки информации может лишь комплексный подход с применением новейших технических средств и организационных мер.

3 примера громких утечек информации

«Яндекс.Еда»

Какая информация была раскрыта: имя, фамилия, контактный телефон, адрес поставки, комментарии и дата формирования заказа.

Актуальность информации: июнь 2021 — февраль 2022 года.

Количество: около 50 млн. заказов, 6,9 млн. контактов заказчиков.

Когда появились данные об утечке: 27.02.2022.

Как отреагировала компания: по факту утечки данных «Яндекс.Еда» сделала сообщение 01.03.2022, в котором указано, что ситуация произошла из-за недобросовестных действий работника компании.

Уже 22.03 в свободном доступе в сети интернет появилась интерактивная карта с данными пользователей этого сервиса. В конце весны к этой информации подтянули сведения из реестров ГИБДД, СДЭК, Wildberries, «Билайна», ВТБ, «ВК» и ряда других фирм. Но в данном случае появление данных уже не было связано с утечкой информации. Правонарушители просто подтянули данные из различных источников.

Клиенты сервиса «Яндекс.Еда» направили 2 коллективных иска. В них было выдвинуто требование по моральной компенсации в размере 100 000 руб. каждому пользователю. В соответствии с судебным решением, которое было принято в апреле, сервис по факту утечки данных был оштрафован на 60 тыс. руб. В середине лета еще один админпротокол был составлен Роскомнадзором.

Здесь предусматриваются штрафные санкции в размере от 60 до 100 тыс. руб. для компании «Яндекс.Еда». В августе по факту утечки данных и последующего разглашения персональной информации было возбуждено уголовное дело Следственным комитетом РФ.

Delivery Club

Какая информация была раскрыта: имя, контактный телефон, адреса доставки, е-мейл, данные заказа, цена, дата и время его оформления, IP-адрес.

Количество: 2,2 млн. заказов.

Актуальность информации: октябрь 2019 — июль 2021 года.

Когда появились данные об утечке: 20.05 и 10.06.2022.

Как отреагировала компания: Телеграм-канал «Утечка информации» сообщил, что конфиденциальные данные клиентов компании Delivery Club в два этапа появились в открытом доступе. Первые данные объемом 1 млн. строк с были опубликованы в конце весны, а затем примерно такое же количество информации появилось через месяц. Компания подтвердила утечку информации и сообщила о проведении собственного расследования.

СДЭК

Какая информация была раскрыта: ID клиента, контактный телефон, имя, фамилия, е-мейл, почтовый адрес.

Количество: десятки млн. клиентов.

Актуальность данных: нет информации.

Когда появились данные об утечке: 26.02.2022 года и 13.06.2022.

Как отреагировала компания: сервис СДЭК сообщил о двух случаях утечки информации с данными клиентов. Первый связан с хакерской атакой в конце зимы 2022 года. Были раскрыты сведения в размере 466 млн. строк (ID пользователей и контактные номера) и 822 млн. строк (фамилия, имя, е-мейл). По мнению специалистов из Infosecurity в результате утечки информации были раскрыты конфиденциальные данные примерно 19 млн клиентов сервиса.

В конце весны похищенные сведения появились в открытом доступе параллельно с данными «Яндекс.Еды», ГИБДД, ВТБ, а в начале лета клиенты СДЭК оформили коллективный иск.

Вторая порция данных пользователей СДЭК была раскрыта уже в середине лета. В этом файле было около 25 млн. контактных данных клиентов. Сервис сообщил о проведении внутреннего расследования, но не предоставил информации о причинах утечки информации.

Рекомендуем провести мероприятия по предотвращению утечек информации в будущем. Чтобы предупредить недобросовестные действия, нужно «под подпись» уведомить работников компании об ответственности за передачу конфиденциальных данных. Следует организовать обучение трудового коллектива нормам информационной безопасности. Это необходимая мера для защиты от фишинга и непреднамеренной передачи информации через спам и аналогичные каналы.

Утечка данных: как случается и что с ними делать

17.10.2022 11:20:00
17.10.2022 11:20:00

Оглавление

1. Виновники утечки информации
   
2. Как утекают данные
   
3. Меры защиты
   
4. Что делать если утечка информации произошла
   

Утечка информации – это одно из наиболее «медийных» негативных событий с позиции ИБ. О них регулярно пишут в средствах массовой информации. В этом году внимание общества к теме утечек данных выросло до такой степени, что государственные органы решили пересмотреть существующие меры ответственности за утечку информации для компаний.

Наиболее громкие утечки информации связаны с персональными данными клиентов компаний, поскольку они затрагивают большое количество частных лиц и вызывают повышенное внимание рядовых граждан. Однако, для бизнеса зачастую куда более критична потеря не клиентских, а корпоративных данных, связанных со стратегией, финансовыми показателями или перспективными разработками.

Виновники утечки информации

Первоисточник любой утечки – это всегда человек. Условно, можно выделить два канала утечки информации:

1. Интервенты. Это внешний злоумышленник, который хочет получить конфиденциальную информацию. Хакер, фишер или представитель конкурирующей компании.

2. Инсайдеры. Это сотрудник компании, который обладает доступом к тем или иным данным. Он может как намеренно продать эту информацию, так и случайно передать злоумышленникам данные, которые помогут в получении искомых сведений.

К инсайдерам также можно отнести контрагентов, которые не представляют компанию, но имеют доступ к информации. Это может быть команда аутсорс-разработчиков или подрядная организация.

Андрей Слободчиков
Эксперт по информационной безопасности Лиги Цифровой Экономики

Утечки внутри организации можно разделить на две категории: умышленные и неумышленные. Первые организуют намеренно в корыстных целях, вторые происходят по неосторожности.

Основная причина случайных утечек — отсутствие системы корпоративного обучения информационной безопасности, в том числе инструкций по работе с документами и секретными данными. Часто сотрудники обмениваются паролями и конфиденциальной информацией прямо в мессенджерах. Так файлы могут попасть в третьи руки, в особенности если сообщения не защищены сквозным шифрованием. Кроме того, пользователи могут забыть обновить приложение на своих гаджетах и пропустить важные патчи с исправлением слабых мест. Это существенно увеличивает риск утечек.

Причины могут быть и проще — неосторожный разговор о рабочих проблемах в общественном месте или забытые документы на офисном принтере. Человеческий фактор может привести к утечке информации с технических устройств (серверов хранения, систем управления базами данных и т. п.) из-за ошибок во время их настройки и установки.

Умышленные утечки не всегда происходят по злому намерению. Иногда сотрудники не совершают вредоносных действий, а просто умалчивают о потенциальных угрозах, которые могут нанести серьезный ущерб компании. В остальных случаях персонал сливает данные из-за конфликта с руководством, сотрудничества с конкурентами или политических взглядов. Для решения подобных проблем важно создавать внутренние отделы информационной безопасности и повышать уровень осведомленности у всех сотрудников.

Как утекают данные

Причин, по которым данные могут попасть к третьим лицам, достаточно много. Их можно поделить на несколько больших групп:

1. Административные. Если у компании нет разнообразных регламентов, политик и инструкций по работе с данными и действиям при выявлении киберинцидента, либо эти данные существуют лишь для того, чтобы отчитаться перед регулятором – нет и реальной защиты данных.

2. Социальные. Наиболее часто встречающиеся «болячки» – это слабые либо скомпрометированные пароли, а также предоставление избыточных прав доступа и недостаточный уровень обучения основам кибербезопасности.

3. Технические. В любой инфраструктуре есть уязвимости, как минимум – 0-day. Но даже в случае с выявленными все не так просто, поскольку нужно своевременно устанавливать актуальные патчи и обновления, что тоже требует времени. Сюда же можно отнести эксплуатацию сетей, которые заражены ВПО.

Исходя из причин, можно выявить два наиболее популярных «орудия» злоумышленников: это эксплуатация уязвимостей и социальная инженерия. Иногда хакеры используют комбинированный подход. Как правило, при проведении целевых атак, поскольку они максимально ориентированы на конкретную компанию и могут идти одновременно по нескольким векторам.

Меры защиты

Защититься от утечки данных на все сто процентов практически невозможно, если не брать в расчет компании и учреждения, где безопасность данных превалирует над возможностью их эффективно использовать.

Однако, можно существенно снизить риск утечки. Первый шаг на этом пути – создание и адаптации «под реальную жизнь» политики безопасности, в которой закреплены роли, действия, инструкции и ответственность сотрудников. Важно чтобы этот набор документов не только соответствовал требованиям государства, но и имел «адаптированный» вариант, который сотрудник реально может изучить, не потратив на изучение одних только аббревиатур более недели.

Следующий шаг после создания нормативной документации – это обучение. Наибольшую эффективность показывает периодическое обучение, когда сотрудник проходит курс несколько раз в течение года, что позволяет ему получать актуальные знания о тенденциях и методах социальной инженерии. Наиболее показателен этот пример в контексте фишинга, где новые «методы воздействия» появляются едва ли не каждую неделю.

И третий шаг – это эффективное администрирование. Сюда можно отнести использование разных защитных инструментов, средств шифрования и анализа трафика. Минимальная мера, которую можно предпринять практически без затрат – это адекватное распределение привилегий в ИС компании.

Что делать если утечка информации произошла

Процесс реагирования на утечку данных затруднен тем, что компания может узнать о ней не в момент происшествия, а много позже, когда злоумышленники выложат данные в открытый доступ или обратятся к компании с требованиями выкупа за неразглашение данных.

Иван Король
Разработчик ПО Anwork

Ни в коем случае не стоит замалчивать факт утечки. Согласно исследованию PwC, большинство клиентов российских компаний обеспокоены хищениями своих личных данных и хотят знать о них. Согласно опросу, 88% пользователей перестанут приобретать продукцию или услуги организации, которая не заботится о сохранности персональной информации и скрывает проблемы безопасности от своих клиентов.

Чем более открыто будет действовать бизнес при утечке, тем больше доверия будет как со стороны клиентов, так и со стороны партнеров, т.к. на сегодняшний день от подобного риска не застрахована ни одна компания, в том числе и государственные сервисы. Особенно актуальна такая позиция для компаний, работающих в сфере здравоохранения, фармацевтики, услуг и IT, телекома и банковском секторе.

Самое важное – это выяснить алгоритм действий злоумышленников и «закрыть бреши», которые были найдены в защите. При этом, поспешные действия в ходе реакции на утечку могут только навредить. Например, развертывание бэкапа системы с большой долей вероятности сотрет все следы злоумышленника, и восстановить последовательность действий в ходе кибератаки станет гораздо труднее.

Также, важно уведомить профильные ведомства и компании, которые могут помочь нивелировать потенциальный ущерб от утечки. Например, если были похищены платежные данные клиентов, то стоит уведомить об этом банковскую службу. Помимо прочего, такой подход позволит снизить репутационные риски для компании.

Содержание

Как и почему утекают данные

Почему быстрая и правильная реакция на инцидент очень важна

Что делать, если организация столкнулась с утечкой данных

Как обезопасить данные клиентов

Как и почему утекают данные

Сценарии утечки персональных данных и связанные с этим риски индивидуальны для каждой компании и зависят от специфики её деятельности, используемых технологий, внедрённых механизмов защиты и др. Причинами утечки могут стать деятельность хакеров, ошибочное или злонамеренное действие сотрудника.

Согласно данным опроса SearchInform, всего 63% инцидентов в государственном секторе приходится на инсайдеров (это на 25% меньше, чем в частных компаниях). Основным источником внутренних утечек данных в государственном секторе является рядовой сотрудник компании (на его долю приходится более 74% всех утечек). Причиной этому может послужить, например, неправильное действие сотрудника, либо действие с целью мести.

Почему быстрая и правильная реакция на инцидент очень важна

Последствия утечек могут оказаться серьёзными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать от неправомерного списания средств с банковской карты, шантажа, разглашения любой информации, взлом профилей.

Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:

• Гражданскую, в виде взыскания в судебном порядке понесенных гражданами убытков и морального вреда;
• Административную, в виде наложения штрафа, приостановления или запрета деятельности, связанной с обработкой персональных данных;
• Уголовную, в случае неправомерного распространения ПДн, причинившего существенный ущерб и передаче информации в правоохранительные органы.

Если выяснится, что оператор виновен в несоблюдении условий, обеспечивающих сохранность персональных данных при хранении материальных носителей, ему грозит штраф, предусмотренный ч. 6 ст. 13.11 КоАП РФ:

• Должностным лицам – 8-20 тыс. руб.;
• ИП – 20-40 тыс. руб.;
• Юрлицам – 50-100 тыс. руб.

Что делать, если организация столкнулась с утечкой данных

Обнаружив факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение 24 часов сообщить в Роскомнадзор, как орган уполномоченный по защите прав субъектов персональных данных, о произошедшем инциденте и о его предполагаемых причинах, о вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом (п. 3.1 ст. 21 Федерального закона № 152-ФЗ).

Сообщение можно передать через Портал персональных данных, на котором Роскомнадзор организовал соответствующий сервис в разделе «Инциденты (утечки)» на странице «Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных». 

Если системы оператора подверглись хакерской атаке, он, помимо вышеописанного взаимодействия с Роскомнадзором, обязан передать сведения о взломе, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

GDPR

Если к компании применим GDPR, необходимо уведомить надзорные органы в Европе. Некорректное реагирование на утечку может привести к штрафу до 10 млн евро или 2% от годового оборота – в зависимости от того, что больше. При этом утечка персональных данных сама по себе не является нарушением. GDPR допускает, что она может произойти даже при обеспечении надлежащей защиты. Но, например, попытка скрыть утечку или недостаточно оперативное реагирование на нее – уже нарушение.

На первом этапе внутреннего разбирательства служба безопасности определяет тип утечки: случайная или намеренная.

Как правило, факт случайной утечки легко выявить, просмотрев отчеты DLP-системы, опросив сотрудников или изучив записи видеонаблюдения, которые фиксируют действия персонала на рабочем месте.

Опрос проводит руководитель службы безопасности или директор предприятия. Не следует указывать причину встречи. На этом этапе эффективно задействовать психологические приёмы воздействия и понаблюдать за сотрудником. Неясные ответы, расхождения в фактах – все это указывает на возможного злоумышленника.

Если произошла намеренная кража данных и разглашение уже состоялось, рекомендуется поэтапно выполнить алгоритм действий:

1. Определить группу сотрудников, которые имели права доступа к похищенным данным.
2. Опросить каждого работника из выявленной группы.
3. Сопоставить все полученные показания и выявить главных подозреваемых.
4. Проверить действия главных подозреваемых за последний период: когда приходили на работу и покидали рабочее место, с какой информацией работали и т.д. – и выявить злоумышленника.
5. Начать процедуру, чтобы привлечь к ответственности.

В зависимости от масштабов ущерба глава службы безопасности совместно с руководителем определяет меру наказания для виновного в утечке. Виды ответственности включают: материальную (штраф, лишение премии); административную и уголовную.

В случае соответствия проступка административной или уголовной ответственности к расследованию подключают правоохранительные органы. Официальное расследование начинается и в ситуации, когда сотрудник отказывается выплатить материальную компенсацию.

Чем более открыто и профессионально компания действует при утечке, тем меньше будет отток клиентов. Это особенно важно для организаций, работающих в здравоохранении, фармацевтике, сфере услуг и технологическом секторе, где изначально велика вероятность оттока клиентов в подобных случаях.

Как обезопасить данные клиентов

Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:

• Установка межсетевых экранов, затрудняющих проникновение к массивам информации;
• Внедрение системы идентификации и аутентификации сотрудников, имеющих к ним доступ;
• Фиксация в журналах учета всех действий специалистов, осуществляющих обработку данных, позволяющая понять, что конкретно они делали с охраняемыми законом сведениями;
• Установка средств антивирусной защиты;
• Использование средств криптографической защиты для шифрования данных при хранении и передаче;
• Применение способов и мер, которые могут предотвратить утечку данных по физическим каналам, например, путем фотографирования экрана компьютера, снятия звуковой информации, перехвата электромагнитного излучения.

Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:

• Не передавать персональные данные компаниям, не зарегистрированным в качестве операторов;
• Осторожнее относиться к любым платежам в сети Интернет;
• Всегда изучать текст согласия на обработку персональных данных, определяя, какими способами она производится, каковы цели обработки, возможность передачи сведений третьим лицам и в каких случаях.

Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.

Любая организация создает и обрабатывает конфиденциальные сведения, их утечка остается актуальной угрозой. В первую очередь службы безопасности обращают внимание на риск утечек по информационным каналам, многие также рассматривают риск внедрения в офисы устройств съема акустической информации или подслушивающих приспособлений.. Существенно меньше внимания уделяется закладным устройствам, снимающим данные с каналов ПЭМИН (побочных электромагнитных излучений и наводок), а эксперты считают, что они используются в 4 раза чаще, чем акустические закладки. Знание современных способов и средств защиты информации от утечки по техническим каналам поможет снизить уровень рисков. 

Понятие утечки данных по техническим каналам

Технический канал утечки данных — комбинация трех элементов:

•     источника сигнала — человека или телефона для акустических каналов, компьютера или кабеля связи для каналов ПЭМИН;
•     среды распространения — воздуха, безвоздушного пространства, кабелей электропитания, строительных конструкторов;
•     закладного устройства разведки, перехватывающего информацию и часто передающего ее вовне по радиоканалу.

Оборот электронных устройств съема информации ограничен, их использование способно вызвать привлечение к уголовной ответственности с риском лишения свободы на срок до 4 лет с ограничением права работать на определенных должностях на срок до трех лет, но злоумышленников зачастую это не останавливает. К основным техническим каналам утечки информации относятся:

•     каналы утечки данных, обрабатываемых техническими средствами приема, обработки, хранения, передачи информации (ТСПИ);
•     каналы утечки речевой (акустической) информации;
•     каналы утечки данных по линиям телефонной и телекоммуникационной связи;
•     оптические каналы, передающие видовую информацию.

Каналы ТСПИ делятся на пять подгрупп:

•     электромагнитные— ПЭМИН, утечки по линиям высокочастотной и низкочастотной передачи;
•     электрические — наводки элементов ТСПИ на посторонние проводники, просачивание электромагнитных импульсов, модулированных информационных сигналов в линии электропитания и заземления;
•     съем информации при помощи электронных закладных устройств;
•     параметрические — создание возможности перехвата данных путем облучения элементов устройств обработки информации высокочастотным сигналом;
•     вибрационные, используемые для снятия информации, вводимой с клавиатуры, каждый знак которой имеет собственную частоту;
•     канал съема информации при помощи электронных закладных устройств. 

Большинство ЗУ одновременно со съемом информации передают ее вовне по радиоканалу. Их для этого снабжают функциями радиопередатчика, который может транслировать данные в постоянном режиме, а может накапливать информацию и по команде, поступающей с внешнего командного устройства, передавать ее в сжатом и модифицированном виде. Выявить такие ЗУ можно только в момент передачи сигнала или путем тщательного визуального осмотра каждого сантиметра помещения.

Производимые зарубежной и отечественной промышленностью закладные устройства, которые могут быть внедрены в компьютер и другое оборудование, бывают следующих типов:

•     для снятия данных с монитора;
•     для перехвата информации, вводимой с клавиатуры;
•     для перехвата данных, записываемых на жесткий диск;
•     для перехвата информации, копируемой со съемных устройств или записываемой на них;
•     для перехвата данных, выводимых на устройства печати — сканер, принтер;
•     для снятия данных со сканера;
•     для получения информации с оборудования IT-телефонии и проведения телеконференций.

В большинстве случаев данные копируются и передаются по радиоканалу, но иногда они сначала переносятся на промежуточный носитель, например на карту памяти мобильного устройства. Отдельно стоит назвать логические побочные каналы утечки или использования способов перехвата информации, не предусмотренных стандартными средствами контроля, например запись в метатеги структурированной информации в базах данных или оставление большого фрагмента текста в буфере при копировании с возможностью передачи сведений третьему лицу.

Технические каналы утечки данных, передаваемых по каналам связи

Этот способ съема информации достаточно распространен, чаще всего риску утечки оказываются подвержены городские телефонные линии. Но перехватываются данные, передаваемые по каналам мобильной, оптоволоконной, спутниковой связи, обычной радиосвязи при использовании раций. Если на линии отсутствует шифрование, зашумливание и другие методы защиты, перехват данных не составит труда для злоумышленника. Технические каналы съема информации делятся на:

•     электрические. Закладные устройства подключаются напрямую к проводам телефонной связи, коаксиальным и низкочастотным кабелям связи;
•     электромагнитные. По ним передается электромагнитное излучение, модулированное информационным сигналом, так прослушиваются мобильные телефоны, рации;
•     индукционные. При ведении переговоров по спутниковой связи возникает индукционное высокочастотное излучение, которое может быть перехвачено и преобразовано в информацию.

Прослушивание переговоров чаще предполагает перехват электромагнитных, а не звуковых колебаний, в отличие от акустических каналов утечки информации.

Акустические (речевые) каналы

Этот тип получения данных с использованием технических устройств классифицируется на:

1. Прямые акустические каналы. Средой распространения звука является воздух, переговоры перехватываются высокочувствительным направленным микрофоном. Миниатюрные устройства могут не превышать размерами рисового зерна, прятаться в прическе или наручных часах. Перехваченные данные передаются по радиоканалу, по оптическому каналу в инфракрасном диапазоне или путем изменения светимости светодиода офисного светильника, по линиям электроснабжения и строительным элементам, имеющим токопроводящие свойства, — трубам отопления, водоснабжения, коммуникациям систем кондиционирования, элементов «Умного дома».

2. Виброакустические каналы. Для них средой распространения и перехвата являются строительные конструкции, элементы арматуры, оконные стекла. Требуется применение контактных, подсоединяемых к вибрирующим конструкциям устройств — стетоскопов. Сведения чаще всего передаются по радиоканалу, иногда используется ультразвуковой, когда перехваченные данные переправляются по металлическим элементам конструкции зданий.

3. Акустооптические. Они реализуются при облучении вибрирующих поверхностей лучом лазера. Используются лазерные микрофоны и устройства съема данных с оптоволоконного кабеля. Если внутренняя геометрия волокон нарушена, световые импульсы легко проникают через защитную оболочку и считываются.

4. Акустоэлектрические. При их использовании акустический канал преобразуется в электрический и передается по линиям связи. Устройства съема информации последовательно или параллельно подключаются к линии, записывают данные на диктофон и передают их в радиодиапазоне.

5. Акустоэлектромагнитные. Закладные устройства преобразуют звуковые сигналы в электромагнитные волны.

Оптические каналы

Использование этих каналов получения информации часто сопряжено с неосторожностью владельца информационных активов. При внимательном отношении к хранению документов, перемещению секретного оборудования большинства рисков удается избежать. Оптический сигнал распространяется в воздухе или безвоздушном пространстве, если съемка ведется со спутника.

Видеокамеры и фотоаппараты могут быть установлены в помещении и вне его, например в окнах соседнего здания, на спутниках, самолетах и дронах, на проезжающем транспорте, находиться при себе у посетителя офиса. Современные микроустройства автоматически фокусируются и настраиваются на резкость, использовать их могут непрофессионалы. 

В практике конкурентных разведок используется три способа получения информации по оптическим каналам:

1. Наблюдение. Для него в целях улучшения видимости используются бинокли, телескопы, телевизионное оборудование. В ночное время применяются приборы ночного видения и тепловизоры. Полученное изображение передается на компьютер управления, по прямому каналу или по радиосвязи.

2. Фотографирование объектов. Целью становятся здания, люди, секретное или являющееся ноу-хау компании оборудование, коллекции модных домов до показов, тайные переговоры и встречи. Разведчики и папарацци могут использовать микрофотоаппараты, закамуфлированные под аксессуары, и воспользоваться возможностями съемки со спутника.

3. Съемка документов. Для качественного разборчивого снимка нужна специальная фототехника, требующая опыта от использующего ее агента или инсайдера.

Защита от фотографирования может быть обеспечена организационными мерами. Обнаружить скрытый фотоаппарат или избежать съемки со спутника сложно, проще замаскировать объект риска.

Способы и средства защиты

Уровень риска утечки данных возрастает ежегодно, особенно для информации, обрабатываемой в информационных системах организаций и перехватываемой по каналам ПЭМИН. Если говорить об общих цифрах, то эксперты подсчитали, что за 2018 год утекло около 7,28 млрд записей, а за первую половину 2019-го — уже 8,24 млрд. Данные не окончательны. В США компании обязаны сообщать об утечках конфиденциальной информации властям, в России эта обязанность возлагается только на банки. «Лаборатория Касперского» приводит данные о том, что в России только 14 % утечек организовывают внешние злоумышленники, хакеры, за остальные ответственны инсайдеры, сотрудники, которым намного проще получить доступ к компьютерному оборудованию и установить электронное закладное устройство по собственной инициативе или в интересах конкурентов.

В рамках развития стратегий информационной безопасности выработаны средства и способы борьбы с каждым из видов технических каналов. Основные стандарты и технологии рекомендует в России ФСТЭК, в США стоит обратить внимание на общие стандарты безопасности, рекомендуемые «Оранжевой книгой», и для каждого отдельного канала будут найдены средства борьбы, разработанные частными и государственными организациями. Практически для каждого канала утечки используются пассивные и активные средства защиты информации. Пассивные снижают уровень и степень распространения перехватываемого информационного сигнала, активные генерируют помехи различного рода. Вместе с ними часто используются средства криптозащиты информации, не мешающие перехвату данных, но делающие невозможной их расшифровку.

Концепция защиты информации строится на формулировании задач:

•     предотвращение возможности получения злоумышленником доступа к любым техническим каналам утечки;
•     защита носителей информации;
•     защита каналов информации и ограничение движения сигнала в среде распространения.

---

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

---

Системы технической защиты проектируются, основываясь на следующих принципах:

•     непрерывность защиты в пространстве и времени, постоянная готовность и работоспособность оборудования и персонала;
•     многозональность и многорубежность защиты, требуется контролировать оборудование, зону прямого перехвата каналов ПЭМИН, коммуникации и линии связи в помещении и вне его;
•     избирательность, учитывающая все потенциальные риски. Система защиты станет нагрузкой на бюджет компании, поэтому защищать нужно наиболее ценную информацию, соблюдая принцип ее обработки на отдельных машинах, при возможности не имеющих выход в Интернет;
•     интеграция различных систем технической защиты информации, что позволяет снизить расходы и количество повторяющихся операций, добиться синергии;
•     создание централизованной службы безопасности для распределенных информационных систем, объединяющей квалифицированный персонал, программные и аппаратные ресурсы.

Способы и средства защиты информации от утечки по техническим каналам по функциональному признаку делятся на:

•     инженерные средства и планировочные решения. К этой категории относятся устройства и способы предотвращения неконтролируемого сигнала и проникновения на объект лиц, не имеющих допуска;
•     аппаратные средства — сканеры, измерительные приборы, программно-аппаратные комплексы, позволяющие найти в помещении электронные закладные устройства, выявить присутствующие технические каналы утечки информации и описать их характеристики;
•     программные средства защиты информации. Часто закладные устройства работают вместе с вредоносной программой, способной менять технические параметры работы компьютера — уровень излучения или нагрева. Программные средства выявят такие зловреды, а также помогут в поисках закладных устройств, проведя анализ снятых сканером характеристик помещения;
•     криптографические средства защиты информации. Они зашифруют данные в компьютере и при передаче по линиям связи, включая зашифровку акустических сигналов, передаваемых по телефонным линиям.

Используя средства защиты, необходимо обеспечить скрытность, неизбыточность — отказ от дублирования функций, непрерывность и рациональность защиты, многообразие ее способов.

Нейтрализация каналов ПЭМИН

По ним утекает более 60 % всей информации, для перехвата которой используются технические каналы. Для снижения рисков утечек информации по техническим каналам связи используются пассивные и активные средства. Эффективность средств защиты определяется по соотношению сигнала и шумов. Пассивные средства ослабляют сигнал, активные — создают шумы и помехи, мощностью превышающие сигнал и делающие невозможным его выделение из общего фона.

Пассивные методы обеспечивают:

•     максимально возможное ослабление мощности передаваемого сигнала на границе контролируемой зоны, обозначаемой как R2. Для каждого типа компьютеров зона указывается в сертификате, при доработке ПЭВМ с целью защиты и экранирования сигнала радиус R2 снижается с 20—30 м до 8—10 м;
•     ослабление наводок побочных электромагнитных излучений в посторонних проводниках, соединительных линиях, цепях электропитания и заземления, выходящих за пределы контролируемой зоны;
•     исключение возможности просачивания сигналов или появления наводок на провода электропитания и заземления.

При выполнении задач необходимо добиться ослабления сигнала до величин, исключающих перехват большинством стандартных закладных устройств. Среди пассивных методов защиты называются:

•     экранирование;
•     применение разделительных трансформаторов и помехоподавляющих фильтров;
•     доработка компьютерного оборудования. ФСТЭК разработала стандарт Secret, многие российские компании дорабатывают серийное оборудование так, чтобы уровень защиты мог быть сертифицирован по этому стандарту;
•     заземление устройств как необходимое требование для защиты данных, утекающих по каналам ПЭМИН.

Активные методы используются реже, генерируемые шумы и помехи могут помешать работе оборудования. Они направлены на:

•     генерацию маскирующих пространственных электромагнитных помех;
•     генерацию маскирующих электромагнитных помех в посторонних проводниках — металлических конструкциях, коммуникациях, объектах ЖКХ, соединительных линиях, цепях электропитания и заземления.

Активные методы делятся на пространственное, в пределах помещения, и линейное, по кабелям и линиям передачи, зашумливание.

Наиболее часто для защиты данных от утечек по каналам ПЭМИН применяется экранирование. По типу инженерных решений выделяется три вида экранирования:

•     электростатическое — подавление емкостных паразитных связей, путем создания дополнительного экрана оно уменьшает пространство, в рамках которого могут возникать паразитные связи;
•     магнитостатическое — подавление индуктивных паразитных связей, возникающих между двумя электрическими цепями через магнитное поле;
•     электромагнитное — подавление электромагнитного поля, для этого применяются вихревые токи обратного направления.

Самостоятельный вид защиты — экранирование отдельных элементов компьютерного оборудования: трансформаторов, катушек индуктивности, проводов. Обеспечивается одновременная защита от электрических и магнитных полей. Для экранирования электрических полей материал, из которого выполняется экран, не имеет значения. Экранирование магнитного поля требует создания экрана из стали, меди, алюминия, латуни.

Для повышенной защиты рабочего пространства используется метод экранирования помещения в целом. Железобетонная арматура обычно частично берет эти функции на себя. В особых случаях используется «клетка Максвелла» — дополнительная защита стен, пола и потолка сеткой из токопроводящих материалов. Для защиты дверных и оконных проемов применяются сетки, шторы из металлизированной ткани, металлизированные стекла (выполняемые из двуокиси олова и схожих материалов), токопроводящие пленки, установка окон в металлические рамы.

Если необходимо обеспечить экранирование электромагнитных волн мощностью более 100 дБ, применяются специальные безэховые клетки. Они используются исключительно для проведения испытаний и высокоточных измерений радиоэлектронной аппаратуры, антенной техники и технических средств на электромагнитную совместимость.

Экранирование как метод становится одной из частей комплексной доработки компьютерной техники. Кроме него используются радиопоглощающие материалы и схемотехнические решения. Сложность доработки зависит от установленной в техническом задании величины зоны R2, ее стоимость в среднем составляет 20—70 % от цены штатного оборудования.

Заземление как способ защиты применяется для оборудования, обрабатывающего информацию, и для экрана. Его защитная функция основана на принципах:

•     снижения до минимально допустимого значения разности потенциалов между заземляемым объектом и другими проводящими предметами, имеющими естественное заземление;
•     отвода тока утечки при контакте заземляемого объекта с фазным проводом.

В качестве специального оборудования используются трансформаторы и помехоподавляющие фильтры. Трансформаторы исключают контакт между электрическими цепями, позволяющий передавать наводки. Помехоподавляющие фильтры снижают возможность распространения помехи, модулированной информационным сигналом, по проводам, являющимся общими для источника и приемника наводки.

Пространственное и линейное зашумление — традиционный активный метод защиты информации от утечки по техническим каналам ПЭМИН. Оно генерирует помехи, затрудняющие использование закладных устройств. Его применение допустимо тогда, когда использование пассивных средств не позволяет добиться нужного соотношения сигнала и шума или они нереализуемы с технической или финансовой точки зрения.

При пространственном зашумлении помехи создаются в окружающем компьютер пространстве. Специальный маскирующий сигнал генерируется по случайному принципу, создавая «белый шум».

Линейное зашумление подразделяется на:

•     линейное зашумление линий электропитания и заземления;
•     линейное зашумление посторонних проводников и коммуникаций систем ЖКХ.

Нейтрализация акустических каналов

Для борьбы с утечками информации по акустическим техническим каналам в первую очередь используются организационные средства, которые начинают применяться еще на этапе строительства либо ремонта здания или помещения. После реализации архитектурно-планировочных и режимных мероприятий возникает необходимость применить режимные меры, исключающие доступ на объект потенциальных злоумышленников.

Архитектурно-планировочные меры призваны остановить неконтролируемое распространение звуков. Для этого окна переговорных и кабинетов руководства ориентируют на защищенную территорию двора, проектируют помещения и коридоры таким образом, чтобы вызвать затухание звука при его распространении. Предусматриваются архитектурные элементы акустической безопасности — тамбуры, ниши, двойные стены с воздушной прослойкой.

Режимные меры контроля присутствия лиц на охраняемой территории не должны ограничиваться рукописным или компьютерным журналом посещений. Система электронных замков для охраняемых помещений с записью данных поможет восстановить хронологию событий и понять, кто из сотрудников находился в охраняемом помещении в предполагаемый момент установки закладного устройства.

Также в рамках организационно-технических мер рассматривается использование звукопоглощающих материалов. Ковры, пенобетон, пористая штукатурка создают множество поверхностей раздела между воздухом и твердым телом, что приводит к многократному отражению и поглощению звуковых колебаний (звукопоглощение, отражение и пропускание звука). Создав защиту в виде звукоизоляции, качество ее работы определяют при помощи шумомера. Небольшой прибор преобразует акустические колебания в цифры и сравнивает показания с изначально заданными параметрами идеального сигнала. Если пассивными способами защиты необходимого результата добиться не удалось, используются активные технические средства — генераторы помех.

Акустические датчики создают маскирующие помехи в помещении и вне его, виброакустические генерируют помехи в ограждающих и строительных конструкциях во избежание перехвата виброакустического сигнала. Весь комплекс технических и организационных мер состоит из:

•     внедрения звукопоглощающих покрытий стен, пола, двойных потолков, создания двойных дверей и дополнительных тамбуров дверных проемов, двойных оконных переплетов, исключающих риск снятия звуковых колебаний с оконного стекла;
•     использования средств акустического зашумления помещений и конструкций, с которых возможен перехват; 
•     блокировки и дополнительной изоляции точек входа в помещение вентиляционных каналов, систем ввода в помещения отопления, электропитания, телефонной сети, в некоторых помещениях — и проводной радиосети; 
•     подготовки помещений к аттестации ФСТЭК РФ, при которой становится невозможным появление новых каналов утечки информации с использованием рекомендаций ведомства.

Помимо общих мер, существуют точечные, практические, реализуемые в ситуации, когда полное переоборудование помещения невозможно:

•     проверка помещения приборами, определяющими работу микрофонов, — сканерами, рентгеновскими установками, комплексными средствами выявления ЗУ, способными обнаружить радиоизлучение мощностью выше 30 кГц;
•     смена стекол в окнах на защищенные, рифленые, расположенные в раме под углом;
•     ведение переговоров только в защищенных помещениях, отказ от разговоров в автотранспорте или на оживленных улицах.

Нейтрализация оптических каналов

Зрительная информация чаще всего перехватывается в результате небрежности ее владельца. Защита информации от утечки по оптическим каналам предусматривает комплекс мероприятий, основным из которых становится снижение уровня освещенности объекта защиты. Необходимо учитывать, что защита должна ставиться также в ультрафиолетовом и инфракрасном уровнях спектра, где снятие информации возможно при помощи технических средств.

Основные рекомендации при разработке системы защиты:

•     размещать объекты защиты в пространстве так, чтобы избежать отражения света в сторону гипотетического нахождения злоумышленника, фотоаппарата или видеокамеры;
•     снижать отражающие свойства объекта защиты;
•     существенно понизить освещенность документа, оборудования или другого объекта;
•     снизить уровень отраженного света, используя ширмы, затемнение окон, матовые перегородки, иные преграды;
•     использовать средства маскировки объекта, смены его различительных характеристик.

Система видеонаблюдения в помещении поможет выявить нарушителей, пытающихся сфотографировать документ или экран монитора. Дополнительно в инструкции по информационной безопасности должен оговариваться, что запрещается оставлять монитор включенным в период отсутствия на рабочем месте, оставлять на столе в открытом доступе рабочие документы. Окна помещений, в которых находится важная информация, должны быть расположены так, чтобы затруднить наблюдение из рядом расположенных зданий.

Первоначальная диагностика позволит выявить наиболее опасные технические каналы утечки информации, после чего может быть разработана концепция борьбы с ними. Способы и средства борьбы не должны быть избыточными, при этом создавая надежную систему защиты.
 

27.04.2021